Protegendo dados de novas maneiras

00:03 Sean Connelly

Analisando a segurança de dados de novas maneiras, mas acho que o pilar de segurança de dados tem sido o mais fraco e nós tínhamos muito a fazer.

00:12 Raghu Nandakumara

Bem-vindo ao The Segment, um podcast de liderança Zero Trust. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. No episódio de hoje, tenho a companhia de um convidado muito especial, Sean Connolly, ex-arquiteto federal do Zero Trust na Agência de Segurança Cibernética e de Infraestrutura, ou CISA, para abreviar. Sean também foi o confiável gerente do programa de conexões à Internet da CISA no Departamento de Segurança Interna (DHS). Ele ingressou no DHS em 2013 e atuou em várias funções desde então. Ele foi o principal autor do relatório de modernização da TI para o presidente em 2017 e foi coautor da publicação especial do NIST Toward Zero Trust Architectures em 2019. Gravamos esse episódio em fevereiro, então, embora Sean tenha saído da CISA, você o ouvirá falar do ponto de vista dele quando ainda trabalhava lá. Discutimos a evolução das arquiteturas de rede, por que os incidentes nos últimos cinco anos catalisaram um maior foco federal na resiliência cibernética e, especificamente, no Zero Trust, e como a CISA está pensando em proteger os dados de novas maneiras. Então, é um grande prazer receber neste episódio de The Segment Sean Connelly, arquiteto federal do Zero Trust na CISA. Sean, é um prazer. Obrigado por se juntar a nós.

1:39 Sean Connelly

Oh, obrigado. Foi um prazer da minha parte. Muito feliz por estar no The Segment. Obrigada.

1:45 Raghu Nandakumara

Muito obrigado. E é muito empolgante para nós, porque nem sempre você tem a chance de interagir com alguém que tenha participado diretamente da autoria dos mandatos do Zero Trust em nível governamental. Mas antes de entrarmos nisso, Sean, conte-nos um pouco sobre sua formação e a carreira que você seguiu para se tornar um arquiteto federal do Zero Trust.

2:07 Sean Connelly

Claro, então obrigado. Então, eu uso computadores há muito tempo. No início dos anos 80, tive um projeto paralelo em que usei um TRS80 modelo três, um computador RadioShack. Eu estava na feira de ciências e aprendi rapidamente sobre a experiência do usuário. Porque na feira de ciências, eu frequentei uma escola particular e uma freira de mais de 80 anos tentou usar o computador. É alguém que nasceu literalmente nos anos 1800. E é um pouco diferente tentar explicar a ela como ligar o computador e o que significa um erro de sintaxe. Mas, avançando, comecei a me dedicar mais à segurança ou à rede para garantir a segurança. Nos anos 90, instalei vários roteadores Cisco, switches Cisco, e foi aí que comecei a conhecer os protocolos. E você realmente, quando faz roteamento, precisa entender os protocolos quase como o nível real do Wireshark ou do Ether, para me envelhecer um pouco. E então, naturalmente, a partir dessa rede, você precisa começar a se preocupar com o perímetro. Depois, entrou nos firewalls no início dos anos 2000. E então, em 2004 ou 2005, tive a oportunidade de trabalhar no Departamento de Estado. E o Departamento de Estado, é claro, mais de 200 embaixadas e postos em todo o mundo, a Rede Global. Algumas das ameaças persistentes mais avançadas vêm do Departamento de Estado. Então, foi realmente uma ótima experiência para mim aprender sobre o governo federal aprender como uma rede global funciona. E então, talvez em 2013, pelo menos, eu tenha tido a oportunidade de me mudar para o NPPD, o antigo nome da CISA, e estou na Cisco há cerca de 11 anos. E, na verdade, naquela época no Departamento de Estado e na CISA, meu foco principal estava nesse perímetro, especificamente nas agências federais. Dependendo de como você conta, existem mais de 100 agências federais, civis e do poder executivo, e estamos trabalhando com essas agências para ajudar a proteger suas redes e impedir esses tipos de ameaças de AP no perímetro. E então surgiu o Zero Trust, é claro, novos tipos de discussões, mas, na verdade, são dos últimos quase 20 anos. Está trabalhando com a empresa federal e ajudando a proteger de maneiras diferentes do que eu acho que tínhamos antes.

4:16 Raghu Nandakumara

Incrível. Então, você falou sobre o perímetro. E acho que se analisarmos a evolução das arquiteturas de rede nos últimos 20 anos, acho que provavelmente o maior tipo de evolução ocorreu em torno desse conceito de perímetro. E eu sei que você esteve envolvido na TIC 1, na TIC 2 e, mais recentemente, na TIC 3. Se você pudesse explicar ao público como a natureza do perímetro mudou e por quê, os requisitos de segurança precisam evoluir com ele.

4:46 Sean Connelly

Claro, essa é uma ótima pergunta. Então, muito do que começamos com TIC um, TIC dois. Em meados dos anos 2000, o Escritório de Gestão de Orçamento da Casa Branca fez uma pergunta bem simples a todos os CIOs e CISOs federais: “Quantas conexões você tem na internet? Quantas conexões a agência tem com redes parceiras ou com a própria Internet?” O número que voltou foi impressionante. Ninguém pensou que muitos circuitos fossem tantas conexões. Foram mais de 4000 circuitos divididos, e esse é apenas o lado civil, sem falar do Departamento de Defesa. Então, na verdade, as primeiras discussões foram sobre agregação de tráfego. Como poderíamos não necessariamente eliminar esses 4000 circuitos da Internet, mas ser capazes de nos concentrar e fazer o que é chamado de agregação de tráfego desses circuitos em um número finito de data centers, pilhas de firewall, conhecidos como pontos de acesso TIC? Então, essa foi a primeira coisa a fazer: primeiro concentrar os dados. Além disso, agora que temos os circuitos para controlar e esse número finito de pontos de acesso TIC, vamos começar a colocar um perímetro de segurança de linha de base padronizado em torno desses dispositivos. Novamente, isso remonta a 2008, 2012, até cerca de 2015, quando havia uma arquitetura comum mais focada no que chamamos de tráfego norte-sul versus tráfego leste-oeste. E estava realmente focando todos esses dados; era chamado de imposto TIC; tínhamos muitas agências que tinham filiais no Centro-Oeste ou na Costa Oeste. Mas a sede da agência tinha seus pontos de acesso TIC na costa leste. Então, agora, mesmo em toda a América, 40/50 milissegundos, e se o data center estivesse na costa oeste, alguma agência precisa atravessar Los Angeles até DC, fazer com que o tráfego saia no tráfego norte-sul e voltar para a costa oeste. E há literalmente um imposto; foi um acordo. E foi aí que as discussões com a nuvem começaram a realmente evoluir, e a tecnologia móvel começou a surgir na cena em que precisávamos olhar de uma maneira diferente. Acho que a aquisição, o modelo perimetral, o castelo antigo e o modelo do fosso nunca foram idealizados, mesmo depois de falar sobre isso. Mesmo naquela época, a Cisco e o Fórum de Jericó, sobre o qual já ouvi falar de John Kindervag, falaram sobre como precisamos obter uma perimetrização profunda do Fórum de Jericó. Acho que John fala sobre como às vezes Jericho se concentra em conexões TLS, conexões criptografadas do cliente com o servidor, mas Jericho tinha vários mandamentos em seu documento original. E uma delas é algo que estou parafraseando aqui, mas tipo: “Quanto mais você puder colocar a segurança perto dos dados, melhor ela será”. E isso faz sentido, certo? E isso era exatamente o oposto do TIC um e do TIC dois. Estava forçando o forçamento de dados das sessões por meio dessas pilhas de firewall. Então foi aí que, como a empresa federal, se você quiser, em 2015 ou 2016, começamos essa nova jornada.

