Por que a política é importante para o Zero Trust

A ideia de menor privilégio não é nova, nem a ideia de manter os dispositivos separados na rede em serviço com o menor privilégio. Afinal, todo firewall sai de seu contêiner de remessa com uma regra padrão — “negar tudo” — convidando à criação de uma política de privilégios mínimos. Portanto, nos últimos 15 ou 20 anos, temos inserido obedientemente cada vez mais declarações de permissão e negação em firewalls perimetrais. A maioria das organizações agora tem tantas dessas declarações que são necessárias equipes de administradores altamente qualificados para gerenciá-las, e a complexidade explodiu nos últimos anos.

O problema (vezes 3)

Agora, Confiança zero prescreve que retornemos ao menor privilégio. Só que desta vez, não na borda, mas em cada carga de trabalho, em cada usuário, em cada endpoint. Quão viável é isso? Todos os anos, a Cisco publica um pesquisa detalhada de redes corporativas, e fornece uma aproximação simples para considerarmos. Em 2020, 73% do tráfego ocorreu “leste-oeste” — ou seja, entre sistemas no data center — e cerca de 27% passaram pelo perímetro. As regras de firewall de perímetro existentes, portanto, abrangem 27% do tráfego.

A implicação clara é que criar uma política similar para os outros 73% do tráfego é aproximadamente três vezes mais trabalhoso, três vezes maior que a complexidade das regras e três vezes o número de pessoas. E esse é o problema. Ninguém pode gastar 3 vezes, contratar 3 vezes e configurar 3 vezes a complexidade. Aqueles que tentaram transformar uma solução SDN para cumprir essa tarefa ou tentaram implantar firewalls virtuais sabem que ela simplesmente não funciona.

Qualquer fornecedor que proponha o Zero Trust precisa resolver esse enigma. Não é credível afirmar que um resultado de Zero Trust é alcançável sem lidar com a realidade operacional da imensa tarefa em questão. Qualquer pessoa que busque um resultado de Zero Trust precisa de uma prova confiável da capacidade de atender aos componentes de custo, complexidade operacional e recursos humanos para uma implementação bem-sucedida.

Não precisamos de mais lugares para aplicar a política

Quando os firewalls entraram pela primeira vez na rede, eles eram o único dispositivo capaz de bloquear e restringir o tráfego em grande escala. Mas hoje, alcançando Microssegmentação Zero Trust não é um problema de fiscalização. Todo sistema operacional moderno no data center, do Windows ao Linux, inclusive o AIX, o Solaris e o System Z (mainframes), tem um firewall de estado bem implementado no caminho de encaminhamento do kernel. Cada dispositivo de rede, de roteadores e switches a firewalls e balanceadores de carga, pode seguir as regras de firewall.

Na verdade, praticamente todos os dispositivos conectados à rede no data center têm alguns recursos de controle de acesso. Isso implica que ninguém precisa comprar paletes de firewalls para implementar o Zero Trust. Os pontos de fiscalização já estão disponíveis. Isso significa que o custo da implementação do Zero Trust será sentido quase inteiramente na área de complexidade de configuração. Afinal, o número de pessoas necessárias deriva da quantidade de trabalho a ser feito.

O gerenciamento de políticas determina os resultados do Zero Trust

Concluímos, então, que a política é o fator mais importante em uma implantação do Zero Trust. A viabilidade de qualquer meta de Zero Trust dependerá de quão fácil ou difícil é descobrir, criar, distribuir e aplicar políticas.

Os fornecedores gostam de falar sobre seus recursos e mostrar interfaces de usuário bonitas, mas, no final das contas, a única coisa que importa é o quão bem eles simplificam, reduzem e automatizam o trabalho de gerenciamento de políticas inerente a uma iniciativa de microssegmentação Zero Trust.

Antes que alguém possa escrever uma política de Zero Trust, primeiro você precisa conhecer todos os fluxos de comunicação relevantes e como o aplicativo em questão funciona: como ele depende dos principais serviços e dos usuários e outros dispositivos aos quais ele se conecta. Isso é descoberta de políticas e é mais do que uma bela imagem de um aplicativo em uma bolha. Em última análise, você precisa de todas as informações necessárias para criar com sucesso a política Zero Trust.

A criação de uma política deve eliminar a carga de traduzir o desejo humano em endereços IP. Ele precisa usar metadados para simplificar, escalar e herdar políticas para reduzir a carga de criação. Depois de escrever uma política, você precisa de uma forma de distribuí-la aos pontos de aplicação que já existem. Como você mantém todas as políticas atualizadas e monitoradas automaticamente com a automação de aplicativos? Se você puder ter todas as movimentações, adições e alterações contabilizadas, a carga de trabalho da sua equipe administrativa diminuirá.

Finalmente, a aplicação da política depende, em última análise, da capacidade de validar e desenvolver confiança na política proposta. Os firewalls não têm nenhum recurso de modelagem. Mas não basta “permitir e orar”. Você precisa saber se a política é precisa, completa e não interromperá a aplicação, além de poder comunicá-la a todas as partes interessadas.

Conclusão

Saber o que é importante para o gerenciamento de políticas Zero Trust é o mesmo que saber o que é necessário para entregar um projeto Zero Trust ou de microssegmentação. A operacionalização da segmentação refinada prosseguirá na taxa determinada pela nossa capacidade humana de descobrir, criar, distribuir e aplicar a política. Quando existe um gerenciamento de políticas eficaz e eficiente, as necessidades de pessoal diminuem proporcionalmente. Portanto, está claro que o fator mais importante na operacionalização do Zero Trust é lidar de forma eficaz com a complexidade política necessária para reforçar o rigor. controles de segmentação. Como é muito importante, consideraremos o gerenciamento de políticas detalhadamente nas próximas postagens do blog.