Reino Unido lança orientação sobre a adoção de uma arquitetura Zero Trust

national cyber security center recomendações cibernéticas proteção de infraestrutura crítica

O National Cyber Security Center (NCSC) do Reino Unido, uma joint-venture entre as principais organizações cibernéticas (GCHQ e CERT-UK) e de proteção de infraestrutura crítica (CPNI) dentro do governo do Reino Unido, lançou um conjunto prático e pragmático de recomendações para ajudar as organizações na adoção de Arquiteturas Zero Trust (AZT). Semelhante à publicação especial do NIST sobre ZTA (SP 800-207), o NCSC reconhece Zero Trust como uma arquitetura, um conjunto de princípios e uma jornada transformacional.

À medida que a liderança cibernética em todo o mundo compreende os benefícios e as implicações de Arquiteturas Zero Trust, estamos vendo agora um consenso se desenvolvendo em torno dos pré-requisitos para uma adoção bem-sucedida.

Os princípios de arquitetura de confiança zero foram lançados para ajudar a construir com segurança essa arquitetura de rede de ponta.

Como construir essa arquitetura de segurança baseada em Zero Trust

A arquitetura da rede está em plena evolução. Mais serviços estão mudando para a nuvem e há um crescimento contínuo no uso de Software as a Service (SaaS).

Enquanto isso, muitas organizações estão adotando o trabalho flexível, o que significa que seus sistemas podem ver vários tipos de dispositivos se conectando de uma variedade de locais. Também é cada vez mais comum que as organizações compartilhem dados com seus ‘parceiros’ e usuários convidados, necessitando de políticas de controle de acesso granulares.

A arquitetura Zero Trust foi projetada para lidar com essas condições de mudança, permitindo uma experiência do usuário aprimorada para acesso remoto e compartilhamento de dados. Com isso em mente, essa nova orientação de confiança zero tem o objetivo de ajudar as organizações do Reino Unido a projetar e construir uma arquitetura de confiança zero.

Os 8 princípios da arquitetura Zero Trust


Os oito princípios descritos no guia o ajudarão a implementar sua própria arquitetura de rede de confiança zero em um ambiente corporativo.

Os princípios são:

  1. Conheça sua arquitetura, incluindo usuários, dispositivos, serviços e dados.
  2. Conheça suas identidades de usuário, serviços e dispositivos.
  3. Avalie o comportamento do usuário, a integridade do dispositivo e do serviço.
  4. Use políticas para autorizar solicitações.
  5. Autentique e autorize em qualquer lugar.
  6. Concentre seu monitoramento em usuários, dispositivos e serviços.
  7. Não confie em nenhuma rede, incluindo a sua.
  8. Escolha serviços projetados para confiança zero.

Princípios flexíveis


A orientação foi escrita como um conjunto de princípios, pois fornece uma maneira mais flexível de oferecer e consumir conselhos. Os oito que foram citados aqui representam os principais blocos de construção e considerações arquitetônicas envolvidas na mudança em direção a uma arquitetura de confiança zero.

A maneira de cada um alcançar a confiança Zero será um pouco diferente. Isso é impulsionado pela tecnologia que você está usando e pelas ameaças que está enfrentando. No entanto, acreditamos que a maioria das abordagens de confiança zero ainda devam estar ligadas a esses oito princípios básicos.

É uma abordagem em fases

Zero Trust não é “tudo ou nada” e nem é uma abordagem isolada relacionada apenas ao acesso do usuário, comunicações de aplicativo ou acesso à rede. Zero Trust é um método que pode ser usado para proteger funções críticas de negócios que consistem em requisitos de acesso de usuário e rede e que podem ser “discados” para fornecer uma redução mais ampla da superfície de ataque empresarial ao longo do tempo.

O NCSC identifica corretamente a necessidade de harmonizar a proteção entre os controles legados e as opções emergentes de aplicação de várias nuvens (incluindo grupos de segurança na nuvem, permissões de IAM, políticas de rede em ambientes de contêiner) para obter benefícios de segurança completos. Trabalhando com esses princípios, as organizações dão os primeiros passos em sua jornada de Zero Trust.


Durante a transição para uma arquitetura de Zero Trust, não comece a desativar imediatamente os controles de segurança tradicionais que seus componentes de confiança zero estão substituindo. Certifique-se de ter implementado e testado totalmente seus componentes de Zero Trust antes de fazer qualquer descomissionamento ou desativação de controles de segurança.

Devido à natureza de uma arquitetura de Zero Trust, você pode deixar seus sistemas expostos e em risco considerável se seus novos controles não tiverem sido configurados e testados adequadamente. Por exemplo, não remova sua conexão VPN até que esteja satisfeito com o fato de que a nova arquitetura de Zero Trust está mitigando todas as ameaças que a VPN estava cobrindo.

Também vale a pena lembrar que, conforme você faz alterações em sua arquitetura, alguns fundamentos podem mudar, como sua estratégia de monitoramento e a forma como você aplica as políticas de uso da Internet.

Use produtos e serviços de Zero Trust que foram projetados com o conceito em mente. Acreditamos firmemente que a jornada de todos pode ser um pouco diferente, produzindo soluções diferentes para cumprir cada princípio.

Cada passo conta


Você pode começar a obter benefícios de segurança trabalhando de acordo com os princípios, dando os primeiros passos em sua jornada de confiança zero. Naturalmente, um ambiente mais complexo terá uma jornada mais longa e desafiadora pela frente.

Pode ser que nem todos os princípios possam ser alcançados de uma vez. Na verdade, dependendo do seu caso de uso, pode ser possível que as ofertas comerciais atuais sejam incapazes de satisfazer todos os princípios. Será necessário buscar uma solução que atenda suas necessidades e esteja alinhada à arquitetura Zero Trust.

Pode ser que a maturidade da tecnologia necessária para dar suporte ao seu caso de uso ainda não tenha chegado. Se for assim, a confiança zero ainda pode ser sua meta estratégica, permitindo que você comece a trabalhar nos princípios que pode alcançar agora.

reino unido arquitetura zero trust NIST NCSC proteção

Nos próximos meses, o National Cyber ​​Security Center (NCSC) publicará recomendações mais granulares, em um futuro blog, detalhando cada um dos princípios desta arquitetura e informações sobre migração de confiança zero, tentando abordar alguns dos desafios nessa área.

Nosso Portal SegInfo acompanhará essas recomendações para que nosso público tenha acesso oportuno às notícias mais relevantes. Para você acompanhar as notícias de Segurança da Informação deste Portal, inscreva seu e-mail clicando aqui.

Fonte: UK Government’s ‘National Cyber Security Center’ Launches Guidance on Adoption of Zero Trust Architecture

Posts relacionados: NSA lança novo guia sobre implementação do modelo de segurança Zero Trust / Onde o “Zero Trust” começa e por que é importante? e Como implementar o Zero Trust para funcionários em Home Office