7:45 Raghu Nandakumara

É interessante. Você mencionou esse ponto porque um dos relata que você participa da autoria do relatório ao presidente sobre a modernização federal da TI. No resumo executivo, uma coisa realmente interessante é que você destaca como essas ações permitem que as agências passem da proteção de seus perímetros de rede e do gerenciamento de implantações físicas legadas para a proteção de dados federais e otimizem as implantações na nuvem. O relatório também enfatiza uma abordagem baseada em riscos que concentra os recursos da agência em seus ativos de maior valor. E eu acho isso muito interessante porque isso leva quase diretamente ao seu foco na TIC 3, que está longe dos perímetros da organização em geral. Mas realmente movendo esse controle e focando na segurança das principais coisas que você está tentando proteger.

8:38 Sean Connelly

Sim, obrigado por [mencionar] esse relatório. Eu fui um dos vários autores lá. E leva tempo no governo federal para mover algumas das diferentes burocracias, políticas ou mandatos. E, na sua opinião, isso foi escrito em 2017. Muitos desses coautores ainda estavam conosco quando começamos a lançar a orientação TIC three após o lançamento do memorando em 2019. Mas demorou vários anos, embora, até onde você dissesse, soubéssemos aonde ele queria ir, mas ainda demora um pouco para moldar a política de forma a começar a forçar essa mudança; não quero dizer que foram necessárias forças para nada. Mas comece a ter oportunidades e possibilidades diferentes. Mas, como disse, trata-se mais da otimização da nuvem, do abandono da segurança de dados, do que, eu diria, de se afastar diretamente da segurança de rede, mas de ter um equilíbrio entre segurança de dados e segurança de rede.

09:29 Raghu Nandakumara

Sim, eu concordo. E acho que da forma como este relatório em particular e apenas a consolidação da modernização da rede, da forma como está formulado, acho que isso define o ponto de partida para a mudança em direção à adoção de uma abordagem de Zero Trust.

09:44 Sean Connelly

Não, literalmente, era John Kennedy. Provavelmente vou mencioná-lo 100 vezes em sua entrevista, mas em 2010 ou 2011 estava aqui, pois escrevi severamente que o documento do Chewy Center. Naquela época, eu estava no Departamento de Estado e estava correndo pelo Departamento de Estado com essa orientação, dizendo que é aqui que precisamos chegar. Não sei como chegar lá. Mas essa é exatamente a estrutura que avançou. Honestamente, naquela época, acho que a interpretamos mais como uma solução sofisticada e uma solução do tipo controle de acesso à rede. Para ser justo, o NAC está movendo a segurança para perto dos dados, você tem como fiscalização, se quiser trocar e tem um agente ou cliente 802.1x nos próprios clientes que trocarão. Mas mesmo isso, eu acho, era apenas parte da equação. Demorou um pouco para que a discussão evoluísse, e vimos o que o Google vem fazendo nos últimos 5 a 10 anos a partir daí, quando foi comprometido, há cerca de uma década, como via o Beyond Core e como está usando dados criptografados. Então, acho que todas essas discussões estão acontecendo. E então, como eu disse, apenas em termos de oportunidade e momento em que o relatório foi publicado em 2017, na verdade, o Zero Trust estava começando a repercutir no governo de maneiras diferentes. No NIST, isso é pré-COVID, o NIST estava realizando vários workshops sobre Zero Trust. Todo ano, há uma reunião anual. NSA, eles estavam tendo uma grande participação nessas reuniões. Randy Resnick, que estava na NSA na época, agora é o Diretor de Gerenciamento de Portfólio Zero Trust do DoD, ele estava lá. Alguns dos principais autores do relatório de modernização da TI mencionado estiveram presentes nessas conferências. Então, estava começando a se infiltrar; simplesmente não estava realmente na política em si, a Zero Trust. Ao mesmo tempo, você mencionou a modernização; havia um memorando do TIC ou aquele TIC modernizado. Então, tentamos posicionar os três esforços da TIC para poder apoiar e alinhar o Zero Trust o máximo possível.

11:38 Raghu Nandakumara

Entendi, porque outra coisa que notei antes de sairmos do relatório sobre a modernização da TI é que ele está realmente impedindo a adoção da nuvem pública por agências federais. Por que você viu essa mudança deixando de ser excessivamente centrado no perímetro e na rede para um foco mais crítico em ativos em termos de segurança? Por que você achou que isso era essencial para a adoção ou para acelerar a adoção da nuvem pelas agências federais?

12:10 Sean Connelly

Bem, infelizmente, tivemos vários estudos de caso em que a média é uma base perimetral ampla. Muito do seu foco está no perímetro, o adversário ainda está comprometido. Muitos dos esforços que você mencionou com o esforço de modernização da TI, na verdade, surgiram da violação do OPM em 2015. E isso foi uma resposta à violação do OPM. Provavelmente falaremos sobre o EO cibernético e as coisas do Zero Trust que estão acontecendo nos últimos dois anos. Muito disso foi focado na violação da SolarWinds. Então, às vezes, ocorrem essas brechas, que chamam a atenção da liderança e, em seguida, forçam essas discussões de novas maneiras. Mas, na sua opinião, a nuvem já existia muito antes da violação acontecer. Obviamente, o FedRAMP, líder da GSA, modernização da nuvem ou processo ATO, existe há cerca de uma década, mas foram necessários alguns anos para que um programa realmente se destacasse e começasse a fazer com que os diferentes provedores de nuvem fossem apoiados no programa FedRAMP. Lembro-me de quando Matt Goodrich estava comemorando, como o número 20 da CSP ATO, por volta de 2014 ou 2015. Agora, acho que existem mais de 300 pacotes diferentes para ATO. Então, às vezes, demora um pouco para que isso aconteça. Mas sim, a adoção da nuvem aconteceu. Assim como você disse, é o mesmo ponto. Eles são maiores ou mais rápidos, adotando a nuvem. Estamos começando a realmente acontecer com as agências.

