Get best of the week

Implementação de arquitetura de segurança de confiança zero: segunda edição


Fonte

No início de 2020, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) publicou um rascunho da segunda edição do documento, que aborda os componentes lógicos básicos de uma arquitetura de confiança zero (Zero Trust Architecture, ZTA).

Zero Trust refere-se a um conjunto de paradigmas de segurança de rede em evolução, baseado no princípio de "não confiar nada em ninguém". Diferentemente das abordagens clássicas que prestam mais atenção à proteção de perímetro, o modelo Zero Trust concentra-se na segurança dos recursos, e não nos segmentos da rede corporativa.

Hoje, estudaremos um modelo de aprimoramento de segurança cibernética construído com base nos princípios da arquitetura com confiança zero, avaliaremos os riscos de seu uso e nos familiarizaremos com alguns cenários populares de implantação.

Zero confiança: o começo


O primeiro projeto NIST ZTA apareceu em setembro de 2019, embora o conceito de confiança zero existisse na cibersegurança muito antes do próprio termo "confiança zero" aparecer.

A Agência de Sistemas de Informação de Defesa (DISA) e o Departamento de Defesa dos EUA publicaram um documento em 2007 sobre a estratégia segura da empresa. Essa estratégia, chamada de “núcleo preto”, previa a transição de um modelo de segurança baseado em perímetro para um modelo focado na segurança de transações individuais.

Em 2010, John Kinderwag, analista chefe da Forrester Research, para formular várias soluções que mudam o foco da percepção de ameaças (de segurança com base em uma estratégia de proteção de perímetro para controlar todos os dados disponíveis), formuladoo termo "confiança zero".

O modelo Zero Trust foi uma tentativa de resolver o problema clássico, quando um invasor que penetra na rede obtém acesso a todos os seus componentes. Basta dizer que, de acordo com o Relatório de Vulnerabilidades da Microsoft , os efeitos de 88% das vulnerabilidades críticas podem ser eliminados ou, pelo menos, mitigados, privando os usuários de direitos de administrador.

As redes corporativas protegidas por perímetro fornecem aos usuários autenticados acesso autorizado a uma ampla gama de recursos. Como resultado, o movimento lateral não autorizado dentro da rede se tornou um dos problemas mais sérios de segurança cibernética.

Zero Trust Model


Para implantar o modelo Zero Trust, você deve distribuir os privilégios mínimos de acesso e maximizar os detalhes dos pacotes de dados. Em um modelo com confiança zero, você define um “espaço protegido”, que consiste nos dados e recursos mais importantes e valiosos, e corrige as rotas de tráfego em toda a organização em termos de relacionamento com os recursos protegidos.

Assim que o entendimento das conexões entre recursos, infraestrutura e serviços é exibido, é possível criar microperímetros - firewalls no nível dos segmentos das redes corporativas. Ao mesmo tempo, os usuários que conseguem passar microperímetros remotamente estão localizados em qualquer lugar do mundo e usam vários dispositivos e dados.

Um recurso distinto da arquitetura Zero Trust é uma grande atenção à autenticação e autorização antes de fornecer acesso a cada recurso da empresa. Ao mesmo tempo, é necessária a minimização de atrasos nos mecanismos de autenticação.

A figura mostra um modelo de acesso abstrato no ZTA.


No modelo, o usuário (ou dispositivo) precisa acessar o recurso corporativo através de um "ponto de verificação". O usuário passa a verificação pelo ponto de decisão de acesso com base na política de segurança (Policy Decision Point, PDP) e pelo ponto de implementação da política (Policy Enforcement Point, PEP), responsável por ligar para o PDP e processar corretamente a resposta.

A idéia é mover o ponto de aplicação da política o mais próximo possível da aplicação. O PDP / PEP não pode aplicar políticas adicionais fora de sua localização no fluxo de tráfego.

Zero Trust Principles


Aqui estão sete princípios básicos do ZT e ZTA (em forma abreviada) que devem ser levados em consideração ao criar um sistema seguro. Esses princípios são um "objetivo ideal", mas nem todos podem ser totalmente implementados em cada caso.

  1. Todas as fontes de dados e serviços são consideradas recursos. Uma rede pode consistir em vários dispositivos de diferentes classes. Uma empresa tem o direito de classificar dispositivos pessoais como recursos, se puder acessar dados e serviços de propriedade da empresa.
  2. . . , (, ), , , . , .
  3. . .
  4. , , (, ). — , , , .
  5. , , . « » , , .
  6. . , , . , , ZTA, , , .
  7. , , , .



