A Oracle criou a Oracle Cloud Infrastructure (OCI) com um princípio de design de segurança em primeiro lugar, implementando a segurança de confiança zero (Zero Trust Security, em inglês) central desde o início, por meio de controles, incluindo raiz de confiança baseada em hardware, virtualização de rede isolada e hiperssegmentação. Além desse design que prioriza a segurança, são fornecidos serviços de segurança que podem ajudar nossos clientes a seguir essa filosofia. O mundo da segurança não para e nem a OCI quando se trata dos recursos de segurança desenvolvidos e fornecidos aos nossos clientes. Como resultado, temos o prazer de anunciar uma versão atualizada do nosso artigo técnico, Abordagem da segurança de confiança zero na Oracle Cloud Infrastructure.
Você deve ter ouvido falar do memorando M-22-09 que foi publicado no início deste ano, que descreve a estratégia federal dos Estados Unidos para mover o governo dos EUA em direção a uma arquitetura de confiança zero até 2024 . Essa estratégia servirá como base para uma mudança de paradigma na segurança cibernética federal e fornecerá um modelo a ser seguido por outros. A própria declaração no memorando, “O Governo Federal não pode mais depender de defesas convencionais baseadas em perímetro. Os usuários devem fazer login em aplicações, em vez de redes”, é uma indicação clássica de como o modelo de segurança tradicional mudou nas últimas décadas e como as organizações não devem esperar para responder à próxima violação de segurança cibernética. Em vez disso, as organizações devem tomar medidas mais pró-ativas na construção de uma segurança de confiança zero mais resiliente. Conforme declarado na introdução do memorando abaixo, os departamentos do governo dos EUA são obrigados a avançar para uma arquitetura de confiança zero.
“Este memorando estabelece uma estratégia federal de arquitetura de confiança zero (Zero Trust Architecture ou ZTA), exigindo que as agências atendam a padrões e objetivos específicos de segurança cibernética até o final do ano fiscal de 2024, a fim de reforçar as defesas do governo contra campanhas de ameaças cada vez mais sofisticadas e persistentes.”
-Leia mais: Detector de Ameaças do Cloud Guard agora disponível na Oracle Cloud
Ouvimos com frequência sobre os planos de nossos clientes de adotar um modelo de confiança zero para melhorar sua abordagem geral à segurança cibernética. A segurança de confiança zero não é uma ferramenta ou produto que você pode comprar ou uma caixa de seleção que você pode ativar em uma aplicação. É um paradigma de segurança, uma abordagem multifásica que leva tempo, esforço e investimento para ser adotada. A Oracle Cloud Infrastructure (OCI) pode ajudar a acelerar sua jornada de segurança de confiança zero.
Aproveitamos a oportunidade nesta versão mais recente para atualizar o documento para usar o conjunto final lançado de 8 princípios de segurança de confiança zerodo National Cyber Security Center (NCSC) do Reino Unido, em vez dos princípios beta usados na versão anterior do artigo. Além disso, também atualizamos o documento com alguns dos recursos de segurança da OCI mais recentes, incluindo:
- OCI Threat Intelligence
- Oracle Cloud Guard Threat Detector
- Oracle Cloud Guard Fusion Applications Detector
- OCI Vulnerability Scanning
- OCI Bastion
- OCI Certificates
- Custom Security Zones
- Proteção OCI WAF para balanceadores de carga
- OCI Network Firewall (com tecnologia Palo Alto)Domínios do OCI Identity and Access Management (IAM) (a fusão do OCI IAM e do Identity Cloud Service (IDCS) em um serviço combinado).
Se você ainda não leu o artigo, mas tem interesse na OCI e em como ela pode ajudar a abordar a segurança de confiança zero, recomendamos que você dê uma olhada. Ela fornece uma abordagem muito pragmática para sua jornada de segurança de confiança zero. Se você já leu o documento, agora pode ser um bom momento para analisá-lo e ver como os novos serviços de segurança da OCI listados acima podem se encaixar em sua arquitetura geral de segurança de confiança zero.
Muitas vezes ouvimos diferentes mitos sobre a segurança de confiança zero, por isso queríamos dissipar os principais mitos que ouvimos.
