Zero Trust é confiança zero! Ou seja, não vamos confiar no dispositivo, no usuário e nem na rede.
Antigamente, no modelo tradicional, quando o usuário estava dentro do escritório conectado à rede corporativa, notebook com antivírus e patches de segurança atualizados, ele tinha acesso a todas as aplicações, rede e servidores.
A situação é igual para os usuários. Apenas por possuir uma senha válida, ele poderia acessar aplicações e até VPN de qualquer máquina e de qualquer lugar do mundo.
A ideia era a mesma para os servidores e a rede. Construímos uma regra de firewall, que permitirá o tráfego naquele protocolo e porta, e isso seria válido para qualquer processo ou serviço.
Claro que os ambientes e políticas de segurança são diferentes para todas as organizações, mas esse era o panorama geral. No entanto, a Tecnologia da Informação evoluiu muito nos últimos anos com a IaaS, PaaS e SaaS. Ou seja, estendemos nosso DC para as clouds e utilizamos várias aplicações e produtos como serviço.
Como consequência, a superfície de ataque agora é muito maior, o que fez com que as ameaças e os atacantes também crescessem. Os hackers possuem ferramentas poderosas e estão motivados por ideologias e ganhos financeiros. Além disso, eles tentam influenciar colaboradores tornando o ataque um trabalho interno!
Uma premissa fundamental: um usuário ou dispositivo comprometido, não pode significar acesso liberado a todos os seus recursos, permitindo que uma ameaça se espalhe horizontalmente (contaminando outros servidores, aplicações e endpoints).
Em 2010, John Kindervag, analista da Forrester, introduziu o termo Zero Trust em um de seus artigos e, em 2020, o NIST deu ênfase ao termo com uma publicação dedicada.
O Zero Trust se tornou uma tendência de mercado e ele diz que não importa se as credenciais do usuário estão válidas, se o notebook é corporativo e possui ferramentas atualizadas, e nem se o usuário está dentro do escritório na rede corporativa. Cada tentativa de acesso a uma aplicação ou servidor deverá será validada.
A abordagem é válida para qualquer ambiente na cloud pública, privada, on-premises e aplicações onde quer que elas estejam.
Existem algumas formas de empregar o conceito de Zero Trust. Diferentes fabricantes adotam abordagens distintas, por exemplo: através de uma regra de firewall, de um agente em um servidor separando as cargas de trabalho, microssegmentando as comunicações e no acesso a redes e aplicações.
Um nicho de ferramentas que entrega o conceito de forma mais completa são as soluções corporativas de MFA (múltiplo fator de autenticação). Diferente de um produto de 2FA (duplo fator de autenticação), que possui basicamente uma única opção para validar a identidade do usuário, uma solução de MFA possui diversas formas de fazer isso, seja via notificação push, SMS, ligação telefônica, OTP (one time password), tokens físicos e biometria.
As ferramentas de 2FA se assemelham com aqueles chaveiros utilizados antigamente para acesso a contas bancárias por exemplo. Várias empresas também o utilizavam para acesso a VPN e, muitas delas desenvolvem as próprias aplicações, empregando exatamente o conceito acima e basicamente confirmando a identidade do usuário.
Embora seja uma camada adicional de segurança (o que sempre é melhor do que nada), essas ferramentas não entregam o conceito de Zero Trust.
Uma solução robusta e completa de MFA deve permitir a integração com aplicações corporativas e legadas através de API ou código. Essa integração, em sua maioria dos casos, já vem pronta, bastando ativá-la.
Além disso, também deve ser possível proteger:
- Acesso (login) a servidores e estações de trabalho;
- Acesso a VPN;
- Acesso a redes cabeadas e wifi, integrando com autenticação Dot1x;
- Validação de parâmetros específicos da máquina como browser, patches e ferramentas;
- Controle de tenants (Google, Microsoft etc.) corporativo e pessoal.
Outro ponto fundamental deve ser a criação de regras baseadas em contexto, criando assim um perfil de risco. Funciona dessa forma: temos então, até aqui, uma plataforma SaaS, centralizada, onde todos os acessos estão passando por ela. Com a visibilidade completa que ganhamos teremos informação das preferências do usuário. A inteligência da ferramenta irá entender e mapear a sua forma de autenticação preferida, o dispositivo, horários e a localização para, a partir daí, criar um baseline para aquele usuário específico. Qualquer tentativa de acesso, de outro país, outro dispositivo, horário incomum ou método de autenticação diferente, pode ser que não seja legítimo.
Um outro caso de uso que define muito bem o conceito de Zero Trust é a integração com um antivírus. No caso do comprometimento da máquina por algum malware (vírus, ransomware etc.) via phishing por exemplo, a ameaça seria detectada pelo antivírus que enviaria essa informação para a ferramenta de MFA. Esta, por sua vez, faz o bloqueio do acesso do usuário até que o malware seja quarentenado ou excluído do endpoint.
Finalizando, esse é o conceito do Zero Trust. Validar usuários, dispositivos e aplicações a cada tentativa de conexão, liberando o menor nível de acesso possível.
*Por Fernando Mantovani Pierobon, Sr. Technical Architect da NTT Ltd.