Aqui, por conveniência, este não é o desenho original do NIST, mas a versão do artigo da Cisco “Fazendo uma escolha deliberada no estilo de vida em segurança cibernética”

Existem muitos componentes lógicos que compõem a arquitetura Zero Trust na empresa. Esses componentes podem funcionar como um serviço local ou através da nuvem. A figura acima mostra o "modelo ideal" demonstrando os componentes lógicos e sua interação.

A integração de informações sobre os recursos da empresa, sobre os usuários, sobre fluxos de dados e sobre processos de trabalho com uma política de regras constitui a entrada necessária para tomar uma decisão sobre o acesso aos recursos.

Quando o usuário (sujeito) inicia o procedimento de autenticação, a identificação digital é criada em torno dele. Este procedimento é mostrado na figura do bloco Assunto. Outro termo para esse usuário é o Principal, ou seja, um cliente para o qual a autenticação é permitida.

O diagrama de rede apresentado acima é dividido em vários níveis de tráfego. O nível de controle (Plano de controle) é separado de outra parte da rede que pode estar visível para o usuário. Do ponto de vista do principal, existe apenas a camada de dados dessa rede.

O Plano de Controle abriga o Access Decision Point (PDP), que consiste em dois componentes lógicos:

  • Policy Engine (PE), . , (, ) , ;
  • Policy Administrator (PA), / . Policy Enforcement Point (PEP), (Data Plane).

O PEP é responsável por ativar, monitorar, chamar o PDP e processar corretamente sua resposta e, finalmente, por interromper as conexões entre o sujeito e o recurso corporativo. Fora do PEP, há uma zona de confiança implícita na qual o recurso corporativo está localizado.

Todos os outros campos (esquerdo e direito na figura) mostram os componentes de segurança que podem fornecer as informações necessárias para tomar uma decisão sobre o acesso ao PDP / PEP. Isso inclui, por exemplo, um sistema de diagnóstico e monitoramento contínuo (CDM) que coleta informações sobre o estado atual dos ativos de uma empresa.

Identificação e microssegmentação


No desenvolvimento de um ZTA, a identidade dos atores é usada como um componente-chave na criação de uma política de acesso. Identidade refere-se a atributos de autenticação e atributos de usuário na rede, ou seja, dados que podem ser verificados para garantir a legitimidade do acesso.

O objetivo final do gerenciamento de identidade corporativa é limitar a apresentação de cada usuário da rede aos recursos aos quais eles têm direitos.

Uma empresa pode proteger recursos em seu próprio segmento de rede com dispositivos NGFW (Next-Generation Firewall )), usando-os como um ponto de aplicação da política. Os NGFWs fornecem dinamicamente acesso a solicitações individuais de clientes. Essa abordagem se aplica a vários casos de uso e modelos de implantação, uma vez que o dispositivo de proteção atua como um PEP e o gerenciamento desses dispositivos é um componente do PE / PA. Redes de sobreposição

também podem ser usadas para implementar o ZTA . Essa abordagem às vezes é chamada de modelo de perímetro definido por software ( SDP ) e geralmente inclui conceitos de uma rede definida por software ( SDN ). Aqui, o Administrador de políticas atua como um controlador de rede que instala e reconfigura a rede com base nas decisões tomadas pelo mecanismo de políticas.

Principais cenários de implantação



O cenário de implantação ZTA mais comum refere-se a uma empresa com sede e vários locais distribuídos geograficamente conectados entre si por canais de rede não corporativos de terceiros.

Nesse esquema, os funcionários remotos ainda precisam de acesso total aos recursos corporativos, e o bloco PE / PA geralmente é implantado como um serviço em nuvem.


À medida que uma empresa passa para mais aplicativos e serviços em nuvem, uma abordagem de confiança zero exige que o PEP esteja localizado nos pontos de acesso de cada aplicativo e fonte de dados. O PE e o PA podem estar localizados na nuvem, ou mesmo no terceiro provedor de nuvem (fora do Provedor de nuvens A e Provedor de nuvens B).


Outro cenário comum é uma empresa com visitantes e / ou contratados que exigem acesso limitado aos recursos corporativos. Neste exemplo, a organização também possui um centro de convenções onde os visitantes interagem com os funcionários.