13:27 Raghu Nandakumara

Entendido. Então, voltaremos para a nuvem em um segundo. E você mesmo mencionou que algumas delas foram violadas pelo OPM em meados da década de 2010. E então, é claro, a SolarWinds, há alguns anos, acho que foi a gota d'água que quebrou as costas do camelo e talvez tenha forçado a publicação da EO 14028. Então, você pode nos falar um pouco sobre se você estava lá quando essas coisas estavam sendo formuladas, certo? Fale um pouco sobre o processo.

13:52 Sean Connelly

Claro. Então, algumas coisas estão acontecendo. E eu não vou entender a política disso. Mas também houve uma mudança administrativa. Chris DeRusha, o CISO federal, que estava chegando. Eric Mill, Eric fez parte do grupo que escreveu o relatório de modernização da TI. Eric ficou lá por muito tempo. Há várias pessoas-chave entrando no governo. E, novamente, com o comprometimento da SolarWinds e com as repercussões disso, nós, como governo, sabíamos que precisávamos ser capazes de estabelecer novos padrões. Ninguém está dizendo que esqueça os perímetros de rede, o excesso de tecnologia legada, se quiser, dentro das agências. Ninguém vai se livrar dos firewalls, mas precisamos de uma solução de arquitetura mais abrangente. Então, voltando ao que você falou sobre a Ordem Executiva cibernética, havia várias tarefas em relação à OMB, à GSA, à CISA, ao NIST, começando como conversas sobre como avançar e uma solução de arquitetura mais abrangente. Então, novamente, para muitas dessas pessoas, é quase como um lançamento de bastões de diferentes grupos, mas, voltando ao Relatório de Modernização da TI, havia um claro impulso ou direção. E então a ordem executiva cibernética foi capaz de se manifestar de forma mais específica e, como você está dizendo, focar no Zero Trust em si, de uma forma que não tivemos essa oportunidade, eu acho, ou sob uma política anterior ou apenas um código legado e outras coisas.

15:19 Raghu Nandakumara

Então, sem um incidente como o SolarWinds, ou eu acho que o Colonial Pipeline não estava muitos meses depois da SolarWinds. Esses foram exatamente aqueles que forneceram um grande foco na importância da EO 14028? Ou sem eles, esse pedido teria sido potencialmente adiado e talvez não tivesse a importância e o foco que teve?

15:44 Sean Connelly

Sim, definitivamente, houve atenção da liderança de uma forma que não tenho certeza se teria existido sem isso. Com a SolarWinds, na verdade, os ataques de alerta que realmente estavam ocorrendo na cobertura da SolarWinds eram o foco na Microsoft e em como as agências tinham muitos de seus dados críticos em diferentes locatários da nuvem da Microsoft. Então, precisávamos ser capazes de, novamente, ter uma solução mais abrangente na frente. Acho que perdemos uma coisa quando fomos ao TIC três, e também aconteceu, é claro, exatamente quando o COVID aconteceu, como a divulgação dos documentos do TIC. E íamos lançar o caso de uso da nuvem para TIC, o primeiro caso de uso. Há vários casos de uso necessários para as agências. Quando a OMB lançou o memorando TIC de 1926, havia vários casos de uso, e começaríamos com o caso de uso da nuvem, porque acho que era aí que estava nossa maior atenção. Mas quando surgiu o COVID e o foco no trabalho remoto, fomos forçados a mudar e lançar um caso de uso de usuário remoto. Muitos dos mesmos recursos entre o que você está fazendo para proteger usuários remotos em uma filial e depois em direção à nuvem. Há algumas semelhanças, mas há algumas diferenças que você gostaria de destacar. Acho que as agências estão realmente confundindo as mensagens. E algumas pessoas viram o que fizemos, e foi, oh, estamos apenas nos concentrando mais no usuário. E essa realmente não era a intenção. Então, tivemos que lançar o caso de uso da nuvem no final, mas o que queremos dizer é que, durante todo o tempo em que lançamos esses diferentes casos de uso para TIC, também estamos trabalhando com a OMB, a Casa Branca, a equipe de Clare Martorana no CIO federal e a equipe de Chris DeRusha, o CISO federal, sobre como ter essa arquitetura de solução mais abrangente. Então, vamos ver, dentro da Ordem Executiva cibernética, e logo depois foi lançada como um rascunho para as agências do memorando de estratégia Zero Trust da OMB. E, novamente, isso foi parte do esforço para realmente começar a ter discussões no nível da liderança. Na OMB, eles estavam tendo discussões como com os secretários-adjuntos, que geralmente são os segundos responsáveis pelas próprias agências e não precisam do secretário. Então, chamou a atenção da liderança, que é o que ele ouviu John Kindervag, todo mundo sabia que isso deveria ser, pois seu interesse era um alinhamento de cima para baixo e de baixo para cima. E eu estou mais de baixo para cima e ajudando a empurrar quando posso. Mas precisávamos dessa liderança de cima para baixo e, como falávamos antes da ligação, ter um presidente disponível com clareza, dizendo: “Agências, você precisa avançar na modernização da arquitetura de segurança cibernética” certamente ajudou a chamar a atenção de todos.

18:10 Raghu Nandakumara

Oh, de pé do lado de fora disso. Absolutamente Quando isso surgiu, e acho que tudo o que aconteceu a partir daí, não consigo imaginar que haja mais entusiasmo no mundo da segurança cibernética com algo que está saindo de um governo da maneira que o impulsionou. Quando caiu por você estar por dentro, como você se sentiu? Bem, esse é um momento seminal em seu tipo de história de segurança cibernética. E eu estou no meio disso.

