Pular para o conteúdo principal

Zero Trust: A evolução na jornada da identidade digital

Abordagem para arquitetura de segurança

A combinação entre arquitetura Zero Trust e identidade digital permite construir confiança em um mundo cercado de ameaças digitais

À medida que processos são automatizados, os limites entre online e offline, local e nuvem, se diluem e os cyber ataques ficam cada vez mais sofisticados. Como manter o controle sobre os ambientes e as ações dos usuários em um universo tão amplo?

Ecossistemas cada vez mais complexos, riscos cada vez maiores

 

As organizações estão enfrentando desafios crescentes com a necessidade de fazer migrações aceleradas do on-premise para a nuvem. Entretanto, sem implementação adequada de metodologias de segurança, muitas empresas acabam criando uma superfície maior para ataques cibernéticos.


Se antes havia apenas um castelo para defender, agora as joias da coroa ficam espalhadas em vários castelos (TI híbrida), tornando mais complexa sua defesa. Soma-se a isso que as empresas possuem colaboradores, fornecedores, parceiros, clientes e dispositivos IOT que precisam de acesso a uma lista crescente de aplicativos nesses castelos. Para cobrir todos os pontos cegos dessa defesa, é preciso repensar a segurança de dentro para fora.

Como funciona a identidade como base em Zero Trust

 

O conceito de “nunca confie, sempre verifique”, é a essência do Zero Trust — abordagem moderna e compreensiva para segurança de todos acessos na rede, aplicações e ambientes da empresa —, que ajuda a proteger usuários, dispositivos do usuário final e outros recursos. Além de assegurar os acessos globalmente nas interações do dia-a-dia, a arquitetura com confiança zero protege também os objetivos estratégicos da organização.

O Zero Trust permite explorar melhor as tecnologias já conhecidas, como Single Sign On (SSO) e OAuth, e as novas, como autenticação sem senha, autenticação dinâmica e automação de processos e monitoramento. Ou seja, não é apenas um meio poderoso de melhorar a segurança, mas também de facilitar a rotina das pessoas. Com essa implementação, além de “as pessoas certas, com o nível certo de acesso” e “os recursos certos, na hora certa”, é dado um passo a mais na jornada de segurança da identidade: a garantia de estar também “no contexto certo, sendo avaliado continuamente”.

A identidade Zero Trust é baseada em contexto, como localização, horário, dispositivo, além do perfil, da autenticação e aplicação acessada.

Por exemplo, se você faz login de São Paulo todos os dias durante o horário de trabalho e acessar de Cingapura à meia-noite, terá que passar por controles de segurança muito mais rígidos. A lógica oposta também é válida, se você precisar atualizar rapidamente um ticket e o dispositivo e função forem conhecidos, não precisará autenticar no nível mais rígido.

O princípio do menor privilégio, outra lógica da abordagem, exige que cada usuário receba a menor quantidade de permissão possível para efetuar suas tarefas com sucesso.

Prepare-se para agir o quanto antes

 

É preciso elevar as estratégias de segurança rapidamente para aumentar a escalabilidade e agilidade, por meio da nuvem, e se preparar para a próxima onda de inovação, com a ajuda de inteligência artificial, automação e ‘phygital’.
Embora a implementação de Zero Trust exija um planejamento adequado, há uma série de ações que podem começar a agregar valor imediatamente, sem comprometer a estratégia de longo prazo:

  • Comece a mapear todos os dados e assets para ter uma visão completa do seu ambiente — afinal, você não pode proteger o que não sabe que existe. Além disso, com o uso da nuvem e Software as a Service (SaaS), é preciso monitorar o risco de sistemas implantados por áreas que não são a TI (shadow IT);
  • Adicione à camada de proteção a Autenticação de Múltiplos Fatores (MFA), em substituição à autenticação de rede (VPN), com apoio de um serviço de identidade centralizado;
  • Mude a definição das permissões para um modelo mais granular e dinâmico, como Controle de Acesso Baseado em Atributo (ABAC, sigla em inglês), para não depender de funções pré-definidas e estáticas atribuídas aos usuários como Controle de Acesso Baseado em Função (RBAC, sigla em inglês).

Como podemos ajudar?

 

A Deloitte pode ajudar a sua organização a definir esse roadmap para implementação de Zero Trust de forma ampla ou especificamente para serviços de identidade. Por meio do framework desenvolvido pela inteligência e experiência das equipes de Cyber e de nossas alianças estratégicas, é possível conduzir desde a concepção até a implementação de programas Zero Trust e aplicar as soluções mais compatíveis com o seu cenário.

Reduza riscos com a construção de confiança

Did you find this useful?

Thanks for your feedback

Se você quiser ajudar a melhorar ainda mais o Deloitte.com, preencha o formulário Pesquisa de 3 minutos