Usando a abordagem de proteção definida pelo software ZTA, os visitantes podem acessar a Internet, mas não podem acessar recursos corporativos. Às vezes, eles nem têm a capacidade de descobrir serviços corporativos por meio de uma varredura de rede.

Aqui, o PE e o PA podem ser hospedados como um serviço em nuvem ou em uma rede local. A PA garante que todos os ativos não pertencentes à empresa terão acesso à Internet, mas não aos recursos locais.

Sete riscos da implementação de confiança zero


Impacto na Tomada de Decisão


No ZTA, os componentes Policy Engine e Policy Administrator são essenciais para toda a empresa. Qualquer administrador com acesso às configurações da regra de PE pode fazer alterações não autorizadas ou cometer erros que interrompem a operação. Um PA comprometido pode fornecer acesso a todos os recursos protegidos. Para mitigar riscos, os componentes PE e PA devem ser configurados e testados corretamente.

Negação de serviço


O PA é um componente essencial para acessar recursos - sem sua permissão, é impossível estabelecer uma conexão. Se, como resultado de um ataque de DoS ou interceptação de tráfego, um invasor violar ou negar acesso ao PEP ou PA, isso poderá afetar adversamente a operação da empresa. A empresa tem a capacidade de atenuar a ameaça colocando o PA na nuvem ou replicando-o em vários locais.

Credenciais roubadas


Os invasores podem usar phishing, engenharia social ou uma combinação de ataques para obter as credenciais de contas valiosas. A implementação da autenticação multifatorial pode reduzir o risco de acesso de uma conta comprometida.

Visibilidade da rede


Parte do tráfego (possivelmente maior) na rede corporativa pode não ser transparente para as ferramentas tradicionais de análise de rede. Isso não significa que a empresa não consiga analisar o tráfego criptografado - você pode coletar metadados e usá-lo para detectar atividades suspeitas. Os métodos de aprendizado de máquina permitem explorar o tráfego em um nível profundo.

Armazenamento de informações de rede


O tráfego de rede e os metadados usados ​​para criar políticas contextuais podem ser o alvo de ataques de hackers. Se um invasor obtém acesso às informações de tráfego, ele pode ter uma idéia da arquitetura da rede e determinar os vetores de novos ataques.

Outra fonte de inteligência para um invasor é a ferramenta de gerenciamento usada para codificar políticas de acesso. Como o tráfego armazenado, esse componente contém políticas de acesso a recursos e pode mostrar quais contas são as mais valiosas para comprometimento.

Confiança em formatos de dados proprietários


O ZTA usa várias fontes de dados diferentes para tomar decisões de acesso. Geralmente, os recursos usados ​​para armazenar e processar essas informações não possuem um padrão aberto comum de interoperabilidade. Se um provedor tem um problema ou está violando a segurança, a empresa às vezes não tem a oportunidade de mudar para outro provedor sem custos excessivos.

Como os ataques de DoS, esse risco não é exclusivo do ZTA, mas como o ZTA depende muito do acesso dinâmico às informações, uma violação pode afetar as principais funções comerciais. Para mitigar riscos, as empresas devem avaliar os provedores de serviços de maneira integrada.

Acesso de entidade não pessoal (NPE) a componentes de gerenciamento


Redes neurais e outros agentes de software são usados ​​para gerenciar problemas de segurança em redes corporativas e podem interagir com componentes críticos do ZTA (por exemplo, Policy Engine e Policy Administrator). A questão da autenticação NPE na empresa com o ZTA permanece em aberto. Supõe-se que a maioria dos sistemas tecnológicos automatizados ainda utilizará alguns meios de autenticação para acessar a API (por exemplo, o código de chave da API).

O maior risco ao usar a tecnologia automatizada para configurar e aplicar políticas é a probabilidade de reações falsas positivas (ações inofensivas confundidas com ataques) e falsas negativas (ataques confundidas com atividades normais). Seu número pode ser reduzido pela análise regular das reações.

Conclusão


Hoje, o ZTA parece mais um mapa de uma fortaleza confiável do que um mapa com pontos-chave marcados para viagens. No entanto, muitas organizações já possuem elementos ZTA em sua infraestrutura corporativa. Segundo o NIST, as organizações devem se esforçar para introduzir gradualmente os princípios de confiança zero. Por um longo tempo, a maioria das infra-estruturas corporativas operará em um modo híbrido com zero confiança / perímetro.

Para explorar ainda mais o tópico da aplicação do conceito Zero Trust, preste atenção aos seguintes materiais:

More articles:


All Articles