Getting Maximum Protection through Zero Trust Callout

Obter proteção máxima por meio do Zero Trust

Uma entrevista com John Summers, CTO, Segurança e Desempenho na Web, Akamai Technologies

Como descrever o Zero Trust?

O Zero Trust tem a ver com a distinção que vem desaparecendo entre interno e externo. As organizações costumavam ter seus data centers e redes dentro de uma zona de controle. Confiavam no que estava dentro e tinham cautela com o que vinha de fora. O foco da segurança era manter os bandidos do lado de fora e deixar que os mocinhos entrassem com a ajuda de um excelente controle de acesso ao atravessar o perímetro.

Mas veja o que está acontecendo com as empresas hoje em dia. O perímetro está se desfazendo. Infraestruturas, aplicações, dados e usuários estão cada vez mais dispersos. Muitas vezes, não há perímetro entre usuários móveis e aplicações empresariais na nuvem, e as interações ocorrem em redes que as empresas não controlam. Portanto, precisamos ajustar nosso pensamento a esse novo paradigma e incorporar a segurança de forma diferente.

Para iniciantes, não podemos confiar em uma comunicação com base no local de origem dela. Portanto, seja dentro ou fora da rede, antes que essa comunicação seja transmitida, é preciso que ela passe pelo mesmo nível de verificações de autenticação e autorização. O fato de simplesmente considerar tudo como não confiável ajuda bastante a lidar com o estado de transição em que as organizações se encontra, em que uma aplicação que está no seu data center este mês estará na nuvem no mês seguinte. E o usuário que está em sua zona de controle hoje estará trabalhando em algum outro lugar amanhã.

Não confie em nada, verifique tudo, mantenha controles consistentes, pois essa é a essência do zero trust.

Fale mais sobre o que gera a necessidade do zero trust nas empresas.

O objetivo da segurança virtual é permitir que uma empresa opere e inove de forma eficaz e com confiança, protegendo seus ativos digitais e aqueles que os utilizam. Hoje, esses ativos são distribuídos e se movimentam como nunca antes.

A infraestrutura de que dispomos agora inclui a Internet e a nuvem, e como a infraestrutura é mais definida por software, sua localização física se torna mais fluida. A infraestrutura de rede conecta empresas com clientes, funcionários móveis e terceiros, e essas interações necessariamente cruzam o perímetro tradicional.

As aplicações representam os processos de negócios em que o valor é criado. Até mesmo as mais importantes estão saindo do data center e migrando para a nuvem, junto com seus dados. As transações precisam ser protegidas, os dados precisam ser protegidos e a atividade da empresa precisa ser auditada para fins de conformidade com as normas, exatamente como acontecia quando esses ativos estavam dentro do data center.

E os usuários estão por toda parte. A empresa precisa se conectar com os clientes nos dispositivos e de acordo com os termos deles onde quer que eles estejam. Funcionários móveis e remotos passam menos tempo na zona de controle tradicional. E parceiros de negócios, fornecedores, distribuidores e prestadores de serviços são altamente distribuídos.

Basta somar tudo isso. Infraestrutura, aplicações, dados e usuários podem estar em qualquer lugar. Isso aumentou drasticamente o nível de exposição, ou seja, a área de ataque que as empresas precisam proteger. E também aumentou drasticamente a complexidade do gerenciamento de rede e segurança.

Não podemos domar esses ativos de novo e ainda prosperar na era dos negócios digitais. Portanto, precisamos protegê-los não com um perímetro, mas mais individualmente, onde quer que estejam. Isso requer alta visibilidade e zero trust.

O que implica a transição para o Zero Trust?

É necessária uma arquitetura de segurança diferente. A política e os controles de segurança precisam ser aplicados onde funcionam melhor, que é com os ativos digitais protegidos. Pense na maneira certa de proteger uma comunicação a partir de um ponto da nuvem para outro. Você realmente gostaria de conseguir encontrar o caminho de comunicação mais rápido entre esses dois pontos e, assim, implementar os controles de segurança adequados bem no meio desse caminho. Nenhuma comunicação é estabelecida, a menos que ambas as partes tenham sido fortemente autenticadas, e nenhum dado é transferido, a menos que tenham sido fortemente criptografados. É isso que precisamos fazer.

