.png)
O que você precisa para aplicar a política Zero Trust — de forma rápida e segura
Nesta série, consideramos as características indispensáveis para o sucesso descobrindo, autoria, e distribuindo uma política de segmentação Zero Trust. Nesta semana, concluímos examinando de perto o que é necessário para aplicar uma política de segmentação Zero Trust. Uma política de Zero Trust que não é totalmente aplicada simplesmente não é capaz de impedir malwares, ransomwares ou agentes mal-intencionados. Há considerações importantes a serem levadas em consideração para garantir que cada política de Zero Trust possa ser aplicada rapidamente em toda a infraestrutura — e sem interromper a função do aplicativo.
Esteja seguro, não se arrependa
Ao trabalhar em ambientes de nuvem e data center existentes, o primeiro requisito é fazer o Juramento de Hipócrates: Não faça mal! Todas as soluções de microssegmentação usam agentes. Você precisa de um seguro, e nenhum agente em linha está seguro. Qualquer agente que implemente um firewall embutido, filtragem ou outras funções de segurança não pode ser considerado seguro. Se o agente falhar no fechamento, o aplicativo será interrompido, o que é operacionalmente inseguro. Se o agente embutido falhar na abertura, o mecanismo de segurança desaparecerá, que é a definição de computação não segura. A única tecnologia de agente seguro para fiscalização é um agente fora do caminho de dados. Você deve precisar de uma solução que mantenha as regras em vigor, mesmo que o agente do fornecedor falhe ou seja removido. Demanda um agente que é instalado e atualizado sem precisar reinicializar. Os agentes devem ser executados no espaço do usuário. Rejeite qualquer coisa que modifique o kernel, instale adaptadores de rede personalizados ou fique embutida. Não há necessidade de reinventar algo tão básico quanto firewall com estado quando literalmente tudo no data center ou na nuvem inclui um.
Aplique em tudo
Depois de aplicar uma política de Zero Trust, o melhor lugar para colocá-la é — em qualquer lugar! Cada sistema operacional dos últimos doze anos tem um firewall de estado perfeitamente bom — IPTables/NetFilter e a Plataforma de Filtragem do Windows. Existem tecnologias similares para AIX, Solaris e até mesmo mainframes. Switches de rede, balanceadores de carga e firewalls de hardware seguem regras de firewall. Por que não usar tudo isso? Coloque o Zero Trust em todos os lugares e automatize a aplicação de políticas em tudo o que você já possui. A fiscalização precisa incluir seu Ambiente de contêiner Kubernetes, Amazônia, Azure e Nuvem do Google instâncias, serviços SaaS e até mesmo manter seus dispositivos de OT fora do ambiente de TI. Nem vale a pena considerar agentes proprietários de fornecedores para aplicar políticas de Zero Trust quando cada dispositivo já suporta tudo o que você precisa.
Melhore a velocidade da confiança
As implantações do Zero Trust ocorrem com a taxa de confiança na segurança da política. Afinal, uma política de Zero Trust exige especificar tudo o que é desejado — tudo o mais é negado. Isso implica que as políticas de Zero Trust devem ser perfeitas. Quantos fluxos existem em um data center? Parece difícil confiar na perfeição em todos esses fluxos. Relaxe. A segmentação Zero Trust não precisa ser difícil. Certifique-se de que você será capaz de aplicar até mesmo um único serviço em uma pequena extremidade da escala. Afinal, alguns dos fluxos mais vulneráveis são os principais serviços e sistemas de gerenciamento que afetam todas as máquinas do ambiente. Muitos usam uma única porta ou um pequeno alcance. Qualquer boa solução deve ser capaz de aplicar seletivamente apenas essas poucas portas. Eles são fáceis de definir, fáceis de concordar e essenciais para proteger. No outro extremo do espectro, está simplesmente impondo desejos de políticas como “Impedir que todos os meus sistemas DEV conversem com o PROD, exceto pela seguinte lista de serviços compartilhados, mas limite-a o máximo possível”. Ninguém terá um conhecimento perfeito de todos os sistemas DEV e de todos os sistemas PROD — é muito dinâmico e complexo. Mas as melhores soluções de segmentação Zero Trust podem facilmente definir limites de fiscalização que fornecem essa funcionalidade exata e, ao mesmo tempo, preservam a liberdade de questões de ordenação de regras ou de violar a herança de políticas. Com que rapidez todos da equipe podem ter certeza de que a política é correta e segura? Procure uma solução que possa ser aplicada no nível de uma única declaração de política e, ao mesmo tempo, impor metas amplas de separação. Quando ambas são igualmente simples, é fácil fazer com que as políticas de Zero Trust sejam aplicadas por meio do controle de mudanças.
Em resumo
Isolar sistemas de nuvem, endpoint e data center com regras impostas é o objetivo principal da Confiança zero. Somente soluções de visibilidade ou monitoramento nunca podem ser contadas como segmentação de confiança zero. Uma boa solução de segmentação primeiro será segura e não dependerá de tecnologias embutidas que falham abertas ou fechadas, colocando todo o ambiente em risco. A fiscalização deve ser ampla e aproveitar todos os firewalls que você já pagou para possuir, desde os firewalls baseados no sistema operacional até o hardware e o equipamento de rede instalados nos racks. A implementação de políticas de segmentação Zero Trust para contêineres, nuvem e em todo o ambiente de computação significa que muitas soluções diferentes são necessárias, então por que não usar o que já está em cada uma? Por fim, é importante poder criar a fiscalização a partir de uma única declaração de política até formas fáceis de segmentar ambientes inteiros. A microssegmentação refinada ocorre na taxa de confiança compartilhada de que os sistemas não serão interrompidos. Portanto, uma solução com fiscalização altamente flexível e diferenciada sempre fornecerá os resultados mais rápidos do Zero Trust.
ICYMI, leia o resto desta série:
