O termo "Zero Trust", ou “Confiança Zero” em português, foi introduzido em 2010 pelo analista de segurança John Kindervag, que na época era analista principal da Forrester Research. Ele introduziu o conceito em um documento chamado "No More Chewy Centers: Introducing The Zero Trust Model Of Information Security". O modelo proposto por Kindervag desafia a abordagem tradicional de segurança que se baseia na ideia de "perímetro de confiança", onde tudo dentro desse perímetro é considerado seguro por padrão.
Zero Trust é um modelo de segurança cibernética que se baseia na premissa de que as organizações não devem confiar automaticamente em qualquer entidade, dentro ou fora de sua rede. Ao contrário dos modelos de segurança tradicionais que pressupõem confiança implícita uma vez que um usuário ou dispositivo está dentro da rede corporativa, o Zero Trust adota uma abordagem mais cautelosa e assume que ameaças podem surgir de qualquer lugar, inclusive de dentro da rede.
Mas como esse modelo se relaciona com IAM?
O Zero Trust e IAM estão inter-relacionados, pois ambos desempenham papéis cruciais na estratégia de segurança de uma organização. Sendo que o IAM é uma parte fundamental da implementação eficaz do modelo Zero Trust.
Autenticação e Autorização Contínuas
No Zero Trust, a ideia é não confiar cegamente em uma única autenticação no início da sessão. Aqui podemos usar como exemplo a “autenticação baseada em contexto”, que consiste em não depender apenas de credenciais estáticas, como nome de usuário e senha, a autenticação baseada em contexto leva em conta vários fatores contextuais para determinar se o acesso deve ser concedido. A IAM desempenha um papel crucial aqui, garantindo que a conta de um usuário seja continuamente verificada ao longo do tempo, mesmo depois que a sessão foi iniciada.
Menor Privilégio
O conceito de "menor privilégio" no Zero Trust alinha-se com os princípios da IAM, onde os usuários recebem apenas as permissões necessárias para realizar suas tarefas específicas. A IAM controla e gerencia essas permissões, garantindo que os usuários tenham apenas o acesso necessário para desempenhar suas funções.
Gerenciamento de Identidade
Uma estratégia eficaz de IAM envolve a criação, atualização e exclusão de identidades de usuários de maneira eficiente. Essas informações são cruciais para o Zero Trust, pois a correta identificação e autenticação dos usuários são elementos-chave.
Monitoramento Contínuo
Tanto o Zero Trust quanto a IAM enfatizam o monitoramento contínuo. A IAM monitora o comportamento do usuário, detectando atividades incomuns que podem indicar uma possível ameaça à segurança. Isso está alinhado com a abordagem do Zero Trust de verificar constantemente a validade das entidades e atividades.
Integração com Outras Soluções de Segurança
Ambos os conceitos exigem integração com outras soluções de segurança, como sistemas de detecção de intrusões, firewalls e análise de comportamento de usuários. A IAM fornece informações valiosas para essas soluções, ajudando a criar uma visão mais abrangente e aprimorada da postura de segurança.
Agora que entendemos um pouco melhor a relação entre o modelo de Zero Trust e IAM, vamos direto para a prática.
A implementação prática do modelo Zero Trust envolve a adoção de várias práticas e tecnologias para criar uma postura de segurança mais robusta. Aqui estão algumas etapas essenciais para implementar o Zero Trust no olhar de IAM na prática:
Acesso Condicional
Implemente políticas de acesso condicional que determinem o acesso com base em contextos como localização, dispositivo usado, hora do dia, entre outros. Isso adiciona uma camada extra de verificação. A maioria das soluções de IdP (Identity Providers), tais como: Entra ID, Okta, CyberArk, já possuem recursos para criações de políticas de acessos condicionais.
UEBA - User and Entity Behavior Analytics
No modelo de Zero Trust associado a questões citadas acima sobre acesso condicional, temos um vínculo forte com questões do comportamento do usuário (UEBA - User and Entity Behavior Analytics), onde os controles aplicados podem ser explorados ou o nível de segurança aumentados com base em mudanças do comportamento e padrão de uso do usuário dentro dos sistemas e recursos corporativos.
Autenticação Multifatorial (MFA)
Implemente a autenticação multifatorial em todos os pontos de acesso, garantindo que a validação da identidade não dependa apenas de senhas. Isso adiciona uma camada extra de segurança. Explore o conceito de “MFA Everywhere” dentro da sua organização, verificando todos os pontos possíveis para implementação do MFA.
Modelos de controle de acessos baseados em atributo, função ou política (ABAC / RBAC / PBAC)
Adote uma abordagem de autorização baseada em função para garantir que os usuários tenham apenas as permissões necessárias para realizar suas tarefas. Reduza o risco de exploração de contas privilegiadas. Aqui estamos muito linkados com o conceito de “Menor Privilégio” citado acima. Quanto mais assertivos em distribuir os acessos de acordo com as funções do usuário, menor será o risco para o negócio.
ITDR (Identity threat detection and response)
Implemente ferramentas de monitoramento de segurança que possam analisar o comportamento do usuário, o tráfego de rede e as atividades do sistema em tempo real. Isso permite a detecção precoce de comportamentos suspeitos. Aqui temos um conceito ainda novo para o mercado de IAM, que é o ITDR (Identity threat detection and response) que se refere a práticas, ferramentas e estratégias empregadas para detectar e responder a ameaças específicas relacionadas à identidade de usuários em um ambiente digital.
Controles de Direitos de Acesso Baseado em Nuvem
Se estiver utilizando serviços em nuvem, implemente controles de acesso rigorosos e integre a segurança Zero Trust em suas estratégias de nuvem. Aqui podemos vincular muito com o modelo do CIEM (Cloud Infrastructure Entitlement Management) que vai apoiar para garantir que os princípios de privilégios mínimos e acesso necessário sejam aplicados de forma eficaz, minimizando as potenciais superfícies de ataque.
Já existem ferramentas de mercado com produtos voltados ao conceito de CIEM, seja com produtos já desenvolvidos ou em fase de desenvolvimento.
Clique aqui para acessar artigo específico sobre o CIEM.
Conclusão
Em resumo, o Zero Trust e a IAM trabalham sinergicamente para criar um ambiente de segurança robusto. A IAM fornece as ferramentas e os controles necessários para implementar os princípios do Zero Trust, garantindo que a confiança não seja concedida automaticamente e que a autenticação, a autorização e o monitoramento sejam contínuos.
Diversos requisitos de IAM para atender a um modelo Zero Trust já são itens básicos nos dias atuais, porém sabemos que diversas organizações ainda precisam evoluir muito ou fazer investimentos altos para conseguir garantir esses requisitos. Desta forma, pensar de forma prática no Zero Trust requer iniciar por alguns requisitos e conceitos básicos de uma estrutura de Gestão de Identidades e Acessos em sua organização até a itens mais complexos e modernos que complementam o modelo a ser adotado.
留言