18:36 Sean Connelly

Bem, essa é uma boa pergunta. Nunca pensei ter ouvido isso dessa forma. Foram vários lançamentos de bastões. Olhando para trás agora, com certeza, isso pode ser considerado o momento crítico em que muitas coisas foram lançadas. Mas, tendo estado na CISA e trabalhando com a OMB e a GSA, há muito esforço no geral; demorou uma década para chegar a esse ponto. Mas, claramente, a resposta, o interesse pela Zero Trust, onde o governo foi analisado após a cibersegurança, depois do OPM e da conversa, sua expectativa em relação à postura federal de segurança cibernética, em relação à situação em que estamos agora e como podemos conversar com você em geral e dizer: “Isso é o que o governo federal está fazendo; é isso que estamos vendo”. É apenas um navio totalmente diferente do seu ponto de vista. Isso mudou a narrativa de uma forma que eu acho que ninguém esperava, e isso é realmente um elogio, OMB, a Casa Branca e sua visão, e ser capaz de posicionar a arquitetura nos memorandos de forma a chamar a atenção de todos.

19:33 Raghu Nandakumara

Sim, com certeza. E conversamos brevemente offline antes de começar isso, o que também acho particularmente interessante sobre o memorando. Isso vem da Casa Branca e do Gabinete do Presidente? Alguns dos detalhes da especificidade são inesperados, inusitadamente inesperados, mas também muito bem-vindos porque vimos muitos e continuamos vendo muitos tipos de regulamentações de tão alto nível que, quando você diz: “Ok, bem, o que eu realmente preciso fazer?” Não está particularmente claro. Então, por que era tão importante ter esse quase nível de granularidade técnica como algo que está saindo do Gabinete do Presidente para impulsionar a adoção?

20:19 Sean Connelly

Agora, essa é uma ótima pergunta. E temos que ter cuidado aqui, porque eu podia ouvir John Kindervag colocando como alfinetes no boneco de vodu Sean Connelly. Embora possamos nos concentrar um pouco na tecnologia, na verdade, é mais sobre a mudança cultural que acontece. Mas, na sua opinião, sempre há discussões sobre como proteger os dados de novas maneiras. Minha antiga chefe, Sarah Mosley, quando era diretora técnica da CiscoCISA, ela estava pregando: “Você precisa proteger os dados”, em 2015 e 2016. O Hack Diag, que é outro desses quase-think tanks aqui em Washington, DC, lançou um artigo, acho que em 2018, sobre o Zero Trust, então estava disponível, mas direto ao ponto de você até começar a colocar coisas muito táticas em um memorando do Zero Trust, a ordem executiva cibernética que realmente chamou a atenção de todos. Mas mesmo assim, poderíamos falar um pouco sobre isso; mesmo quando dizíamos que as agências podem mover rapidamente a identidade on-line, surgiram perguntas como: o que isso realmente significa? Ao mesmo tempo, estávamos voltando à tecnologia, sabíamos que era necessário mudar a forma como as agências podem se conectar à nuvem e se conectar a seus usuários, sejam eles usuários remotos, usuários corporativos ou base de clientes. E mover esse tráfego por meio desses pontos de acesso físico à tecnologia não era a maneira de avançar na infraestrutura moderna. Então, precisávamos ser capazes de liberar um pouco da pressão e oferecer novas formas. Então, estamos começando a ver as agências usarem soluções Secure Access Service Edge (SASE) ou Security Service Edge (SSE), de uma forma que isso simplesmente não era possível antes. Então, tem havido, quase como você disse, uma forma muito tática, pilar por pilar. E só para voltar um pouco com o OMB e essa estratégia, alinhamos nosso lançamento do nosso modelo de maturidade Zero Trust, então elogiamos a estratégia. E na CISA, então tínhamos esses cinco pilares, certo? Dispositivo de identidade, dados, rede de aplicativos e, ah, e seu memorando saiu dessa forma. E, assim como falei, no pilar da identidade, as agências precisam fazer isso. Bem, o pilar do dispositivo que as agências precisam fazer isso. E deu um roteiro muito claro de como aumentar a postura de segurança em toda a empresa federal. Mas, na verdade, existem mudanças organizacionais que acontecem ao mesmo tempo e que são essenciais para isso.

22:29 Raghu Nandakumara

Sim. E eu concordo, acho que as palavras que você usa foram muito boas sobre forçar uma mudança cultural ou uma mudança de estratégia. Mas apenas especificar isso sem pelo menos algum nível de detalhe tático significa que é muito difícil identificar as pessoas porque é como, ok, bem, mostre-me realmente o que você fez. E as partes táticas os ajudam a mostrar o que fizeram. Então, você falou sobre o Modelo de Maturidade Zero Trust. E acho que o 2.0 foi lançado no ano passado. O 1.0 foi há alguns anos. Fale conosco sobre isso. Isso é meio rápido, logo após o lançamento da segunda versão. Por que você achou que era necessário continuar com isso? Quais são os principais aprendizados da primeira versão, da implementação e do feedback que informaram as melhorias ou aprimoramentos na versão 2.0?

23:21 Sean Connelly

Sim, essa é uma ótima pergunta. Então, vamos começar dessa maneira. Então, lançamos a primeira versão no verão de 2021. Na mesma época, a OMB lançou a estratégia Zero Trust, rascunho. E, na verdade, apesar de termos lançado a primeira versão, porque acho que era necessária, ela estava na ordem executiva cibernética. Na realidade, era mais um rascunho que queria apenas divulgar algo. Um dos motivos pelos quais queríamos divulgar na época era que as agências eram responsáveis por enviar seu plano de implementação do Zero Trust à Casa Branca. E nós mesmos da CISA e da OMB, queremos que as agências tenham uma taxonomia comum, uma linguagem comum, quando falarem conosco, porque, especialmente para a OMB e para nós mesmos, será difícil ler mais de 100 planos e eles não têm nada em comum. Então, lançamos o modelo de maturidade para ajudar a orientar as discussões entre agências e agências marítimas quando elas vieram até nós e nos contaram como estão melhorando, mas eu o lancei, sabíamos que teríamos que fazer uma segunda versão. Então, o que foi interessante foi que eu mencionei os planos de implementação que as agências tiveram que liberar para a OMB. E depois o verão, a primavera e o verão de 2022. Havia uma equipe de tigres com nós mesmos e com a OMB e com algumas outras agências, PMEs (especialistas no assunto). E analisamos, agência por agência, o número de planos de implementação; há 20/25 agências que atuam como CFO, todas agências parciais e também várias agências menores. Nós os examinamos novamente, equipe por equipe, e tivemos essas discussões com as agências para entender em que ponto elas estavam em sua jornada com o Zero Trust. Tudo isso foi então refletido na segunda versão do memorando lançado, eu acho, em abril do ano passado, então realmente refletiu essas discussões, novamente mais de 100 reuniões de grupos de trabalho com agências, muitas reuniões com as próprias comunidades de fornecedores e depois com a academia. Ao mesmo tempo, há interesse de outros governos. Então, nós mesmos e outros grupos estamos conversando com diferentes governos, como: “Como o governo federal está promovendo o Zero Trust? Como você está dando suporte à conexão com a nuvem?” Então, todos esses tipos de discussões se encaixam nesse modelo de maturidade. Uma coisa que mencionei antes, uma das primeiras tarefas da agência foi conseguir migrar para uma identidade rápida, a FIDO2 on-line. E, na sua opinião, você está falando sobre antes de poder colocar a linguagem na política. Mesmo assim, as agências ainda querem saber: “É isso que você realmente quer dizer?” E por décadas, além de como as agências têm vivido com seu cartão CAC em papel; estamos usando funcionários do governo federal e eles têm seus cartões. Mas precisamos de outras formas de impulsionar um MFA multifatorial resistente a phishing. Então, nessa política, a OMB teve a visão de colocar a capacidade de usar o FIDO. Mas nessas discussões em 2022, quase todas as agências, tivemos que discutir o que queríamos dizer com isso, porque sua identidade é uma dessas indústrias engraçadas em termos de agências e como elas respeitam. Algumas agências têm um advogado de identidade; outras agências têm uma PME de identidade? Ou, se você nem perguntou à agência, quem lidera a estratégia de identidade da agência? É o grupo do Active Directory? É o grupo PKI? É como a nuvem ou as pessoas que administram as contas na nuvem? Então, cada um deles quase precisou explicar o que queríamos dizer com o uso de identidade rápida on-line ou apenas refletir algumas das perguntas que surgem em cada um dos diferentes pilares da estratégia.

