Ir para o conteúdo principal

O que é confiança zero?

 

What is zero trust?

Security measures are crucial to protecting a company's critical information, including applications, endpoints, networks, and similar assets that they need to stay safe and relevant in today’s IT environment. The security measure “zero trust” can be indispensable for companies looking to increase their cyber resilience.

This article explains the basic information about zero trust, why it’s necessary for your enterprise, and what to consider when looking to adopt it.

In addition to data, zero trust security can be applied to applications, endpoints, networks, and similar assets.

Zero trust is a security mindset that helps ensure the safety of everything that accesses your information assets and helps prevent threats to information assets based on the phrase "trust no one implicitly".

Today’s IT environment has evolved. Cloud service adoption is much more common, virtually everyone has at least one mobile device on them at all times, and the internet of things (IoT) ensures that everyone is connected. How users access information assets is also diversifying, and it’s virtually impossible to protect our endpoint devices, network, data, and applications while leveraging yesterday’s conventional security measures.

Zero trust discards the concept of "boundaries and perimeters" in traditional security measures and verifies safety, enabling optimal security measures in a perpetually changing IT environment.1

Techopedia notes that "because untrusted threat actors exist both internally and external to a network, Zero Trust supports the following principles:

  • Never Trust
  • Always Verify
  • Enforce Principle of Least Privilege (PoLP)

An important goal of the Zero Trust Model is to prevent malicious actors from using a compromised account to move laterally across a target network".2

What makes zero trust security measures appealing today?

Traditional security measures are sometimes called "perimeter security." IT departments often establish boundaries for internal networks.3 For example, your company’s onsite network is safe and all external networks outside of your company’s virtual private network (VPN) are unsafe. This logic helps IT departments to implement security measures inside and outside the network perimeter.4

Firewalls and other equipment are installed on the perimeter, and security measures are taken for communication contents exchanged inside and outside the perimeter. However, with the spread of cloud and edge technologies, the boundaries between inside and outside the company have been blurred.

Conventional security architecture cannot provide optimal security against unknown threats for diversifying IT environments, so both applying zero trust and verifying the safety of everything is suitable for today's IT environment. Architectures that helps protect information assets and prevent disaster and disruption, including fraud and outside attacks, are necessary.

Enterprises may also struggle with traditional security if they approach securing their architecture in a siloed way that yields a siloed defense and only increases resilience against known threats. However, against unknown threats, this siloed approach tends to leave enterprises vulnerable. Adopting an integrated zero trust framework and radically changing the way an enterprise approaches governance helps increase an enterprise’s resilience against unknown threats.

What are the benefits of zero trust security?

Several key advantages of adopting zero trust security mindset include:

  • Enhanced perimeter-less security with strengthened Identity and Access management
  • Protection of enterprise assets including end-points, applications, and data
  • Secured cloud and edge services
  • Secured remote working and working on the go

Remote work and modern cloud-oriented environments can hinder conventional perimeter security and the ability to draw boundaries between what is inside and outside the company network. Zero trust security measures help to verify the resilience of all assets and communications regardless of where a company’s employees are working.

Adopting a zero trust security approach in today's diversifying hybrid IT environment helps strengthen your enterprise’s security and firmly protect your information assets.

What should you consider before adopting zero trust security measures?

When adopting zero trust security measures, consider the following factors:

  • Cost
  • Convenience
  • Business goals
  • Strategy, framework, and architecture
  • Competency center

Before you implement any zero trust security measures, consider establishing a zero trust-specific framework, architecture, and competency center.

To implement zero trust security measures, an IT department often must do the following:

  • Create an integrated team with the right specialized skills
  • Create a management system and a mechanism for identifying the most critical assets to be protected, and the key use cases managing common governance and visibility capabilities across the five pillars of zero trust:
    • Identity
    • Data
    • Applications
    • Network
    • Endpoints5

The governance and management system helps introduce dedicated solutions for sharing intelligence and managing operations optimally. While this process has obvious benefits, there is an initial cost to implement it and a continual cost to maintain it.

