O termo Zero Trust ou Confiança Zero é a nova perspectiva na segurança da informação, os seus princípios e aplicação de sua filosofia vão em todas as camadas tecnológicas, tornando-o a próxima fronteira na proteção tecnológica.
Apesar de haver tecnologias e fabricantes que utilizam o termo como uma entrega de sistemas voltados ao “título” – confiança zero – o conceito é amplo e aplicado com a visão de soluções tecnológicas, processos, boas práticas e atitudes de arquitetura por meio de bases que geram políticas internas, por conseguinte, o emprego massificado de um controle da dos insumos tecnológicos via a aplicação correta do privilégio mínimo.
Atualmente o termo é amplamente divulgado e utilizado, com alguns críticos indicando que há uma certa perda de proposito ou significado. Todavia existe ainda uma grande jornada para aplicação do modelo e que haja incremento de elementos para que a expressão se torne um método de proteção multicamada.
Afinal: O que é Zero Trust?
A concepção do modelo Zero Trust teve origem com a publicação do artigo do analista da Forrester Research, John Kindervag, em 2010. Em seu trabalho intitulado No More Chewy Centers: Introducing the Zero Trust Model of Information Security, o autor rompe com o paradigma tradicional de segurança baseado em perímetros, propondo uma abordagem em que nenhuma entidade, interna ou externa à rede, é automaticamente confiável (KINDERVAG, 2010), figura 01, com o histórico do emprego dos conceitos de Zero Trust
A partir de 2014, a aplicação prática do conceito ganhou maior visibilidade quando o Google implementou o modelo em suas operações internas, removendo o acesso irrestrito às redes de produção. Essa estratégia inovadora foi documentada em uma série de publicações técnicas, consolidando o projeto conhecido como BeyondCorp (WARD & HEISER, 2014). A abordagem da empresa reforçou a adoção do princípio de acesso baseado em identidade e contexto, influenciando significativamente o setor de tecnologia da informação.
Outrossim em 2014, a Cloud Security Alliance (CSA) introduziu a arquitetura de Perímetro Definido por Software (SDP – Software Defined Perimeter), que, assim como o BeyondCorp, está alinhada com os princípios do modelo Zero Trust. O SDP fornece um framework para proteger redes contra acessos não autorizados, aplicando controles dinâmicos e baseados em contexto, mesmo em ambientes de nuvem e híbridos (CLOUD SECURITY ALLIANCE, 2014).
Em 2017, o modelo ganhou reconhecimento institucional com sua inclusão no framework CARTA (Continuous Adaptive Risk and Trust Assessment), proposto pelo Gartner. Esse modelo busca substituir a confiança implícita, historicamente associada às arquiteturas de rede convencionais, por uma confiança explicitamente validada, continuamente reavaliada com base em risco e comportamento (GARTNER, 2017). Assim, estabeleceu-se uma relação direta entre Zero Trust e a necessidade de adaptação contínua dos mecanismos de segurança.
Em 2019, o conceito de Zero Trust Network Access (ZTNA) emergiu como um modelo reconhecido para controle de acesso a redes, especialmente em ambientes baseados em computação em nuvem. O ZTNA reforça a premissa de que o acesso deve ser concedido com base em políticas de segurança dinâmicas, considerando múltiplos fatores contextuais (KRAEMER et al., 2019).
No ano de 2020, a consolidação do modelo Zero Trust foi impulsionada pela publicação da NIST Special Publication 800-207, do National Institute of Standards and Technology (NIST), em colaboração com o National Cybersecurity Center of Excellence (NCCoE). Essa diretriz técnica descreve uma arquitetura de segurança Zero Trust baseada em princípios como segmentação lógica, autenticação contínua, validação de identidade e controle granular de acesso (NIST, 2020).
A principal filosofia ou premissa é que a “confiança” deve ser continuamente verificada e que nenhuma interação sistêmica – interna ou externa – deve ser considerada segura por padrão, isto é, aplica-se os princípios, por mais que se tenha uma percepção de segurança, isto em qualquer tipo de interação tecnológica.
O principal beneficio é diminuir a possibilidade de movimento de agentes maliciosos por meio de sistemas ou explorações de vulnerabilidades internas e uso indevido de credenciais (ROSE et al., 2020). O modelo também incorpora a avaliação adaptativa de risco como mecanismo essencial para manter a segurança sem comprometer a usabilidade dos sistemas. A seguir destacam-se alguns conceitos chave que são utilizados na aplicação do modelo.
