Como não é mais possível confiar nos limites da rede para definir os limites da segurança cibernética, a confiança zero se tornou a estrutura abrangente que agora orienta as estratégias de segurança empresarial.
No entanto, o Zero Trust Network Access (ZTNA) tem suas limitações, especialmente na segurança de aplicativos, e isso pode gerar riscos para organizações que dependem muito de sistemas SaaS.
Conversamos com Brian Soby, CTO e cofundador da AppOmni, para discutir os limites da ZTNA e como as organizações podem aplicar melhor os princípios de confiança zero aos seus aplicativos e dados.
BN: Por que as empresas não deveriam confiar apenas no ZTNA para proteger sua arquitetura de confiança zero?
BS: O problema aqui é com a palavra “sozinho”. As soluções ZTNA focam principalmente na postura do dispositivo e em levar os usuários a aplicativos ou enclaves de rede privada. Para maior clareza, estou usando ZTNA para descrever ambos os casos de uso, incluindo acesso a aplicativos públicos como SaaS que são pretendidos por uma empresa para ter acesso restrito.
Muitas implementações do ZTNA fazem parte do Secure Service Edge (SSE) ou Secure Access Service Edge (SASE) e também incorporam proxies como Secure Web Gateways (SWGs) e Cloud Access Security Brokers (CASBs).
No entanto, uma vez que um usuário é transportado para um aplicativo por meio da pilha ZTNA ou ZTNA+SSE, a maioria dessas soluções perde a visibilidade sobre o que o usuário pode fazer ou está fazendo ativamente dentro do aplicativo. Isso significa que as políticas de autorização com ZTNA são tipicamente de granulação grossa, pois elas só podem tomar decisões de autorização na forma de se um usuário deve ou não receber transporte para um aplicativo. Fica ainda mais complicado quando vemos quantos aplicativos SaaS têm várias gerações de tecnologias, integrações de produtos adquiridos ou outras interfaces em camadas trabalhando em paralelo. Embora um proxy ou fornecedor CASB possa fazer engenharia reversa de partes limitadas de alguns aplicativos SaaS selecionados, essa abordagem sempre será sem suporte e em desacordo com o aplicativo, geralmente deixando grandes lacunas.
Agora, considere a arquitetura de referência do NIST sobre Zero Trust (800-207) e outras autoridades sobre o que uma Arquitetura Zero Trust (ZTA) precisa alcançar:
- Avaliar e verificar continuamente a postura e os comportamentos de todos os recursos
- A aplicação do controle de acesso deve ser o mais granular possível
- Todo acesso a dados e recursos deve ser feito com base no menor privilégio
- A confiança zero deve ser implementada de ponta a ponta.
Com o ZTNA, podemos acessar continuamente a postura do dispositivo, mas não os aplicativos em si. Além disso, os aplicativos SaaS são sistemas independentes disponíveis pela Internet. As proteções do ZTNA não significam muito quando podem ser completamente ignoradas por invasores quando a postura de segurança do aplicativo não impõe SSO obrigatório ou que os usuários só podem acessar o aplicativo por meio do ZTNA.
As atividades e o comportamento do usuário são monitorados de alguma forma, mas de forma rudimentar. Como a camada proxy que observa os comportamentos do usuário não entende realmente os internos do aplicativo e o que o usuário está fazendo enquanto interage com esses aplicativos, ela é altamente limitada no que pode observar e nos comportamentos que pode rastrear.
Também não há conceito de menor privilégio ou monitoramento com relação a usuários externos e aplicativos de nuvem para nuvem. As soluções de proxy inline e ZTNA nunca foram destinadas a fornecer cobertura ou proteções dentro desses aplicativos SaaS para quaisquer entidades além de usuários corporativos. Como plataformas grandes e flexíveis, os aplicativos SaaS são frequentemente pontos de colaboração entre empresas e seus clientes, parceiros e clientes em potencial. Esses aplicativos podem ter dezenas de integrações de nuvem para nuvem e milhares, até milhões, de usuários externos acessando dados e outros recursos diretamente dentro da plataforma SaaS. Todas essas integrações e usuários externos são invisíveis para as implementações de proxy e ZTNA.
Ter zero trust imposto de ponta a ponta definitivamente não é possível, pois ele realmente para no acesso aos aplicativos. Isso elimina o loop de feedback que deveria permitir políticas dinâmicas e ajuste contínuo de controles de segurança, outro objetivo do zero trust.
O ZTNA, especialmente como parte do SSE ou SASE, agrega valor de segurança para as organizações? Absolutamente. Ele sozinho alcança o que o NIST, a NSA e outros definiram como as metas para confiança zero? Não.
BN: Como os aplicativos podem ser protegidos e ainda manter uma postura de confiança zero?
BS: O objetivo não é substituir ou mesmo diminuir os princípios de confiança zero, mas sim estendê-los e aplicá-los por meio de aplicativos que são necessariamente parte de um ZTA. Isso leva a uma adoção mais abrangente de confiança zero e segurança mais forte em toda a infraestrutura.
