Pilares da tecnologia Zero Trust parte 2
Nesta unidade, continuamos e discutimos os objetivos restantes de implantação do Zero Trust.
Proteja os dados com Zero Trust
Os três elementos centrais de uma estratégia de proteção de dados são:
- Conheça seus dados - Se você não sabe quais dados confidenciais você tem no local e em serviços de nuvem, você não pode protegê-los adequadamente. Você precisa descobrir dados em toda a organização e classificar todos os dados por nível de sensibilidade.
- Proteja seus dados e evite a perda de dados - Os dados confidenciais precisam ser protegidos por políticas de proteção de dados que rotulam e criptografam dados ou bloqueiam o compartilhamento excessivo. Isso garante que apenas usuários autorizados possam acessar os dados, mesmo quando os dados viajam para fora do seu ambiente corporativo.
- Monitorar e corrigir - Você deve monitorar continuamente dados confidenciais para detetar violações de políticas e comportamentos arriscados do usuário. Isso permite que você tome as medidas apropriadas, como revogar o acesso, bloquear usuários e refinar suas políticas de proteção.
Objetivos de implantação do Data Zero Trust
Uma estratégia de proteção de informações precisa abranger todo o conteúdo digital da sua organização. Como linha de base, você precisa definir rótulos, descobrir dados confidenciais e monitorar o uso de rótulos e ações em seu ambiente. O uso de rótulos de sensibilidade é discutido no final deste guia.
Ao implementar uma estrutura Zero Trust completa para dados, recomendamos que você se concentre primeiro nestes objetivos iniciais de implantação:
I. As decisões de acesso são regidas por encriptação.
II. Os dados são automaticamente classificados e rotulados.
Depois de concluídos, concentre-se nestes objetivos adicionais da implementação:
III. A classificação é aumentada por modelos inteligentes de aprendizagem automática.
IV. As decisões de acesso são regidas por um mecanismo de política de segurança na nuvem.
V. Evite o vazamento de dados por meio de políticas de DLP baseadas em um rótulo de confidencialidade e inspeção de conteúdo.
Proteja os endpoints com Zero Trust
A Zero Trust adere ao princípio "Nunca confie, verifique sempre". Em termos de endpoints, isso significa sempre verificar todos os endpoints. Isso inclui não apenas dispositivos de contratantes, parceiros e convidados, mas também aplicativos e dispositivos usados por funcionários para acessar dados de trabalho, independentemente da propriedade do dispositivo.
Em uma abordagem Zero Trust, as mesmas políticas de segurança são aplicadas independentemente de o dispositivo ser de propriedade corporativa ou pessoal por meio do bring your own device (BYOD); se o dispositivo é totalmente gerenciado pela TI ou se apenas os aplicativos e os dados estão protegidos. As políticas aplicam-se a todos os terminais, seja PC, Mac, smartphone, tablet, wearable ou dispositivo IoT onde quer que estejam ligados, seja a rede empresarial segura, banda larga doméstica ou Internet pública.
Objetivos de implantação do Endpoint Zero Trust
Ao implementar uma estrutura Zero Trust completa para proteger pontos de extremidade, recomendamos que você se concentre primeiro nestes objetivos iniciais de implantação:
I. Os endpoints são registrados com provedores de identidade em nuvem. Para monitorar a segurança e o risco em vários endpoints usados por qualquer pessoa, você precisa de visibilidade em todos os dispositivos e pontos de acesso que possam estar acessando seus recursos.
II. O acesso só é concedido a terminais e aplicações geridos na nuvem e em conformidade. Defina regras de conformidade para garantir que os dispositivos atendam aos requisitos mínimos de segurança antes que o acesso seja concedido. Além disso, defina regras de correção para dispositivos não compatíveis para que as pessoas saibam como resolver o problema.
III. As políticas de prevenção contra perda de dados (DLP) são aplicadas para dispositivos corporativos e BYOD. Controle o que o usuário pode fazer com os dados depois de ter acesso. Por exemplo, restrinja o salvamento de arquivos em locais não confiáveis (como disco local) ou restrinja o compartilhamento de copiar e colar com um aplicativo de comunicação com o consumidor ou aplicativo de bate-papo para proteger dados.
Depois de concluídos, concentre-se nestes objetivos adicionais da implementação:
IV. A deteção de ameaças de endpoint é usada para monitorar o risco do dispositivo. Use um único painel de vidro para gerenciar todos os pontos de extremidade de forma consistente e use um SIEM para rotear logs e transações de ponto de extremidade, de modo que você obtenha menos alertas, mas acionáveis.
V. O controle de acesso é limitado ao risco de ponto final para dispositivos corporativos e BYOD. Integre dados do Microsoft Defender for Endpoint, ou de outros fornecedores de Defesa contra Ameaças Móveis (MTD), como uma fonte de informações para políticas de conformidade de dispositivos e regras de Acesso Condicional de dispositivos. O risco do dispositivo influenciará diretamente quais recursos serão acessíveis pelo usuário desse dispositivo.
Infraestrutura segura com Zero Trust
Os Azure Blueprints, as Políticas do Azure, o Microsoft Defender for Cloud, o Microsoft Sentinel e o Azure Sphere podem contribuir grandemente para melhorar a segurança da sua infraestrutura implementada e permitir uma abordagem diferente para definir, projetar, provisionar, implementar e monitorizar a sua infraestrutura.
Objetivos de implantação do Zero Trust de infraestrutura
Ao implementar uma estrutura Zero Trust completa para gerenciar e monitorar sua infraestrutura, recomendamos que você se concentre primeiro nestes objetivos iniciais de implantação:
I. As cargas de trabalho são monitoradas e alertadas sobre comportamentos anormais.
II. A cada carga de trabalho é atribuída uma identidade de aplicativo — e configurada e implantada de forma consistente.
III. O acesso humano aos recursos requer Just-In-Time.
Depois de concluídos, concentre-se nestes objetivos adicionais da implementação:
IV. Implantações não autorizadas são bloqueadas e o alerta é acionado.
V. Visibilidade granular e controle de acesso estão disponíveis em todas as cargas de trabalho.
VI. Acesso a usuários e recursos segmentados para cada carga de trabalho.
Proteja as redes com Zero Trust
Em vez de acreditar que tudo por trás do firewall corporativo é seguro, uma estratégia Zero Trust de ponta a ponta pressupõe que as violações são inevitáveis. Isso significa que você deve verificar cada solicitação como se fosse originária de uma rede não controlada — o gerenciamento de identidade desempenha um papel crucial nisso.
Objetivos de implantação do Network Zero Trust
Ao implementar uma estrutura Zero Trust completa para proteger redes, recomendamos que você se concentre primeiro nestes objetivos iniciais de implantação:
I. Segmentação de rede: Muitos microperímetros de entrada/saída de nuvem com alguma microssegmentação.
II. Proteção contra ameaças: filtragem nativa da nuvem e proteção contra ameaças conhecidas.
III. Encriptação: O tráfego interno de utilizador para aplicação é encriptado.
Depois de concluídos, concentre-se nestes objetivos adicionais da implementação:
IV. Segmentação de rede: Microperímetros de nuvem de entrada/saída totalmente distribuídos e microssegmentação mais profunda.
V. Proteção contra ameaças: proteção contra ameaças baseada em aprendizado de máquina e filtragem com sinais baseados no contexto.
VI. Encriptação: Todo o tráfego é encriptado.