Conceitos-chave ZTNA
Um conceito-chave dentro da ZTNA é o papel de um validador de confiança. O agente (software instalado nas máquinas) de confiança, residente fora da rede, fornece o nível certo de confiança a um usuário autenticado para acessar um aplicativo específico, incluso criptografia.
O funcionamento dessa abordagem envolve a imposição de controles rígidos que impedem qualquer tipo de comunicação não solicitada ou proveniente de usuários não autenticados. O agente realiza verificações baseadas em múltiplos critérios, como identidade do usuário, criptografia de sessão, localização geográfica do dispositivo, integridade do sistema e até biometria comportamental, como padrões de uso e digitação (FERNANDES et al., 2021). Esses dados alimentam uma política de acesso contextual e dinâmica, que pode variar a cada tentativa de conexão.
No contexto do ZTNA, os aplicativos não ficam diretamente acessíveis na rede, sendo ocultados por padrão. Em vez disso, um broker de acesso — intermediário entre o usuário e os recursos — comunica ao aplicativo quais usuários têm permissão para acessá-lo, com base nas políticas definidas (GARTNER, 2020). O broker impede, assim, que invasores consigam se conectar sem a devida autenticação, reduzindo significativamente a superfície de ataque.
Essa arquitetura representa uma mudança de paradigma em relação aos modelos tradicionais baseados em perímetro, ao deslocar o foco da proteção de rede para a proteção de recursos individuais. O acesso passa a ser concedido de forma granular, por aplicativo, e condicionado a autenticações específicas, o que reforça os princípios de mínima confiança e verificação contínua — pilares centrais do Zero Trust (NIST, 2020).
Adicionalmente, cada tentativa de acesso a um novo aplicativo exige uma nova validação, que pode ter critérios diferentes, dependendo da sensibilidade do recurso. Dessa forma, o sistema se adapta constantemente às mudanças no contexto de risco, promovendo uma segurança mais robusta sem comprometer a experiência do usuário (CLOUD SECURITY ALLIANCE, 2021).
Conceitos-chave ZTNS / ZTS
O ZTNA volta-se para os usuários, a modelagem técnica para as demais camadas de rede foi adotada por meio do Zero Trust Security (ZTS) que representa uma mudança significativa no paradigma da segurança da informação. Ao contrário dos modelos tradicionais baseados em perímetros, o ZTS parte do princípio de que nenhuma entidade – seja interna ou externa à rede corporativa – deve ser automaticamente confiável. Assim, todo acesso deve ser explicitamente verificado, autenticado e autorizado com base em políticas dinâmicas de controle (KINDERVAG, 2010; ROSE et al., 2020).
A filosofia do Zero Trust foi inicialmente proposta por John Kindervag, então analista da Forrester Research, em seu artigo seminal No More Chewy Centers, no qual defendia o fim da confiança implícita nas redes corporativas. Segundo o autor, a segurança moderna deve assumir que as ameaças podem estar tanto dentro quanto fora do perímetro da rede, exigindo verificação contínua e segmentação rigorosa (KINDERVAG, 2010).
Não obstante a aplicação na rede, visto como algo mais prático, destaca-se o Zero Trust Network Security (ZTNS) refere-se a aplicação do ZTS no contexto da infraestrutura de redes. No ZTNS, os recursos não são acessíveis por padrão. Em vez disso, cada solicitação de acesso é avaliada com base na identidade do usuário, na integridade do dispositivo, na localização geográfica, no comportamento recente e em outros critérios contextuais (NIST, 2020; GARTNER, 2020).
O ZTNS busca implementar controles de acesso granulares que se estendem além do perímetro tradicional, utilizando tecnologias como microsegmentação, autenticação multifator (MFA), análise comportamental e brokers de acesso para intermediar e monitorar o tráfego de rede (CLOUD SECURITY ALLIANCE, 2021). Nesse modelo, o acesso não depende da localização do usuário, mas sim da confiança verificada em tempo real, promovendo a segurança mesmo em ambientes híbridos ou em nuvem.