É preciso também ter uma mentalidade diferente em relação à segurança. A maioria dos profissionais de segurança cresceu no mundo do gerenciamento de redes, onde roteadores, firewalls e pacotes de rede são ferramentas de trabalho. É natural continuar tentando codificar a segurança principalmente na camada de rede, com técnicas como a microssegmentação. Mas esse é o caminho difícil e complexo. Precisamos romper esse hábito e avançar para a camada de aplicação. O objetivo é proteger as interações que ocorrem nas aplicações, independentemente das redes em que estão sendo executadas, porque elas estão sendo executadas em redes que a empresa não controla. O nível das aplicações é onde a política e o controle de segurança definidos pela empresa são mais bem incorporados e aplicados. Nesse nível, os controles de segurança são portáteis para onde quer que os ativos estejam.

O que o Zero Trust significa para a empresa?

O Zero Trust cria uma visibilidade sem precedentes do que está acontecendo com ativos digitais e usuários, e não apenas o que está acontecendo na rede. Isso permite uma segurança mais abrangente em um ambiente comercial altamente disperso. Os controles de segurança padrão podem ser incorporados a aplicações e suas interfaces, o que agiliza o desenvolvimento e a implantação de novos recursos para a empresa. Portanto, o Zero Trust, em última análise, permite que a empresa seja mais ágil, para prosseguir com maior velocidade e confiança em todas as suas iniciativas digitais.

O Zero Trust reduz também a complexidade e simplifica o gerenciamento de rede. Quando os profissionais de rede não precisam forçar os controles de segurança e as políticas da camada de processos de negócios para dentro da rede, eles podem se concentrar mais no desempenho e na confiabilidade da rede e na experiência digital que está sendo entregue aos usuários.

Os controles de segurança podem ser abordados em termos comerciais: Quem é esse usuário, qual é o grau de confiança que posso ter nele, com qual aplicação ele está tentando se comunicar, qual é o risco comercial de permitir que ele se comunique com essa aplicação e quais políticas e controles precisam estar no caminho dessa comunicação? As decisões sobre essas políticas e controles são claramente de responsabilidade dos proprietários da aplicação, que é aonde eles pertencem. Isso simplifica novamente a vida do CISO e dos profissionais da rede.

Para os usuários, o Zero Trust reduz o atrito e melhora a experiência deles. Podemos reforçar a autenticação por outros meios que não sejam senhas. E o nível de autenticação pode variar de acordo com o que o usuário está fazendo, ou seja, acesso perfeito para tarefas simples, mais autenticação ao acessar dados confidenciais. Uma pesquisa de diretório da empresa - basta seguir em frente. Informações financeiras corporativas - uma coisa diferente.

Por fim, a maior visibilidade sobre a qual estamos falando é boa para muito mais situações do que simplesmente a proteção de ativos. Trata-se da visibilidade da sua empresa. É possível ter uma compreensão mais detalhada dos processos de negócios e das transações feitas on-line. Você pode analisar essas informações, obter novos insights sobre como seus processos e seus clientes estão realmente se comportando e encontrar oportunidades de melhorias muito além do âmbito da segurança.

Como e por onde as organizações devem começar?

Alguns dos melhores casos de uso surgem quando há a necessidade de reconfigurar as redes em grandes proporções. Por exemplo, uma grande cadeia de lojas de varejo precisava lançar novos recursos comerciais em mais de 10.000 locais. Os objetivos de negócios eram fornecer melhores análises para reduzir custos e aumentar a receita em localidades individuais e no agregado. A tentativa de conectar todas as redes das lojas usando VPNs e aplicar controles de segurança com microssegmentação era muito complicada e tinha as características de dimensionamento erradas.

A alternativa muito melhor era uma abordagem de Zero Trust que aproveitasse os controles da camada de aplicações e da nuvem. Em vez de unir uma grande variedade de redes, eles implementaram o acesso baseado em atributos com autenticação multifatorial com base nas funções das pessoas na organização. Toda a infraestrutura de controle de acesso é virtualizada. As transferências de dados ocorrem essencialmente entre pares de conexões na nuvem, e não há exposição à Internet para os sistemas back-end da empresa.

Isso acelerou a implementação e minimizou as alterações feitas na rede. Com essa experiência e sucesso à mão, a empresa está aplicando arquitetura de Zero Trust a uma variedade de iniciativas comerciais.

