Introdução à Confiança Zero

  • 5 minutos

Uma abordagem de Confiança Zero para a segurança deve ser eficaz para acompanhar ameaças, alterações em plataformas de nuvem e alterações em modelos de negócios que respondem a um mundo em rápida evolução. Você pode encontrar práticas recomendadas para adotar uma abordagem de Confiança Zero para segurança em toda a MCRA (Arquitetura de Referência de Segurança Cibernética da Microsoft) e no MCSB (Microsoft Cloud Security Benchmark).

A abordagem de Confiança Zero da Microsoft para a segurança baseia-se em três princípios: assumir violação, verificar explicitamente e privilégios mínimos.

Princípios orientadores da Confiança Zero

  • Verificar explicitamente : sempre autentique e autorize com base em todos os pontos de dados disponíveis.

  • Usar acesso de privilégios mínimos – limitar o acesso do usuário com o Just-In-Time e o JIT/JEA (Just-Enough-Access), as políticas adaptáveis baseadas em risco e a proteção de dados.

  • Assumir violação – minimizar o raio de explosão e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.

Esse é o núcleo da Confiança Zero. Em vez de acreditar que tudo por trás do firewall corporativo é seguro, o modelo de Confiança Zero pressupõe violação e verifica cada solicitação como se tivesse se originado de uma rede não controlada. Independentemente de onde a solicitação se origina ou de qual recurso ela acessa, o modelo de Confiança Zero nos ensina a "nunca confiar, sempre verificar".

Ele foi projetado para se adaptar às complexidades do ambiente moderno que abraça a força de trabalho móvel, protege pessoas, dispositivos, aplicativos e dados onde quer que estejam localizados.

Uma abordagem de Confiança Zero deve ser ampliada por todo o espaço digital e servir como filosofia de segurança integrada e estratégia de ponta a ponta. Isso é feito implementando controles e tecnologias de Confiança Zero em seis elementos fundamentais. Cada um deles é uma fonte de sinal, um plano de controle para a imposição e um recurso crítico a ser defendido.

Diagrama de elementos de visibilidade, automação e orquestração em Confiança Zero.

Diferentes requisitos organizacionais, implementações de tecnologia existentes e estágios de segurança afetam a forma como uma implementação de modelo de segurança de Confiança Zero é planejada. Usando nossa experiência em ajudar os clientes a proteger suas organizações, bem como na implementação de nosso próprio modelo de Confiança Zero, desenvolvemos as diretrizes a seguir para avaliar sua preparação e ajudá-lo a criar um plano para chegar à Confiança Zero.

Esses princípios se aplicam em todo o estado técnico e geralmente são aplicados a uma transformação confiança zero por meio de uma série de iniciativas de modernização (RaMP) ou pilares de tecnologia (com diretrizes de implantação para cada pilar).