Compreendendo a relação Zero Trust-SDP

Compreendendo a relação Zero Trust-SDP. Descubra como o perímetro definido por software pode atender aos requisitos de acesso em nível de rede de confiança zero.

A primeira coisa a entender sobre confiança zero (Zero Trust) é que é um nome ruim para um conceito poderoso. A questão não é: nada confia em nada. Em vez disso, a questão é: nenhuma confiança é assumidaTodas as relações de confiança precisam ser declaradas explicitamente.

Talvez a confiança zero fosse mais bem definida como confiança implícita zero, levando em consideração todos os aspectos da confiança implícita, incluindo o seguinte:

  • Ninguém tem o direito implícito de acessar uma rede – apenas direitos explícitos para alcançar sistemas específicos na rede.
  • Ninguém tem o direito implícito de permanecer na rede – apenas o direito explícito de usar a rede, desde que não esteja agindo mal e seu sistema permaneça em boas condições.

O conceito de perímetro definido por software ( SDP – software-defined perimeter ) surgiu do trabalho feito pela Defense Information Systems Agency (DISA), mas foi formalizado e popularizado pela Cloud Security Alliance na última década.

Um SDP incorpora os princípios de confiança zero no nível da rede. Ele apresenta mecanismos para controlar o acesso em nível de rede a um sistema e para solicitar acesso e concedê-lo. Um SDP é uma rede focada em endpoint, virtual, profundamente segmentada sobreposta em todas e quaisquer outras redes físicas e virtuais já presentes.

Um SDP incorpora os princípios de confiança zero no nível da rede.

Funções e responsabilidades do SDP

Um SDP depende de controladores “fora” de uma rede para gerenciar o ingresso nessa rede.

O processo básico é o seguinte:

  • Uma entidade que deseja se comunicar na rede protegida – um host inicial – deve executar o software SDP e autenticar com um controlador SDP . Observe que a autenticação presume-se que envolva vários níveis de verificação, que podem variar de um certificado de dispositivo a uma verificação de integridade do sistema ativo, e presume-se que sempre inclua a autenticação do usuário – de preferência multifatorial.
  • Uma vez autenticado, o host inicial é informado com quais outras entidades – hosts de aceitação – ele tem permissão para falar e esses hosts são instruídos a permitir a comunicação com eles. Os hosts de aceitação já são conhecidos pelo controlador; eles já foram autenticados. Os hosts não visíveis para o controlador não estão na lista de hosts permitidos. A lista de hosts aceitos é determinada pelo contexto, de acordo com o serviço que o host inicial está tentando alcançar e o que é permitido fazer com esse serviço. Deve incluir apenas aqueles que aceitam hosts essenciais para as comunicações solicitadas.
  • O host inicial configura túneis VPN diretamente para os hosts de aceitação fornecidos. Observe que o controlador não faz parte dessa rede virtual criptografada de ponta a ponta.
  • Um host de aceitação rejeitará ou descartará todas as comunicações de rede originadas de um host que não esteja na lista de hosts de inicialização autorizados que possui do controlador.
  • Os controladores e hosts podem estar no local ou não; os controladores de nuvem podem gerenciar as comunicações para hosts em qualquer lugar, assim como os controladores locais. Mesmo as opções de SaaS podem, por meio de proxies ou corretores de segurança de acesso à nuvem, ser colocadas sob a proteção de um SDP.

Em um SDP a comunicação é criptografada ponta-a-ponta

e todos os hosts de aceitação são invisíveis na rede para todos os outros sistemas ou usuários até que o controlador permita que eles se conectem a algo

Arquiteturas variantes colocam hosts de gateway no ambiente. Eles agem como hosts de aceitação para clientes fora do ambiente – seja ele data center ou nuvem – e fazem todas as comunicações com os hosts de fornecimento de serviços reais. Os hosts inicializadores veem apenas o gateway e nunca se comunicam diretamente com a infraestrutura que fornece serviços de aplicativo.

Um dos principais benefícios da implementação de um SDP é que os hosts de aceitação são invisíveis na rede para todos os outros sistemas ou usuários até que o controlador permita que eles se conectem a algo. Somente os hosts iniciais que o controlador permite vê-lo podem vê-lo; para todo o resto, é invisível. Essa é uma postura de segurança básica extremamente forte e a principal razão pela qual a DISA promoveu essa abordagem.

 

SDP é (uma forma de) confiança zero

Dado que o SDP é baseado no gerenciamento granular de quem pode se conectar com quem, com a postura padrão de “nenhum fluxo de tráfego se não for explicitamente sancionado“, o SDP é claramente uma implementação de confiança zero.

No entanto, a confiança zero é mais ampla e acomoda conceitos não considerados essenciais no SDP. Por exemplo, confiança zero exige um mapa de confiança dinâmico que responde ao comportamento. O SDP permite isso, mas não é considerado fundamental.

O SDP também assume que os hosts – sob a direção do controlador – são as únicas entidades que fiscalizam se as comunicações de rede ocorrem, descartando pacotes de parceiros de comunicação não autorizados. Como alternativa, a confiança zero permite que uma infraestrutura possa participar ativamente, reduzindo o tráfego antes mesmo de chegar a um host. Sob confiança zero, pode haver um componente baseado em rede para gerenciamento de tráfego, além de, ou substituindo, SDP.

As empresas que buscam uma base de segurança abrangente em várias nuvens para construir estão adotando o conceito de confiança zero. Eles também devem avaliar as ferramentas SDP como uma expressão desse princípio.

 

Unisys Stealth

Stealth é um pacote de software que implementa o Zero Trust para proteger sistemas sensíveis de ameaças cibernéticas com microssegmentação definida por software e orientada por perfil de identidade do usuário.

Stealth cria comunidades de interesse (COI) que estabelecem canais de comunicação exclusivos entre os membros com base em identidades confiáveis. Os membros da comunidade não podem iniciar ou aceitar a comunicação de não membros e a criptografia restringe os não membros de interceptar comunicações intracomunitárias.

O que você pode fazer com Stealth?

Conheça sua rede
Visualize, modele e
projetar segurança informada
Microssegmentação fácil
Isole ativos, independentemente do ambiente, rede ou dispositivo
Criptografar dados em movimento
Impedir a detecção de pacotes com criptografia AES-256
Encobrir ativos críticos
Esconder criptograficamente crítico ativos de adversários
Ativar segurança adaptativa
Integre as ferramentas de segurança existentes para
correlacionar, detectar e responder
Prevenir fraude
Verifique as identidades com biometria física e comportamental


 

MindSec e Unisys firmam parceria com foco em soluções voltadas ao conceito Zero Trust

Saiba mais sobre Zero Trust e o Stealth com a MindSec, representante oficial Unisys


Fonte: TechTarget

Veja também:

About mindsecblog 1118 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!