Outro bom caso de uso é a fusão ou aquisição, onde as sinergias e o sucesso financeiro dependem da capacidade de mesclar rapidamente tecnologias, aplicações e operações de negócios. Algumas organizações precisam fazer isso repetidamente, como acontece quando uma grande instituição de serviços financeiros adquire uma série de bancos regionais ou locais. A abordagem tradicional de unir redes, soltar firewalls na frente de firewalls e tentar identificar todos os novos ativos nas redes antigas e seus controles de segurança é complexa, demorada e propensa a erros.

Por outro lado, uma arquitetura de Zero Trust pode se sobrepor à acessibilidade e aos controles. Mantenha os sistemas da aquisição em execução. Forneça aos funcionários acesso adequado às aplicações e aos dados da empresa matriz, e vice-versa. Primeiro, construa pontes entre os perímetros e entre as aplicações para que as empresas possam coordenar as operações rapidamente. Em seguida, ao longo do tempo, mescle a topologia real das redes subjacentes na medida necessária.

Da mesma forma, após uma alienação total ou parcial, o acesso aos ativos pode ser separado ou compartilhado de forma segura. Exemplos complexos acontecem no setor de mídia e entretenimento quando ativos específicos são vendidos. Digamos que seja uma operação de produção de conteúdo espalhada por várias instalações. Metade das pessoas começará a trabalhar para a nova empresa, e a outra metade permanecerá na antiga. Entre as aplicações que eles precisam acessar, algumas irão para a nova empresa, algumas permanecerão, e outras poderão ficar no meio e precisarão ser compartilhadas. Neste cenário, como eles conseguirão se reconectar? Seria muito caro, e nunca funcionaria bem.

A solução é deixar a infraestrutura física no lugar e sobrepor a ela uma segmentação virtual de populações de usuários, com acesso exclusivo ou compartilhado a aplicações e controles de segurança completos. Assim, é possível preservar a produtividade das pessoas e acelerar o tempo de retorno para a empresa.

Esses três exemplos têm uma importante mensagem por trás, a de que o Zero Trust pode ser adotado gradualmente com conjuntos de aplicações. Isso não significa reformular totalmente a arquitetura e a infraestrutura. Ele pode complementar e, ao longo do tempo, substituir os mecanismos de segurança existentes, fornecendo valor ao longo do processo. E não se esqueça de começar com um caso de uso que não só comprove o conceito, mas que também ofereça um valor significativo para a empresa.

O que o deixa tão entusiasmado com o Zero Trust?

Na Akamai, estamos entusiasmados porque sabemos que funciona, e nossa experiência neste assunto é inigualável. Imagine, por um momento, que você precise implantar uma plataforma empresarial que consista em milhares de servidores em todo o mundo, todos incorporados diretamente à malha da Internet. E que todos eles precisassem se comunicar com segurança e interagir uns com os outros. E digamos que você tivesse começado a fazer isso há 20 anos. Na verdade, esta é a história da Akamai.

À medida que a empresa construía sua rede de entrega de conteúdo altamente distribuída e baseada na Internet, garantindo alto desempenho para os clientes, tivemos que partir do princípio de que nenhuma transmissão era confiável.

Por isso, dispomos de uma forte autenticação para cada ponto nas extremidades. Não se trata apenas de conhecer o endereço IP, pois há uma troca e uma validação de certificados digitais antes de estabelecer qualquer comunicação. E nenhum usuário consegue acessar a plataforma sem passar por um proxy de controle de acesso. Portanto, há um ponto logicamente central de aplicação de políticas com base em atributos, ou seja, quem você é, de onde vem, qual função você tem na organização, até mesmo que hora do dia é, porque, quando chega o fim do expediente, possivelmente, você não deveria estar tentando acessar.

Atualmente, a plataforma da Akamai tem mais de 240 mil servidores em mais de 130 países. Operamos na borda da Internet, onde a noção de perímetro é obsoleta. Lidamos com uma grande parte do tráfego da Internet, o que nos dá uma visibilidade extraordinária da segurança na Internet e da segurança da infraestrutura de nossos clientes. Essa visibilidade ininterrupta continua ampliando nossas perspectivas e estimulando nossas inovações em segurança virtual.

Ninguém usava o termo "Zero Trust" há 20 anos, mas essa é a abordagem que adotamos desde o primeiro dia. Na verdade, não tínhamos outra escolha se quiséssemos fazer a coisa certa. É por isso que somos apaixonados pelo Zero Trust e por ajudar nossos clientes dar a verdadeira importância à segurança e torná-la um facilitador dos negócios digitais.

Conteúdo relacionado ao CIO