O modelo zero trust assume que nenhum usuário ou processo é confiável por padrão e, portanto, todos devem ser continuamente verificados. Ele inspeciona todo o tráfego de uma rede corporativa, limita e controla o acesso e verifica os recursos de rede.
A maioria das organizações ao redor do mundo implementou uma estratégia de cibersegurança baseada no modelo de confiança zero, conhecido como zero trust. De acordo com a consultoria Gartner, 63% das organizações adotaram essa estratégia, seja de forma parcial ou completa.
Em ambientes de zero trust, os usuários solicitam acesso a cada recurso protegido individualmente e geralmente usam autenticação multifator. Por exemplo, um usuário pode precisar fornecer uma senha para acessar um sistema e, em seguida, receber um código de autenticação no celular. Neste modelo, dados e recursos são inacessíveis por padrão, e os usuários só podem acessá-los sob as circunstâncias certas e de maneira limitada.
John Kindervag desenvolveu as primeiras concepções do zero trust em 2008, enquanto trabalhava na Forrester Research. Em 2010, ele publicou o primeiro relatório sobre a nova estratégia de cibersegurança. Ao longo dos anos, surgiram diferentes definições do zero trust, mas todas se baseiam nos princípios estabelecidos por Kindervag.
O grande impulso para o zero trust ocorreu em maio de 2021, quando o presidente dos Estados Unidos, Joe Biden, emitiu uma ordem executiva determinando a implementação do zero trust nos sistemas de computação do governo.
Etapas de Implementação
Segundo o relatório do Comitê Consultivo de Segurança Nacional (NSTAC), a implementação do zero trust nas organizações segue cinco etapas principais:
- Identificação de Dados, Aplicações, Ativos e Serviços (DAAS): Identificar os elementos que precisam ser protegidos.
- Mapeamento do Fluxo de Transações: Entender como a rede funciona ao mapear as interações dos componentes do DAAS com outros recursos.
- Construção da Arquitetura Zero Trust: Desenvolver uma arquitetura personalizada baseada nas interações e contextos identificados.
- Criação de uma Política de Segurança: Estabelecer políticas de segurança específicas para a rede.
- Monitoramento Contínuo do Tráfego: Assegurar que as transações permaneçam dentro das políticas estabelecidas.
Dividir o processo em partes menores e gerenciáveis é crucial para uma implementação eficaz do modelo zero trust.