Mito 1: Segurança de confiança zero é apenas um exagero de marketing; não é um modelo prático.
Embora muitas organizações tenham aproveitado a oportunidade para alinhar seus produtos e serviços à confiança zero, isso não é apenas um exagero de marketing. É uma filosofia de design e uma nova maneira de pensar sobre a segurança no estado moderno da TI, em que os dados são espalhados por vários locais, tanto on-premises quanto na nuvem. Além disso, por meio de publicações como as do Instituto Nacional de Padrões em Tecnologia (National Institute for Standards on Technology ou NIST) dos EUA, é um movimento que está ganhando popularidade e força.
Mito 2: Segurança de confiança zero é apenas para grandes organizações com arquitetura de segurança amadurecida.
Conforme mencionado anteriormente, segurança de confiança zero não é um produto ou uma solução de segurança, mas um paradigma de segurança, uma abordagem multifásica que pode ser introduzida gradualmente em qualquer organização. Por exemplo, o ponto de partida pode ser tão simples quanto as organizações começarem a exigir autenticação multifator (Multi-Factor Authetication ou MFA) para seus usuários. Portanto, segurança de confiança zero também é um benefício para organizações menores, para construir o tipo certo de arquitetura de segurança, desde o início.
Mito 3: Segurança de confiança zero foca apenas em Segurança de Rede ou Identidade
Segurança de confiança zero tem, de fato, 3 dimensões – proteger a rede, proteger as identidades e seus acessos e proteger e monitorar os serviços – todas as quais devem estar alinhadas para proteger a joia da coroa de uma organização: os dados.
Em uma arquitetura de confiança zero, dado que assumimos que a rede é hostil, precisamos pensar em como microssegmentar a rede para limitar o raio de explosão. Temos que pensar em como realizar um monitoramento protetor contínuo que ajudará a identificar padrões de atividade em suas redes, que, por sua vez, podem fornecer indicadores de comprometimento. Portanto, a rede é a primeira dimensão da ZTS.
Então, precisamos entender quem está acessando os dados e serviços. Como não confiamos inerentemente na rede, em todos os pontos, é fundamental que autentiquemos e autorizemos qualquer coisa que esteja tentando se conectar aos sistemas antes de concedermos acesso. Precisamos ter políticas de acesso robustas para garantir que as identidades certas tenham as permissões certas para acessar os recursos e dados certos. Portanto, a segunda dimensão da ZTS é a Identidade.
Dado que a rede não é confiável, os serviços de segurança precisam ser projetados para proteger o ambiente por meio de monitoramento contínuo e ferramentas de correção automatizada quando necessário. Todos os serviços precisam aplicar controles de segurança dinamicamente em tempo real para cada fluxo de solicitação-resposta, não apenas no perímetro, mas em todas as camadas, incluindo infraestrutura, rede, aplicação e pontos de acesso a dados na empresa. Eles precisam monitorar o ambiente adequadamente, não apenas do ponto de vista da integridade, mas também do ponto de vista da detecção de ameaças em tempo real.
Portanto, todas essas dimensões devem funcionar juntas para fornecer um mecanismo de defesa em camadas durante a implementação da segurança de confiança zero.
Mito 4: Segurança de confiança zero oferece uma experiência de usuário insatisfatória.
Segurança de confiança zero, se implementada corretamente, deve aprimorar a experiência do usuário e reduzir a complexidade da arquitetura geral de segurança. Deve evitar os pontos fracos de segurança e impedir o acesso pela porta traseira. Por exemplo, fornecer gerenciamento de identidade centralizado permite que os usuários se lembrem de menos senhas e também tenham uma experiência comum e positiva para segurança adicional como MFA.
Então, se você ainda não começou, nós encorajamos você a começar sua jornada de confiança zero! Como primeiro passo, escolha um provedor de nuvem que se alinhe a uma estratégia de segurança de confiança zero e possa fornecer os controles necessários para ajudar a acelerar um programa baseado em confiança zero. Saiba mais sobre como a Oracle pode ajudar os clientes com sua abordagem segurança de confiança zero com a versão mais recente do artigo técnico aqui.