.png)
Por que a ZTNA deixa lacunas de segurança — e como a ZTS as preenche
Por mais que muitos fornecedores de Zero Trust queiram que você acredite, Zero Trust não é um produto ou tecnologia isolada, mas sim uma estratégia abrangente para todo o ambiente de TI.
O Zero Trust, como o nome sugere, é um modelo que nega o acesso aos recursos digitais de uma empresa por padrão e concede permissões somente conforme necessário, com base na identidade e no tipo de recurso.
Para proteger as cargas de trabalho críticas de uma organização, os três itens essenciais do Zero Trust são:
- Governança de identidade
- Segmentação Zero Trust (ZTS)
- Acesso à rede Zero Trust (ZTNA)
Embora a maioria das organizações já tenha adotado a Governança de Identidade, os dois últimos componentes do Zero Trust estão intimamente ligados e desempenham um papel fundamental na segurança da infraestrutura de uma organização.
O que é ZTNA e por que é importante?
A ZTNA foi amplamente adotada nos últimos dois anos, para proteger o perímetro de uma organização e o tráfego norte-sul. O ZTNA fornece um mecanismo simples, mas robusto, para que os usuários acessem aplicativos na nuvem ou no data center, autenticando usuários com base em suas identidades e funções.
Além disso, quando os usuários recebem acesso, diferentemente de uma VPN tradicional, eles recebem acesso somente ao aplicativo de que precisam e têm acesso negado à própria rede corporativa. Isso reduz a superfície de ataque à rede exposta no perímetro.
As 3 principais áreas em que o ZTNA cai
Embora o ZTNA tenha provado ter muitas vantagens, não é uma solução à prova de balas para sua rede.
Na realidade, as violações ainda acontecem.
Com o aumento da complexidade dos ataques, torna-se iminente adotar uma mentalidade de "presumir violação", onde o objetivo da organização deve ser reduzir a superfície de ataque interna e conter as violações com o mínimo de recursos possível.
O ZTNA faz um ótimo trabalho ao garantir o acesso externo a aplicativos de usuários remotos, mas há vários cenários em que o ZTNA não pode oferecer benefícios. É por isso que uma abordagem de defesa aprofundada é essencial.
Existem 3 áreas principais nas quais o ZTNA não oferece proteção:
- movimento lateral entre terminais: as soluções ZTNA fornecem acesso a recursos de usuários remotos aos aplicativos. No entanto, quando um usuário está no escritório, isso não impede nem regula o acesso de vários dispositivos do usuário final. Um endpoint infectado dentro do ambiente corporativo pode se mover lateralmente por vários endpoints e servidores, obtendo acesso a dados confidenciais do usuário e, ao mesmo tempo, propenso a ataques de ransomware em grande escala.
- Movimentação lateral entre servidores: o ZTNA não possui a capacidade de proteger contra vetores de ataque que se originam dentro do centro de dados. Um ótimo exemplo seria o ataque à cadeia de suprimentos da SolarWinds em 2020, no qual os invasores obtiveram acesso às redes e aos sistemas onde a SolarWinds estava implantada.
- Falha dos provedores de serviços de identidade: as soluções da ZTNA depositam sua confiança para autenticar usuários em seu ambiente em provedores de serviços de identidade (IdPs). Os invasores se aproveitaram disso falsificando os IdPs e ignorando os MFAs. Uma vez lá dentro, os invasores estão livres para causar estragos, exfiltrar dados e infectar os ativos essenciais de uma organização.
Como o ZTS ajuda quando o ZTNA cai?
ZTS e ZTNA são elementos fundamentais em qualquer jornada de Zero Trust. É evidente que uma organização não pode depender exclusivamente do ZTNA para se proteger contra agentes maliciosos.
A ZTS preenche essa lacuna protegendo o tráfego leste-oeste que é deixado em aberto pela ZTNA e fornece a visibilidade necessária do tráfego de rede para continuar sua jornada com o Zero Trust.
É sabido que você só pode proteger aquilo que consegue ver. Além de proteger o tráfego leste-oeste, o ZTS oferece visibilidade de ponta a ponta, desde os endpoints (remotos e no escritório) até os aplicativos no data center ou na nuvem. As organizações podem aproveitar essa visibilidade ao implementar outras soluções de Zero Trust.
Com o ZTS, uma abordagem " assume que a violação " é aplicada em todo o ambiente para que os nós não possam se comunicar uns com os outros, a menos que seja explicitamente permitido. Isso garante que as violações sejam contidas e não possam se espalhar por toda a rede.
A mudança de uma mentalidade de prevenção de violações para uma mentalidade de contenção de violações foi validada pela Ordem Executiva 14028 da Casa Branca emitida em 2021. O EO pede às agências federais — e a todas as organizações — que adotem uma estratégia de segurança Zero Trust que destaca especificamente a Segmentação Zero Trust (também chamada de microssegmentação) como um de seus principais pilares.
Saiba mais sobre os principais pontos da Ordem Executiva 14028 neste artigo.
A ZTS aborda as 3 principais deficiências apresentadas pela ZTNA
Os endpoints que podem se comunicar com outros endpoints são um presente para qualquer atacante se espalharem rapidamente. Portanto, os endpoints dentro ou fora da rede corporativa precisam ser protegidos usando o ZTS. Quando as portas são deixadas abertas, os endpoints se tornam um vetor de ataque atraente e uma importante fonte de propagação de ransomware na rede. Depois que os endpoints são infectados, os invasores podem migrar para ativos essenciais dentro do data center.
Com a visibilidade obtida com o ZTS, você pode simplesmente criar regras de segmentação nas quais políticas granulares podem ser aplicadas em servidores de aplicativos, permitindo que somente determinados servidores se comuniquem entre si por meio de protocolos específicos. Por exemplo, podemos permitir a comunicação entre um servidor web e um servidor de banco de dados na porta 3306 (MySQL), mas queremos restringir o acesso do banco de dados ao servidor web.
O ZTS prova ser uma valiosa proteção contra falhas caso os invasores ignorem o mecanismo de autenticação do IDP. Mesmo que um atacante entre, ele não conseguirá se mover lateralmente pelo ambiente, reduzindo assim o raio de explosão de um ataque.
A grande maioria dos ataques cibernéticos depende da descoberta da rede e do movimento lateral. Sem a ZTS, além da ZTNA, uma organização fica vulnerável à exploração repetida dessas táticas.
Illumio + Appgate: alcance o nirvana cibernético implementando o ZTS e o ZTNA
A ZTS e a ZTNA desempenham um papel importante na proteção de uma infraestrutura moderna. Combiná-los é como você torna suas redes excelentes novamente e atinge o nirvana cibernético!
A Illumio e a Appgate estão na vanguarda, ajudando as organizações a implementar uma proteção de segurança Zero Trust eficaz e eficiente. A Illumio e a Appgate foram classificadas como Líderes no relatório Forrester Wave™: Fornecedores de Plataformas de Ecossistema Estendido de Confiança Zero.
Com o Illumio e o Appgate, você pode criar rapidamente a segurança Zero Trust para proteger o tráfego perimetral e interno em seus ambientes de computação híbrida.
Saiba mais sobre Illumio + Appgate neste artigo. E confira a abordagem de três etapas e as melhores práticas para implementar a segurança Zero Trust com Illumio e Appgate no guia de soluções.