Agora há opções disponíveis para complementar o ZTNA e garantir que os princípios de segurança não sejam apenas aplicados a todos os recursos e acessos, mas também sejam intrinsecamente entrelaçados dentro da estrutura dos próprios aplicativos. Esses aprimoramentos criam um ZTA de ponta a ponta e permitem que as organizações atinjam totalmente os princípios de confiança zero. Ao garantir que os aplicativos sejam configurados e usados de uma maneira que se alinhe aos princípios de confiança zero, as organizações efetivamente preenchem a lacuna de segurança do SaaS.
Esses novos recursos:
- Evite desvios não autorizados de ZTNA: com monitoramento abrangente e avaliação contínua de configuração, as organizações ganham visibilidade em torno do logon único obrigatório (SSO), autenticação multifator (MFA), restrições de IP e controles de acesso adequados para identificar desvios, contas carregadas lateralmente e outros backdoors que podem comprometer a postura de segurança
- Garanta a postura de configuração segura e a conformidade: As novas abordagens desempenham um papel crucial no monitoramento e avaliação contínuos da configuração de aplicativos SaaS para garantir que eles estejam em conformidade com os princípios de confiança zero. Isso ajuda a detectar configurações incorretas, como exposições de dados, controles de segurança mal configurados e direitos de acesso de usuário indesejados
- Oferecer aplicação dinâmica de políticas e adaptabilidade: as novas opções aproveitam a análise em tempo real e criam um ciclo de feedback contínuo para outros componentes da arquitetura de confiança zero para permitir decisões de autorização contínuas e aplicação dinâmica de políticas de segurança
- Adapte-se às mudanças no comportamento do usuário, no uso do aplicativo e no cenário de ameaças em evolução, garantindo que as medidas de segurança estejam sempre alinhadas ao contexto de risco
- Estenda a confiança zero para integrações de terceiros e usuários externos: agora é possível que arquiteturas de confiança zero alcancem um nível sem precedentes de segurança de ponta a ponta. Essa abordagem estende os princípios de confiança zero para a própria estrutura de aplicativos e ambientes SaaS.
BN: Como o ZTNA se relaciona com o gerenciamento de acesso privilegiado?
BS: PAM e outras mudanças no acesso do usuário dentro de aplicativos são naturalmente parte da avaliação e autorização contínuas. Conforme o acesso de um usuário muda, uma ZTA deve reconhecer essas mudanças e ajustar dinamicamente as políticas conforme apropriado. Esses comportamentos devem ser automáticos e integrados a uma ZTA, incorporando os princípios de decisões de autorização refinadas e um escopo de ponta a ponta.
Além do PAM, também é possível que as permissões e direitos de um usuário não mudem, mas os aplicativos em si mudem. Por exemplo, novos dados ou processos de negócios podem ser adicionados a um aplicativo que agora está disponível para os usuários sem nenhuma alteração nas contas de usuário ou em suas permissões. Essas e outras manifestações de alterações de contexto devem ser todas tratadas dentro de um ZTA.
BN: A confiança zero pode ajudar as empresas a cumprir os padrões de conformidade e também a proteger o acesso?
BS: No complexo mundo da conformidade, e ainda mais para a segurança, nenhuma abordagem única pode atender a todas as necessidades. No entanto, à medida que o número de mandatos de conformidade continua a crescer em volume e complexidade — abrangendo talvez todas as funções em todos os setores — não há dúvida de que os princípios de confiança zero podem de fato ajudar a garantir a conformidade ao mesmo tempo em que fortalecem os protocolos de segurança.
Agora, a noção de confiança zero tem três décadas e se manteve firme em grande parte, enquanto quase todos os cantos do mercado de tecnologia que originalmente abrangia foram drasticamente transformados. Para que a confiança zero retenha sua vitalidade, é crucial que esses princípios sejam estendidos além da camada de rede e para os aplicativos principais.
Uma abordagem mais abrangente que garanta proteções do tipo “nunca confie, sempre verifique” – por exemplo, permitindo o monitoramento contínuo do acesso em larga escala a aplicativos SaaS amplamente utilizados – pode contribuir muito não apenas para aumentar a segurança, mas também para manter a conformidade duradoura.
BN: A confiança zero precisa se tornar parte do processo de design de novos aplicativos?
BS: O conceito “Segurança por Design” ganhou popularidade precisamente porque oferece um caminho claro a seguir — quando a segurança é uma reflexão tardia, como acontece em muitas criações de consumo, por exemplo —, muitas vezes ela é inadequada.
No entanto, o desenvolvimento de produtos não é um campo singular. Um aplicativo móvel amigável ao consumidor e um pedaço de hardware de rede devem ser projetados com a segurança como prioridade, mas o processo para cada um é muito diferente.
Provavelmente há muitos campos nos quais a confiança zero pode desempenhar um papel crítico no desenvolvimento de produtos. No entanto, legislar a inclusão dessa noção em todos os campos provavelmente é irrealista.
Crédito da imagem: Nuttapong Punna/Dreamstime.com
