Trabalho híbrido, BYOD e Internet das Coisas: o desafio dos dispositivos para a implementação do Zero Trust

Quando falamos de arquitetura Zero Trust (ZTA, na sigla em inglês), nos referimos a uma estrutura corporativa de segurança projetada para não confiar em nenhuma entidade interna ou externa antes de verificar e validar a solicitação de acesso, com base nos princípios de identidade, credenciais, gerenciamento de acesso, operações, terminais, ambientes de hospedagem e infraestrutura de interconexão. A ZTA pode ser abordada de várias maneiras, incluindo governança de identidade aprimorada, microssegmentação lógica e segmentação baseada em rede.

A implementação de tal estrutura nas organizações, para ser bem-sucedida, deve contemplar em seu processo os dispositivos móveis, de propriedade dos funcionários (BYOD) e aqueles atrelados à Internet das Coisas (IoT, na sigla em inglês), o que ainda é um desafio para o gerenciamento dos profissionais de segurança; afinal, em uma realidade cada vez mais híbrida, como garantir a proteção da rede, uma vez que esses terminais não pertencem à empresa?

Dispositivos não gerenciados, decorrentes das políticas BYOD, criam vulnerabilidades difíceis de detectar e administrar — conectados à rede corporativa, podem não ter o gerenciamento integrado, nem controles e recursos de segurança, tornando difícil, ou mesmo impossível, proteger eles e seu acesso aos recursos da empresa. Uma vez que esses dispositivos comprometidos entram na rede, estratégias desatualizadas de “defender o perímetro” são extremamente frágeis contra movimentos laterais e ataques vetoriais internos.

Os dispositivos de IoT já se provaram um importante ponto de entrada para ameaças. A facilidade com que esses aparelhos podem ser integrados e conectados é o que também os torna um grande risco à segurança — uma vez online, normalmente estão “sempre ligados”. Ou seja, invasores dispõem de 24 horas, todos os dias, para obter acesso e canalizar dados à vontade. Além disso, esses dispositivos são notórios por problemas como credenciais padrão e pela incapacidade de atualização ou correção, o que leva a vulnerabilidades significativas prontas para exploração. Um motivo a mais de preocupação é o fato de que, em breve, todos os setores serão impactados por uma infinidade de novos dispositivos IoT habilitados por 5G e sensores de energia ultrabaixa que fornecem décadas de vida útil de bateria.

A rede de acesso Zero Trust (ZTNA, na sigla em inglês), também conhecida como perímetro definido por software, aplica os princípios de Zero Trust à segurança da rede. O ZTNA está se tornando rapidamente o padrão corporativo para controle de acesso seguro à medida em que a nuvem e a TI e a força de trabalho híbridas viram do avesso o perímetro de segurança, e soluções como VPNs criam mais riscos do que proteção com sua abordagem falha de “conectar primeiro, autenticar depois”.

Uma solução ZTNA robusta unifica o acesso seguro em todas as cargas de trabalho, independentemente de onde elas estejam hospedadas ou quais protocolos elas obedecem. Os benefícios incluem:

Mecanismo de políticas centralizado para todas as cargas de trabalho, o que simplifica o seu gerenciamento;
Todos os recursos ficam invisíveis e não podem ser acessados até que a confiança seja verificada e o acesso permitido, reduzindo bastante sua superfície de ataque;
Autenticação multifator e acesso com privilégios mínimos a sistemas operacionais não padrão e infraestrutura legada sem refatoração;
Microssegmentação refinada que limita o movimento lateral não autorizado em todas as cargas de trabalho;
Metadados que podem ser aproveitados em políticas dinâmicas just-in-time e dimensionamento automático, o que é particularmente útil para DevOps e à Nuvem;

Outras vantagens são a arquitetura definida por software que permite escalabilidade simples e econômica à medida que novos requisitos de carga de trabalho são definidos; e os princípios de Zero Trust aplicados a conexões service-to-service (fluxos de tráfego leste-oeste), que restringem ainda mais o movimento lateral não autorizado e a disseminação de malware entre cargas de trabalho.

Por Marcos Tabajara, diretor de vendas da Appgate do Brasil.