Zero trust security measures can use VPNs, increase password inputs, multi-factor authentication, and identity verification apps. Although these tools can increase cyber security and resilience, they can also result in increased employee frustration and decreased productivity. For example, say an employee has to run code that takes several hours to process, but also has a security software configuration that logs them off from the VPN if the computer senses 10 minutes of cursor inactivity. This requires the employee to remain at their desk while their code runs and periodically move their cursor in order to prevent themselves from being booted from the VPN and forcing them to restart the coding process.

Today's diversified environment necessitates going beyond yesterday’s conventional security measures. Organizations today are looking at combining cyber security with recovery capabilities to increase cyber resilience. Zero trust security is important to protecting today’s enterprises and compliments other essential aspects of the cyber resilience framework, including the ability to anticipate, respond to and recover from cyber incidents.

Learn more about how your organization can benefit from zero trust security.

Resources

  1. Zero Trust, NRI.
  2. Margaret Rouse, John Meah, Zero Trust (ZTNA), Techopedia,  15 November 2022. 
  3. What is Zero Trust? JB Service, 20 October 2022.
  4. What is Zero Trust, NTT Communications.
  5. Zero Trust Security, NRI Secure.

As medidas de segurança são fundamentais para proteger as informações críticas da empresa, incluindo aplicações, terminais, redes e ativos similares que precisam permanecer seguros e relevantes no ambiente de TI atual. A medida de segurança “confiança zero” pode ser indispensável para empresas que buscam aumentar sua resiliência cibernética. 

Este artigo explica as informações básicas sobre confiança zero, por que ela é necessária para a sua empresa e o que deve ser considerado quando se pensa em adotá-la.

O que é confiança zero?

Confiança zero é uma abordagem de segurança que verifica a segurança de tudo que acessa seus ativos de informações que devem ser protegidos. Ela ajuda a evitar ameaças aos ativos de informações com base na frase "não confie em ninguém implicitamente".

O ambiente de TI atual evoluiu. A adoção do serviço em nuvem é muito mais comum; virtualmente todo mundo tem pelo menos um dispositivo móvel na nuvem o tempo todo e a Internet das Coisas (IoT) garante que todos estejam conectados. A forma como os usuários acessam os ativos de informações também está se diversificando, e é virtualmente impossível proteger nossos dispositivos, rede, dados e aplicações utilizando as medidas de segurança convencionais do passado.  

A confiança zero descarta o conceito de "limites e perímetros" nas medidas de segurança tradicionais e verifica a segurança, o que permite medidas de segurança ideais em um ambiente de TI em constante mudança.1

O que torna atraentes as medidas de segurança de confiança zero atualmente?

Medidas de segurança tradicionais às vezes são chamadas de "segurança de perímetro". Os departamentos de TI geralmente estabelecem limites para redes internas.2 Por exemplo, a rede onsite da sua empresa é segura e todas as redes externas fora da rede privada virtual (VPN) da sua empresa são perigosas. Isso ajuda os departamentos de TI a implementarem medidas de segurança dentro e fora do perímetro da rede.3

Firewalls e outros equipamentos são instalados no perímetro e medidas de segurança são tomadas para os conteúdos de comunicação trocados dentro e fora do perímetro. No entanto, com a difusão das tecnologias de nuvem e de edge, as fronteiras entre o interior e o exterior da empresa tornaram-se tênues.

A arquitetura de segurança convencional não pode fornecer a segurança ideal com relação a 'ameaças desconhecidas' para ambientes de TI diversificados, portanto, ambos, a confiança zero e a verificação da segurança de tudo, são adequados ao ambiente de TI atual. São necessárias arquiteturas que ajudem a proteger os ativos de informações e a evitar desastres e interrupções, incluindo fraudes e ataques externos.  

