.png)
Onde a segmentação Zero Trust se encaixa no novo modelo de maturidade Zero Trust da CISA?
Na semana passada, a CISA lançou seu tão aguardado Modelo de maturidade Zero Trust 2.0 — uma iteração atualizada do Zero Trust Maturity Model (ZTMM), que afirma o setor, lançado pela primeira vez em 2021.
Em um alto nível, o ZTMM da CISA descreve como as organizações modernas podem construir resiliência cibernética “dentro de um ambiente e um cenário tecnológico em rápida evolução”. É também uma extensão crítica do 2021 do governo Biden Ordem executiva para melhorar a segurança cibernética do país que exigiu que as agências federais desenvolvessem e implementassem uma Arquitetura Zero Trust (ZTA).
Embora desprovido de detalhes e, em geral, de um esboço mais geral dos objetivos federais de resiliência de longo prazo (como costumam ser guias de arquitetura como esses), é sempre promissor que o impulso federal do Zero Trust continue! E com segmentação diretrizes espalhadas por toda parte, entre pilares e níveis de maturidade, táticas atualizadas como essas ajudarão as agências federais a alcançar seus objetivos de resiliência cibernética de forma mais eficaz.
É aqui que entra a segmentação
Muitas vezes, quando as pessoas da TI federal pensam em segmentação, a primeira coisa em que pensam é na rede. O ZTMM atualizado não é diferente. A segmentação de rede está incluída como uma capacidade técnica completa na seção 5.3 — referente ao Pilar de Rede da ZTA da CISA. A CISA escreve que, no estágio inicial, a segmentação de rede se parece com isso: “A agência começa a implantar a arquitetura de rede com o isolamento de cargas de trabalho críticas, restringindo a conectividade aos princípios de menor função e uma transição para interconexões específicas de serviços”.
Em termos práticos, isso significa começar a praticar o menor privilégio (ou seja, limitar a confiança implícita) e começar a segmentar cargas de trabalho críticas fora do servidor. Parece bastante simples, certo?
A CISA então expande a aparência da funcionalidade de segmentação de rede em todos os níveis de maturidade — desde a implementação da macrosegmentação em níveis mais tradicionais até a aplicação de microssegmentação mais grossa em estágios avançados e ideais.
Para agências federais avançadas, o aplicativo de segmentação de rede pode ter a seguinte aparência: “A agência expande a implantação de mecanismos de isolamento de terminais e perfis de aplicativos para uma maior parte de sua arquitetura de rede com microperímetros de entrada/saída e interconexões específicas de serviços”.
Com soluções como Endpoint Illumio, a Illumio torna simples e fácil para organizações de todos os níveis de maturidade aplicar a Segmentação Zero Trust (ZTS) até o endpoint.
Os princípios da ZTS não se limitam apenas ao bucket de rede. Na seção 5.4, que discute a aplicação e segurança da carga de trabalho, a CISA escreve que, no estágio inicial: “A agência começa a implementar recursos de autorização de acesso a aplicativos que incorporam informações contextuais (por exemplo, identidade, conformidade do dispositivo e/ou outros atributos) por solicitação com expiração”.
No estágio avançado, “a Agência automatiza as decisões de acesso a aplicativos com informações contextuais expandidas e condições de expiração impostas que seguem os princípios de menor privilégio”.
Esses também são lugares em que a visibilidade e a segmentação podem ajudar, criando limites de fiscalização em torno de identidades e dispositivos, aplicando princípios de menor privilégio e automatizando políticas com base no contexto verificado.
Outras conclusões importantes de um CTO federal
Embora não esteja necessariamente no centro da nova ZTMM, a realidade é que a segmentação se encaixa em todos os setores — e é essencial (e viável) para organizações de todos os níveis de Zero Trust. Francamente, é promissor ver a tecnologia finalmente recebendo os elogios que merece, mas ainda há trabalho e educação a serem feitos.
Especialmente quando as agências federais buscam alcançar os estágios mais avançados de maturidade do Zero Trust, a visibilidade e a segmentação são essenciais. A visibilidade em todo o ambiente híbrido (nuvem, local, endpoint, TI/OT) é fundamental para entender o que você tem e saber o que proteger. E uma política de bom senso pode ser implementada para autorizar o acesso — com base na conformidade do dispositivo ou em outros requisitos — fornecendo uma fiscalização consistente sem silos.
O ZTS não é apenas um controle proativo para agências federais que desejam ampliar seu ZTA. Também é uma estratégia proativa essencial, garantindo que, quando agências federais fazer se forem violadas, as missões podem continuar sem impedimentos. Na verdade, as organizações que utilizam o Illumio ZTS viram uma 66% redução no impacto (ou raio de explosão) de uma brecha e economia $3,8 milhões devido a menos interrupções e tempo de inatividade. No final das contas, um verdadeiro ZTA é responsável tanto por organizações maduras quanto por ameaças avançadas e persistentes.
Você pode aprender mais sobre como O ZTS da Illumio pode ajudar sua agência federal realize suas metas de Zero Trust.
.webp)