Ainda, o ZTNS inclui o conceito de least privilege access – privilégio mínimo – no qual os usuários recebem apenas os “privilégios” estritamente necessários para a execução de suas tarefas, reduzindo a exposição a riscos e diminuindo a superfície ou aplicando o conceito de ofuscação em agentes maliciosos internos. Cada tentativa de acesso é sujeita a revalidação constante, de modo a adaptar-se dinamicamente a mudanças no nível de risco (FERNANDES et al., 2022).
Algumas empresas como a Google, por meio de seu projeto BeyondCorp, e o NIST, com a publicação da SP 800-207, foi fundamental para a demonstração de funcionamento do modelo Zero Trust, vitando um uma referência para arquiteturas de segurança cibernética modernas (WARD & HEISER, 2014; NIST, 2020).
Princípios Básicos
Os princípios básicos do Zero Trust que são geralmente aceitos foram inicialmente definidos no “No More Chewy Centers”:
- Garanta que todos os recursos sejam acessados com segurança, independentemente da localização: Esta é uma declaração poderosa e compacta, e que engloba vários dimensões. Primeiro, exige que todos os recursos sejam incluídos no escopo de um Zero Trust solução. Implicitamente, isso exige que as organizações adotem uma abordagem holística com Zero Trust e que devem eliminar barreiras que historicamente existiram entre ferramentas de segurança e equipes
- Proteção ao acesso e identificação de sistemas, recursos humanos: Zero Trust proteja o acesso de todas as identidades (humanas, e máquina), a todos os recursos (dados, aplicativos, servidores) – independentemente da localização do a identidade e independentemente da localização ou tecnologia do recurso que está sendo acessado. Este princípio efetivamente determina a dissolução da sociedade tradicional perímetro, e sua substituição por um paradigma de segurança alternativo. Significa também que não apenas o tráfego de rede deve ser criptografado à medida que transita em áreas de rede não confiáveis, mas que todo acesso deve estar sujeito uma política.
- Adote uma estratégia de privilégios mínimos e aplique rigorosamente o controle de acesso: O conceito de acesso menos privilegiado aos recursos não é novo, mas vem sendo difícil de aplicar amplamente antes do Zero Trust. O privilégio mínimo deve ser consistentemente gerenciado em locais e tipos de recursos, e tanto na rede quanto no aplicativo camada, usando o contexto de segurança e identidade.
- Inspecione e registre todo o tráfego: As redes são os ambientes, via de regra, explorados por invasores, uma vez que são os meios pelos quais os componentes distribuídos se conectam e se comunicam uns com os outros. É por esta razão que o princípio central final requer inspeção e registro de tráfego de rede. As informações de tráfego de rede devem ser enriquecidas pelo sistema Zero Trust adicionando identidade e contexto de dispositivo – e alimentados em firewalls de última geração, rede ferramentas de monitoramento e SIEM, para melhorar sua capacidade de tomar decisões para detectar, alertar, e responder, bem como apoiar a resposta a incidentes e outros mecanismos de alerta
Conclusão
Em última análise, as principais iniciativas em torno do Zero Trust devem estar vinculadas ao valor comercial. Projetos Zero Trust podem (e normalmente têm) ter impactos significativos em infraestruturas, equipes, operações e experiência do usuário final.
Os resultados são positivos, mesmo assim, as mudanças são muitas vezes difíceis de alcançar, técnica, cultural e politicamente. As mudanças associadas a um projeto Zero Trust podem ser desafiadoras para ambientes legados, com problemas de controles de tecnologias, inventário, políticas de acesso e documentação.
Ambiente de confiança zero como um ponto de imposição ou um direcionador de políticas de segurança da informação torna-se uma jornada que possibilite o aumento gradativo da maturidade corporativa com direcionadores de negócios e prioridades a proteção de itens críticos de tecnologias de suporte ao negócio.
Ao iniciar sua jornada, nota-se que há urgência para o emprego dos princípios básicos, assim como os estendidos (objeto de um próximo artigo) que possibilitem uma estratégia madura contra atores maliciosos com cada vez mais capacidade de ataque, a (incluso automações e ferramentas de inteligência artificial), e a complexidade de integrações sistemas em nuvens e integrações tecnológicas. Portanto, convido-os a participar dos próximos artigos sobre este impressionante tema: Zero Trust.