26:39 Raghu Nandakumara

Incrível. Então, se você fosse resumir alguns dos principais comentários que está recebendo e analisando em todos esses planos, quais foram os comentários mais significativos que informaram as atualizações do modelo de maturidade?

26:52 Sean Connelly

Você quer dizer a versão dois, certo? Uma versão diferente? Sim, basta ter uma perspectiva. É um documento de 20 páginas e nem mesmo inclui todos os trabalhadores; acabamos de falar sobre quando tivemos a RFC pública em setembro, eu acho, ou 2021. Tivemos mais de 300 comentários ou mais de 200 páginas e mais de 30 comentários e um documento de 20 páginas. Então, demorou um pouco para destilar os temas comuns. Você está falando, é claro, sobre alguns fornecedores quererem posicionar sua tecnologia; tivemos que tirar a sensação de texto dessa natureza; estamos realmente falando sobre o que estamos tentando fazer, qual é a nossa intenção aqui. Quando colocamos as agências de priorização desejadas. Então, por exemplo, as agências queriam que isso fosse interessante; elas queriam mais informações sobre o desprovisionamento, sobre como desprovisionar dispositivos. Muitos, vamos colocar algo on-line ou não gostam muito de desprovisionar. Então, queríamos fazer com que as agências começassem a pensar em como deveriam desprovisionar coisas. Eu mencionei o MFA para o alinhamento de MFA e FIDO2 resistente a phishing. Usamos uma linguagem mais forte, tanto para isso quanto para a v2. Outra coisa do lado da rede era mais voltada para a microssegmentação. E foi interessante. Então, novamente, a comunidade de documentos, na verdade, tratava da segmentação de aplicativos. Então, a segmentação de aplicativos é o pilar dos aplicativos, mas estamos fazendo isso por meio de diferentes ferramentas de rede e decidimos colocá-la na rede. E, para ser justo, todos os modelos estão errados. Alguns modelos são úteis e estamos apenas tentando lançá-los. Não estamos dizendo que essa é a única maneira de ver isso. Foi quando conversamos com agências. Quando ele falou comigo, isso apenas ajudou a agência a entender a comunidade a entender o que significa CISA. Mas não estamos dizendo que certamente estamos certos, e do que estamos falando em relação à segurança de aplicativos, a segmentação é meio que o pilar da rede. Outra é a criptografia. Algumas comunidades achavam que a criptografia deveria estar, eu acho, no pilar de dados; acho que temos o pilar da rede ou do aplicativo. Portanto, existem várias maneiras diferentes de se posicionar e, definitivamente, não estou aqui para dizer o que era certo ou errado. Outro modelo de maturidade que existe, como mencionei, é Randy Resnick perante o Departamento de Defesa (DoD) e seu Zero Trust. O DoD tem muitas informações excelentes disponíveis, eles têm uma estratégia para obter a arquitetura de referência, usam muitos recursos ou controles, acho que têm sete jogadores disponíveis. Temos os cinco pilares que mencionei antes e, em seguida, três capacidades transversais: visibilidade, automação e governança. Sinceramente, muitos de nós somos apenas estéticos. Quando você ouve a palestra de Randy e nos escuta, estamos dizendo a mesma coisa, mas um pouco diferente, dê uma ótica um pouco diferente e ajude as pessoas a entenderem, porque uma coisa que eu faço é ter experiência em marketing, e uma das coisas que você ouve é que você tem que explicar algo sete vezes sete maneiras diferentes, e é isso que estou tentando fazer aqui, apenas ajudar a explicar a intenção de maneiras diferentes. Vou voltar ao que John Kindervag estava posicionando há mais de 10 anos.

29:45 Raghu Nandakumara

Sim, com certeza. Minha mente está cheia de todas as coisas às quais posso reagir e de tudo o que você acabou de dizer. Mas vamos começar com a última coisa primeiro. Acho que ser capaz de enquadrá-la de várias maneiras, acho que, como praticantes do Zero Trust, é realmente o que queremos que as agências, as organizações, etc., adotem uma estratégia de Zero Trust e depois executem as táticas para amadurecer sua postura. Então, seja qual for a forma como contamos essa história, desde que uma dessas formas ressoe, isso é ótimo. Portanto, ter várias maneiras de dizer isso é muito importante. Vamos falar sobre esse tipo de caminho para a maturidade na terra da ZTM, se você me deixar chamá-lo assim. Você tem esses estágios iniciais, avançados e ótimos tradicionais, e você tem esses mapas para cada um dos pilares. Quando você lançou inicialmente o modelo de maturidade e depois, é claro, o acompanhamento até o ponto zero, você viu inicialmente que a organização estava se esforçando para alcançar a maturidade ideal em um pilar antes de passar para o próximo pilar? Porque vejo isso refletido em algumas de suas palavras 2.0.

