“Nunca confie, sempre verifique”, este é o principal lema do modelo Zero Trust, que foi inicialmente criado por John Kindervag na Forrester Research e que vem sendo largamente discutido e aplicado pelas empresas.

Tradicionalmente, a arquitetura de segurança de TI se baseia na ideia de que a organização é como uma fortaleza, criando barreiras para acessar os recursos que estão dentro de seu perímetro (no caso, a rede corporativa). Porém, todos que estejam dentro dessa fronteira são considerados confiáveis por padrão e possuem fácil acesso aos recursos internos.

Com a expansão do trabalho remoto, BYOD (Bring Your on Device), arquiteturas hospedadas na nuvem e um grande número de aplicações SaaS (Software as a Service), este conceito de “fortaleza” passou a ser insuficiente para garantir a segurança cibernética corporativa. Neste contexto que surge a ideia de Zero Trust, o qual reconhece que a confiança é uma vulnerabilidade e que por padrão ninguém é confiável.

 A arquitetura Zero Trust envolve alterações na postura, política e processo da empresa. Na prática, este modelo pode ser aplicado através do uso de diversas tecnologias modernas para verificação de identidade, autenticação e autorização de usuários e dispositivos. Dentre as principais ferramentas e conceitos estão:

  • Princípio do privilégio mínimo: conceito onde os usuários apenas têm acesso às aplicações e dados necessários para fazerem seu trabalho mínimo e caso necessitem de maior privilégio, devem fazer um processo de solicitação.
  • Multi-factor authentication (MFA ou 2FA): solução que provê uma camada adicional de verificação dos usuários, através de biometria ou outro fator.
  • Autenticação Inteligente ou Adaptativa: este tipo de solução vem evoluindo nos último anos e tem por objetivo detectar alguma anomalia no acesso do usuário e quando ela for encontrada criar um fluxo de ação específico ou alertar a equipe de segurança. Um exemplo de anomalia pode ser desde o acesso por um dispositivo novo, até a verificação do padrão de como o usuário digita seu email ou senha.
  • Single Sign-On: apesar de o conceito já ser antigo e até mesmo implementado por muitas empresas, a utilização de diversas ferramentas SaaS e um ambiente multi-aplicações da empresas, reforça a necessidade de uma autenticação única e centralizada para garantir maior segurança.
  • Behavior Analytics: soluções de governança com visualização dos privilégios de cada área e métricas que ajudem a avaliar que tipo de aplicação/dado que cada perfil precisa de acesso. Essas informações e a inspeção delas ajudam nas tomadas de decisão e aprimoramentos da arquitetura pelos administradores.

Analisando estes itens acima é possível verificar que hoje muitas empresas já adotam algumas dessas ideias ou estão aplicando esses conceitos para parte de seus colaboradores.

Adotar uma abordagem de Zero Trust exige estudo e conhecimento profundo da arquitetura atual da empresa. É possível iniciar por partes pequenas, com alguns módulos simples que já trarão um grande avanço em segurança.

Em alguns casos é possível aproveitar ou adaptar ferramentas e processos já existentes internamente. Porém é sempre importante buscar a centralização das soluções e uma intercomunicação entre todos os módulos para facilitar a governança desse ambiente.

Acima de tudo, o modelo Zero Trust não deve ser encarado como uma disruptura ou como uma arquitetura completamente nova, mas sim como um avanço do que já existe em termos de segurança. A própria ideia de Zero Trust e os diferente módulos que a constituem estão também em constante evolução.