As empresas também podem ter dificuldade com a segurança tradicional se abordarem a proteção de sua arquitetura de maneira compartimentada. Essa abordagem compartimentada pode resultar em uma defesa compartimentada na arquitetura de profundidade e aumentar a resiliência contra ameaças conhecidas. No entanto, contra ameaças desconhecidas, essa abordagem tende a deixar as empresas vulneráveis. A adoção de uma estrutura integrada de confiança zero e a mudança radical na maneira como uma empresa aborda a governança ajudam a aumentar a resiliência de uma empresa com relação a ameaças desconhecidas.

Quais são os benefícios da segurança de confiança zero?

As muitas vantagens importantes da adoção da abordagem de segurança de confiança zero incluem:  

  • Segurança aprimorada sem perímetro com identidade e gerenciamento de acesso reforçados
  • Proteção de ativos da empresa, incluindo terminais, aplicações e dados
  • Serviços seguros de nuvem e de edge
  • Trabalho protegido, remoto e em qualquer lugar

O trabalho remoto e os ambientes modernos orientados para nuvem podem dificultar a segurança perimetral convencional e a capacidade de desenhar limites entre o que está dentro e o que está fora da rede da empresa. As medidas de segurança de confiança zero ajudam a verificar a resiliência de todos os ativos e comunicações, independentemente de onde os funcionários de uma empresa estejam trabalhando.

Adotar uma abordagem de segurança de confiança zero no ambiente diversificado de TI híbrida atual ajuda a fortalecer a segurança de sua empresa e a proteger firmemente seus ativos de informações.  

O que você deve considerar antes de adotar medidas de segurança de confiança zero?

Ao adotar medidas de segurança de confiança zero, considere os fatores a seguir:

  • Custo
  • Conveniência
  • Objetivos de negócio
  • Estratégia, estrutura e arquitetura
  • Centro de competência

Antes de implementar qualquer medida de segurança de confiança zero, considere estabelecer uma estrutura, uma arquitetura e um centro de competência específicos de confiança zero.  

Para implementar medidas de segurança de confiança zero, um departamento de TI geralmente deve fazer o seguinte: 

  • Criar uma equipe integrada com as habilidades especializadas certas 

  • Criar um sistema de gerenciamento e um mecanismo para identificar os ativos mais críticos a serem protegidos, e os principais casos de uso que gerenciam os recursos comuns de governança e visibilidade nos cinco pilares da confiança zero:

    • Identidade
    • Dados
    • Aplicações
    • Rede 
    • Terminais4

O sistema de governança e gerenciamento ajuda a apresentar soluções dedicadas para compartilhar inteligência e gerenciar operações de maneira otimizada. Embora esse processo tenha benefícios óbvios, há um custo inicial para implementá-lo e um custo continuado para mantê-lo.

As medidas de segurança de confiança zero podem usar VPNs, aumentar inserções de senha, autenticações de diversos fatores e apps de verificação de identidade. Embora essas ferramentas possam aumentar a segurança cibernética e a resiliência, elas também podem resultar em aumento da frustração do funcionário e diminuição da produtividade. Por exemplo, digamos que um funcionário tenha que executar um código que precisa de várias horas de processamento, mas também tem uma configuração de software de segurança que o desconecta da VPN se o computador detecta 10 minutos de inatividade do cursor. Isso exige que o funcionário permaneça em sua mesa enquanto o código é executado e mova periodicamente o cursor para evitar a desconexão da VPN e a necessidade de reiniciar o processo de codificação.

O ambiente diversificado de hoje exige ir além das medidas de segurança convencionais de ontem. Atualmente, as organizações procuram combinar segurança cibernética com recursos de recuperação para aumentar a resiliência cibernética. A segurança de confiança zero é importante para proteger as empresas atuais e complementa outros aspectos essenciais da estrutura da resiliência cibernética, incluindo a capacidade de antecipar, responder e se recuperar de incidentes cibernéticos.  

Saiba mais sobre como sua organização pode se benefíciar da segurança de confiança zero.

Resources

  1. Zero Trust, NRI.
  2. What is Zero Trust? JB Service, 20 October 2022.
  3. What is Zero Trust, NTT Communications.
  4. Zero Trust Security, NRI Secure.