30:51 Sean Connelly

Sim, esse é um ótimo ponto. E algo que eu até mencionei sobre a diferença entre v1 e v2. O V1 tem o tradicional, o avançado e o ideal. Na v2, temos o ideal inicial tradicional e o avançado ideal. E nós realmente precisamos colocar essa inicial porque há uma grande distância, se você quiser, entre o tradicional e o avançado, como se precisássemos de alguma forma para que a inicial pudesse fazer com que uma agência ou organização entendesse quando eles estão começando essa jornada. Então, era fundamental que tivéssemos as iniciais lá. Mas, falando sério, conversamos sobre muitas organizações um pouco diferentes nas agências civis do poder executivo, onde elas já estão começando a caminhar. Estamos conversando com muitas agências que ainda estão no tradicional e estão apenas começando. Então, é só migrar, do tradicional para o inicial, que é onde está grande parte do grande conjunto de organizações. Mas, na sua opinião, como os próprios pilares, novamente, intencionalmente o tornamos abstrato de uma forma que pudesse ser amplamente interpretado. Mas ouvimos algumas pessoas, como acreditar que precisamos chegar ao pilar de identidade ideal antes de podermos nos concentrar no pilar da rede. E essa realmente não é a intenção do nosso modelo em termos de categorização ou como os alinhamos. O ideal é que as organizações se movam paralelamente e as próprias colunas diferentes. E muito do meu foco e do foco de John Kindervag, acho que algumas das coisas que você vê na Zero Trust realmente começaram mais no lado da rede. Então, acho que algumas agências ou organizações já estavam um pouco mais avançadas, se você quiser, na rede, do que no pilar de dados. Em geral, quando começamos essa conversa, muito disso é sobre segurança de dados de novas maneiras. Mas acho que o pilar da segurança de dados tem sido o mais fraco e o que mais tínhamos a fazer. E quase fizemos isso, novamente, para perceber isso. Quando começamos a escrever o modelo de maturidade, é quase como se tivéssemos colocado essas outras categorias, aplicativos e identidades de dispositivos e redes em torno dos dados, porque simplesmente não conseguíamos lidar com os dados em grande escala da maneira que podemos agora.

32:55 Raghu Nandakumara

Sim, eu concordo totalmente. Também em termos disso, a maneira como você segue o modelo de maturidade, e acho que o gráfico de alpinismo que você tem no escuro é apropriado, porque, na verdade, se eu pensar também em seu relatório de modernização de TI, é essa abordagem baseada em riscos. E se eu pensar nesse caminho até a montanha, é qual é a fruta mais fácil ou o próximo passo mais fácil que posso dar para chegar ao próximo estágio. E eu meio que subi o caminho e, e poderia ser melhor. E isso é exatamente, me leve de um pilar para o outro. Porque a próxima coisa óbvia com base na minha avaliação de risco está em um pilar diferente de onde estou focado hoje.

33:43 Sean Connelly

Sim, só uma nota pessoal. Então, lançamos o modelo de maturidade, eu acho, em abril do ano passado. E em uma semana, apenas por coincidência, Kevin Mandia, e todo mundo conhece Kevin Mandia, estava se apresentando na RSA Conference. E ele pegou aquela montanha modelo de maturidade e a colocou em seu deck, e tenho certeza de entender os pontos de discussão e conseguir que ele seja aprovado por todos; é muito monumental. Mas o fato de eles poderem colocar aquele deque na montanha foi muito bom para nós. Mas, para ser sincero, era como se Johnson fosse um colega; ele era mais do que um empurrando para aquela montanha. Isso ressoou. Acho que a provocação, porém, é que quando você chega ao cume, aquela montanha, na verdade, é uma cordilheira, e pode haver montanhas atrás de você, mas a razão pela qual digo isso é porque, da melhor forma, moveremos a bandeira, moveremos os postes em algum momento, à medida que a tecnologia evolui, precisamos adicionar novas e novas formas. Mas sim, então, por algum motivo, na sua opinião, isso ressoou ao subir a montanha que eu não esperava.

34:48 Raghu Nandakumara

Sim, eu realmente gosto disso. Então, como estão... então, se pensarmos no progresso que as agências estão fazendo, como estão rastreando isso? Com que frequência ele está sendo rastreado? E como eles serão responsabilizados?

35:01 Sean Connelly

Sim, vou contornar isso na ponta dos pés. Com o luxo de ser arquiteto na CISA, estamos focados na segurança cibernética. Mas, para ser absolutamente justo, essa é uma pergunta prioritária para o Office of Management Budget, a colina, e temos uma equipe que está lá para ajudar e responder a essas perguntas por conta própria. Há uma necessidade crítica de medir. Então, voltando à estratégia federal Zero Trust, as agências foram avaliadas em relação à quantidade de sua frota, que em seu ecossistema tem MFE resistente a phishing, quanto de seus dados na nuvem são categorização de dados. Então, felizmente, existem medidas que remontam ao que falamos antes, para ter o próprio memorando para medir isso. E cada um deles é, para mim, o treinamento, e pude ver que não quero me aprofundar em qual agência versus qual agência está indo bem, mas, além disso, estamos vendo claramente um impulso em direção à Fisher e ao MFA nos últimos anos, que só pode ajudar o governo federal a ajudar os cidadãos a usarem essas redes com segurança. Estamos vendo uma tendência clara de as agências abandonarem o que conversamos com a TIC um e a TIC dois; várias agências federais tiveram que usar fornecedores comerciais de TIC. Eles são chamados de provedores M TIC. Eles são um serviço gerenciado que poucos fornecedores diferentes oferecem, e as agências, há anos, vêm solicitando outras soluções, além das minhas dicas. É muito caro, é muito ineficiente, como eu falei sobre o imposto TIC. Estamos começando a ver a agência abandonar as soluções existentes para poder adotar soluções SASE com serviços e soluções de certificação de segurança de uma forma que, claramente, não apenas cria redes mais eficientes, mas também melhora a segurança geral, mas também obtém melhor visibilidade. Portanto, há tendências claras para cada um desses pilares, além de voltar a reivindicar o sucesso, se você quiser, em algumas dessas diferentes pastagens fora da estratégia.

36:54 Raghu Nandakumara

Incrível. Quando o memorando foi publicado e as expectativas foram estabelecidas, havia uma espécie de necessidade de ver um progresso significativo até o ano fiscal 24. Do seu ponto de vista, as agências estão a caminho de conseguir isso? Parece que sim.

