… vocês deveriam estudar mais! Zero Trust é um conceito (embora outros chamem de modelo ou estratégia) na qual parte do princípio de que os usuário ou dispositivos são considerados “não confiáveis”, até o momento em que possam provar a sua credibilidade! Esta por sua vez, é baseada em processos de autenticação, seguidos por outros como inspeções, validações e aplicações de políticas de segurança, além das definições referentes a permissões de acesso…
“Zero Trust is a term coined by John Kindervag while he was an analyst at Forrester Research to describe a strategic framework in which nothing on the network is trusted by default – not devices, not end users, not processes. Everything must be authenticated, authorized, verified and continuously monitored. The traditional approach to security was based on the concept of ‘trust, but verify’. The weakness of this approach is…”
— by Network World.
O problema é que as abordagens de segurança (assim como as políticas e os procedimentos técnicos, bem como as mudanças que ocorreram na TI nestes últimos tempos) sempre acabaram afetando o equilíbrio entre a segurança e a usabilidade, sacrificando a experiência do usuário e por consequência, refletem negativamente nos negócios da empresa! Por isto, algumas concessões são feitas em prol destes últimos aspectos, que por sua vez acabam minando as estratégias adotadas para garantir a segurança como um todo. E o resto da história, todos já sabem…
Por isto, se tornou vital não só a adoção dos conceitos de “Confiança Zero”, como também repensar no design de toda a infraestrutura e os recursos utilizados para promover o suporte aos procedimentos técnicos necessários, os quais geralmente são focados em administrar e gerenciar os ativos da rede. Então, o conceito sofreu transformações ao longo dos anos e evoluiu para um novo patamar, o qual foi batizado de Zero Trust Architecture. Este por sua vez, possui uma série de regras pré-estabelecidas que se tornaram essenciais para o seu sucesso!
Então, o que define uma “Arquitetura de Confiança Zero”? Eis, o tema do artigo publicado pela Network World, escrito por Keith Shaw (editor)! Nele, diversos conceitos referentes a esta nova abordagem são mencionados, destacando as políticas e os procedimentos que já são adotados atualmente (proteção dos ativos e recursos, estabelecimento de comunicações seguras, definição das permissões essenciais, etc), as etapas que deverão ser obedecidas para a sua implementação e o estabelecimento das inspeções (ckeckpoints) que deverão ser feitas regularmente (NIST SP 800-207), além de outros tópicos & assuntos inerentes ao tema em questão.
Até então, considerava a Segurança como uma especialização, baseada em uma área (base) como é a Infraestrutura. Mas com o passar dos anos, confesso que esta percepção vêm se tornando mais difusa devido a sua importância e por isto, tenho aplicado diversos conceitos e princípios relacionados a segurança de forma integrada, tanto em minhas aulas de Infraestrutura, quanto nas atividades profissionais. Inclusive, passei a analisar sempre sob o ponto de vista da segurança, qualquer tecnologia, recurso, serviço ou implementação, relacionados à Informática & Tecnologia, chegando ao ponto de mudar até mesmo diversos hábitos e costumes!
Será que estou me tornando um especialista em segurança “sem perceber”? &;-D