27:14 Sean Connelly

Sim, então o OMB está trabalhando com a agência para medir parte disso. Mas, novamente, voltando ao phishing, a adoção do MFA é fundamental. Ser capaz de inserir e realmente mencionar o EDR de detecção e resposta de terminais. Há um grande impulso em ter um número maior de dispositivos que ofereçam suporte a algum tipo de agente de resposta à detecção de terminais. No lado da rede, mencionei o SASE. Então, estamos medindo, como imaginado, que estamos trabalhando para garantir que nós, CISA, ainda ganhemos visibilidade, pois isso é fundamental para nossa missão, pois as agências estão migrando para essas novas plataformas. Então, acho que no GAO, existem várias maneiras pelas quais a OMB, a colina e diferentes organizações, para serem responsáveis, as dimensionam, estão medindo novas formas.

38:00 Raghu Nandakumara

Então, o que aconteceu? Então, estamos no ano fiscal 24, que vai e vem, fizemos o progresso desejado. O que acontece agora para impulsionar o próximo estágio de progresso? Ou o ímpeto é suficiente para que agora as agências estejam, mais ou menos, à vontade e continuem?

38:21 Sean Connelly

Não, essa é uma ótima pergunta que, do meu ponto de vista, posso dizer que OMB é capitão de equipe no Zero Trust, e alguns outros terão que esperar para ver o que sairá do OMB. Mas há discussões sobre qual é a próxima etapa do seu conselho.

38:34 Raghu Nandakumara

Ok, eu só lembro que você está falando sobre os comentários que foram fornecidos na superfície do Modelo de Maturidade 1.0, e eu me lembro de fazer comentários em nome de nossa empresa. Mas eu me lembro, eu acho, de que o argumento que você fez sobre certos fornecedores basicamente incluiu toda a documentação do produto e disse: “É assim que você implanta de até x”. E eu me lembro de ver versões disso e algumas das, algumas das revisões que analisamos e comentamos. E eu me lembro de entrar e reescrevê-lo do ponto de vista de que essa é a capacidade que você está tentando introduzir, e é por isso, etc. Então, se você pensar em seus comentários, tenho certeza de que já se deparou com coisas que eu comentei em algum momento.

39:15 Sean Connelly

Mas eu tenho uma maneira diferente de interpretar isso. Uma das posições que ocupo é que sou membro alternativo do conselho do fundo de modernização tecnológica, os fundos de modernização de tecnologia, TMF, apenas para a conscientização de todos. A TMF é uma solução para agências que talvez não consigam obter financiamento por meio de canais normais. Acho que em 2018, tanto o Congresso quanto a Casa Branca podem criar essa outra forma alternativa de as agências apresentarem propostas à TMF. Está esgotado o estreito alinhamento da GSA com a OMB e com nós mesmos na CISA. Várias agências, mas é uma forma de as agências enviarem propostas e de modernizar o sistema de uma nova maneira. Mas quando temos essas discussões, eu visitei muito o site da TMF. Você pode ler logo na primeira página que há artigos sobre como modernizar os sistemas de uma agência para agricultores para que os agricultores processem seus dados mais rapidamente. Há outro prêmio concedido a uma agência para empresas que conseguem obter produtos personalizados em seus portos apropriados com mais rapidez, outro para veteranos e, ao obter esses serviços, seus benefícios de serviço mais rapidamente. O que você não me ouve dizer é que não me ouve dizer que essas agências podem ter recebido algo de MFA, ou que as duas agências podem estar usando a mudança da nuvem e aproveitando as nuvens de marcação e categorização de dados. Mas embutido em cada um desses prêmios, outros estão o princípio Zero Trust, os inquilinos do Zero Trust. E é disso que se trata com a TMF levando serviços, fundos ou informações para as pessoas com mais rapidez. Então, muita coisa aconteceu de novo. Idealmente, queríamos que os inquilinos da Zero Trust e os produtos fossem incorporados. Então, como você está falando com os fornecedores, e como eles chegaram até nós com seus comentários, seus serviços e sua propriedade intelectual, ainda conseguimos permitir, ok, qual é a real intenção aqui? Onde está o valor real e use isso para informar o modelo de maturidade?

41:11 Raghu Nandakumara

Incrível. Então, o que você vê quando olha para frente? E você pensa, ok, na maturidade contínua do Zero Trust em todas as agências? O que você vê como os principais desafios que você prevê daqui para frente?

41:22 Sean Connelly

Sim, então quero dizer, depois de um pouco diferente, como qual foi o desafio que realmente começou a ser desbloqueado na última parte. Honestamente, acho que isso é na verdade mais do que a Ordem Executiva cibernética, novamente, a precursora do memorando, mas é necessário que cada agência tenha uma PME Zero Trust, especialista no assunto. Vimos como essa função surgiu em algumas agências, onde pode ter sido apenas um exemplo abstrato, mas pode ter começado onde estava a PME Zero Trust, no escritório do CIO, e depois pode ir para o escritório do CISO e, em seguida, pode ir para o CTO. É um indicativo de, tipo, apenas para entender como você posiciona os princípios da Zero Trust? E as ideias, e então chamamos isso de, você tem disciplina dentro da agência? E não me entenda mal, não há uma resposta perfeita. Algumas agências fizeram mais como conselheiras do Zero Trust e trouxeram algumas de suas PMEs de diferentes pilares, se você quiser, como ter identidades de PMEs em suas redes de PMEs. Outras agências fizeram mais quando quase uma única pessoa ou um único escritório trocaram do que por essa agência. Parte disso foi apenas o posicionamento das mudanças organizacionais que estão acontecendo dentro da própria agência, desde muito tempo, como as agências estão migrando para a nuvem, como ocorrem as mudanças organizacionais. Então, antes, lateralmente, as operações de rede, as operações de segurança, para data centers, operações seguras de data center focadas em pacotes e se concentram em garantir que obtivéssemos nosso limite de p e tenha nossos documentos de identidade ou ter nossos centros instalados. Bem, todo esse tipo de visibilidade muda na nuvem. Assim, com as mudanças organizacionais em andamento, as agências agora têm o tipo certo de PMEs para equilibrar. Às vezes, ainda vemos isso com os provedores de nuvem; eles precisam fornecer, eu não diria, legados, mas alguns dos serviços primordiais. Então, PCaps, quando sempre ouvimos dizer que os fornecedores precisam voltar e dar suporte. Acho que os provedores de nuvem, em geral, não achavam que os SoCs e os NOCs gostariam de ter essa captura bruta de pacotes. Mas isso é o que acontece em grande parte da organização, não estou falando apenas pelo governo federal. Quero dizer, em geral, muitas organizações ainda têm esse desejo, têm ferramentas ou manuais baseados na captura de pacotes. Então, ainda há aquela mudança organizacional que está acontecendo com posições diferentes em taxas diferentes que são fundamentais, eu acho, para poder tirar proveito das soluções Zero Trust, nativas da nuvem e com mais monetização.

43:53 Raghu Nandakumara

Quero dizer, acho que isso abre uma sensação, a abertura abre outra lata de minhocas, que é um episódio de podcast totalmente separado sobre como, à medida que você se moderniza, como você evita levantar parte de sua dívida legada e trazê-la consigo, adotando novas técnicas e procedimentos, mas isso é para quando você voltar ao podcast, Sean. Teremos um episódio inteiro sobre isso. Então, mas apenas algumas coisas antes de concluirmos, tendo uma perspectiva um pouco global. Tenho certeza de que existem governos em todo o mundo, muitos tipos de aliados dos EUA, que analisam o sucesso que os EUA e as agências dos EUA estão tendo com a adoção do Zero Trust e buscando adotar abordagens semelhantes para impulsionar sua modernização de segurança. Você é capaz de contextualizar e detalhar como está vendo a proliferação do Zero Trust além das fronteiras dos EUA?

44:47 Sean Connelly

Claro, vou ter cuidado aqui, mas houve discussões com agências, alguns governos federais e algumas das discussões são sobre o FedRAMP. E apenas em termos do programa que é o FedRAMP, alguns governos ainda estão tentando defender sua versão de governo ou sua versão do FedRAMP em seu país. Alguns países fizeram o que fizemos com o TIC dois em termos de se eles tinham esses dados ou se havia uma agregação de rede em andamento, esses pontos de acesso TIC finitos. E agora o governo está no mesmo lugar onde há nuvem, há dispositivos móveis. E então, os governos estão vindo até nós. Como podemos tirar proveito dessa solução de serviço de acesso seguro ou da solução SSE? Então, estamos tendo esses tipos de discussões. Outro que remonta ao MFA resistente a phishing. Essa é outra área. Novamente, acho que, onde o governo federal é um pouco diferente, tínhamos cartões PIV e CAC. Mas um pouco diferente de nossos outros governos. Mas você está vendo um interesse claro agora nas soluções FIDO2. Portanto, é um amplo espectro dessas discussões, não apenas uma posição em relação ao que a CISA faz. Mas, novamente, a evolução da nuvem e apenas a soberania dos dados são outra área em que ouço muitas perguntas.

45:56 Raghu Nandakumara

Incrível. Ok. Então, para finalizar, infelizmente, temos que acabar com isso. Então, você está em uma sala de reuniões começando com uma nova agência, e eles estão prestes a começar sua jornada de Zero Trust. E eles dizem: “Ei, Sean Connelly, arquiteto federal do Zero Trust, não temos ideia do que é o Zero Trust. Você pode nos esclarecer no que estamos nos metendo?” O que você diz?

46:22 Sean Connelly

Então, isso seria interessante porque não há novas agências no governo federal, certo? Então, muito disso é tecnologia muito, muito antiga; temos algumas das tecnologias mais antigas, certo? Ninguém está dizendo, como a NASA, que eles precisam colocar MFA de phishing nos satélites Voyager que estão a 10 bilhões de milhas de distância ou precisam colocar um agente EDR ao redor do rover marciano. Então, não se trata tanto da nova organização. Mas, falando sério, quando acho que você está fazendo uma pergunta, mencionei John Kindervag algumas vezes; tive o prazer de trabalhar com John há alguns anos em uma porta diferente da caneta para o presidente. Eu sempre entendo isso errado. Acho que foi um Comitê Consultivo de Telecomunicações de Segurança Nacional. Esses documentos estão disponíveis no site da CISA. Se você acabou de digitar NSTAC Zero Trust, ele deve ir direto ao ponto. Mas nesse documento, uma das coisas que está lá, e isso é o que é ótimo em colaborar com John, é que John dá as cinco etapas do Zero Trust. E John, para seu crédito, está sempre dizendo que Zero Trust é, é muito fácil. Então, nesse documento estão essas cinco etapas. A primeira é definir a superfície protegida. E esse é o primeiro passo. Agora, isso é diferente do que éramos com o TIC Two. Tudo o que você está tentando proteger, você tenta proteger o mainframe, tentando proteger parte da nuvem, coloca-o atrás do TIC. Não havia definição da superfície de proteção. Em Zero Trust, é o que você está tentando proteger? Agora que você sabe que tem essa primeira etapa, a próxima etapa é mapear os fluxos de transação. Uma das principais coisas, porém, quando acabamos de falar sobre fluxos de transações, não queremos dizer apenas como sistema, sistema, cliente-servidor, sim, esses são importantes, como algum tipo de captura de pacotes ou apenas uma forma, mas também é com a organização que está conversando com quem tem um firewall entre falar com a equipe de contabilidade ou com a própria organização. Portanto, esses tipos de fluxos são essenciais aqui. Então você começa a construir essa nova arquitetura. E, novamente, é uma solução centrada em dados que você está tentando, idealmente, colocar a segurança mais perto do que está sendo protegido. Parte da chave é voltar ao modelo de maturidade; ao criar esse novo sistema, o ideal é começar a receber sinais diferentes de cada um desses pilares. O pilar da rede, você quer sinalizar do dispositivo host, você quer ter o sinal da identidade que você quer sinalizar, todos aqueles sinais que podem alimentar a quarta etapa, que é criar as políticas. Significa políticas dinâmicas. Então, como cliente, vou servir, ou pode haver acesso a isso, mas também, novamente, às políticas organizacionais em si. E então a quinta etapa é manifestá-la, monitorá-la e mantê-la. Portanto, nessas cinco etapas, que começam com a busca de um serviço de proteção, você deve criar fluxos de transações, criar a arquitetura, definir as políticas, manter e monitorar. Essas são as cinco etapas e coisas que eu começaria com essa pergunta.

49:01 Raghu Nandakumara

Incrível. Bem, Sean, quero dizer, eu tenho muito mais perguntas para você, então eu sei que você tem um dia agitado para voltar. Agradeço muito por esse momento de hoje. Agradeço muito. Foi fantástico falar com você.

49:13 Sean Connelly

Não, isso é ótimo. Você conhece claramente a modernização da rede, sabe para onde vamos. Foi uma conversa divertida. Muito obrigado.

49:20 Raghu Nandakumara

Muito obrigado, Sean. Obrigado por assistir ao episódio desta semana de The Segment. Voltaremos com nosso próximo episódio em duas semanas. Enquanto isso, para obter mais recursos do Zero Trust, visite nosso site, www.illumio.com, e nos encontre no LinkedIn e no X usando os links em nossas notas do programa. Isso é tudo por hoje. Sou seu anfitrião, Raghu Nandakumara, e voltaremos com mais em breve.

‍