A VPN tradicional está sendo substituída por uma abordagem mais inteligente e segura à rede, que trata a todos como igualmente não confiáveis. Entenda porque estão declarando morte à VPN, e vida longa ao Zero Trust.
A venerável VPN, que há décadas fornece aos trabalhadores remotos um túnel “seguro” para a rede corporativa, está em extinção à medida que as empresas migram para uma estrutura mais ágil e granular chamada Zero Trust (confiança zero), mais adaptada ao mundo atual dos negócios digitais.
As VPNs fazem parte de uma estratégia de segurança baseada na noção de perímetro de rede; funcionários confiáveis estão dentro e os não confiáveis estão fora. Mas esse modelo não funciona mais em um ambiente comercial moderno, onde os funcionários móveis acessam a rede a partir de uma variedade de locais internos ou externos, e onde os ativos corporativos residem não atrás dos muros de um data center corporativo, mas em ambientes com várias nuvens.
O Gartner prevê que até 2023, 60% das empresas eliminarão a maioria de suas VPNs em favor do acesso à rede de confiança zero, que pode assumir a forma de um gateway ou broker que autentica o dispositivo e o usuário antes de permitir acesso às funções de cada contexto.
Declínio do modelo atual
Há uma variedade de falhas associadas à abordagem de segurança do perímetro. Ela não trata ataques internos. Não faz um bom trabalho contabilizando contratados, terceiros e parceiros da cadeia de suprimentos. Se um invasor roubar as credenciais de VPN de alguém, ele poderá acessar a rede e circular livremente. Além disso, as VPNs ao longo do tempo tornaram-se complexas e difíceis de gerenciar. “Há muita dor nas VPNs”, diz Matt Sullivan, arquiteto de segurança sênior da Workiva, uma empresa de software com sede em Ames, Iowa. “Elas são desajeitadas, desatualizadas, há muito o que gerenciar e são um pouco perigosas, francamente”.
Perímetro falho
Em um nível ainda mais fundamental, qualquer pessoa que observe o estado da segurança corporativa hoje entende que o que estamos fazendo agora não está funcionando. “O modelo de segurança baseado no perímetro falhou categoricamente”, diz o analista principal da Forrester, Chase Cunningham. “E não por falta de esforço ou falta de investimento, mas apenas porque é construído sobre um castelo de cartas. Se uma coisa falha, todo o resto se torna uma vítima. Todo mundo com quem converso acredita nisso”.
Cunningham assumiu o controle da confiança zero na Forrester, onde o analista Jon Kindervag, agora na Palo Alto Networks, desenvolveu uma estrutura de segurança de confiança zero em 2009. A ideia é simples: não confie em ninguém. Verifique todos. Imponha políticas rígidas de controle de acesso e gerenciamento de identidade que restrinjam o ingresso dos funcionários aos recursos necessários para realizar seu trabalho e nada mais.
Garrett Bekker, analista principal do 451 Group, diz que zero confiança não é um produto ou uma tecnologia; é uma maneira diferente de pensar em segurança. “As pessoas ainda estão pensando no que isso significa. Os clientes estão confusos e os fornecedores são inconsistentes com o significado de zero confiança. Mas acredito que ele tem o potencial de alterar radicalmente a maneira como a segurança é feita”.
Fornecedores de segurança adotam Zero Trust
Apesar do fato de que a estrutura de confiança zero existe há uma década e gerou bastante interesse, apenas no último ano, mais ou menos, a adoção das empresas começou a decolar. De acordo com uma pesquisa recente do 451 Group, apenas 13% das empresas começaram a ter Zero Trust. Um dos principais motivos é que os fornecedores demoraram a avançar.
A história de sucesso do garoto propaganda para confiança zero remonta a 2014, quando o Google anunciou sua iniciativa BeyondCorp. O Google investiu quantidades incontáveis de tempo e dinheiro desenvolvendo sua própria implementação de confiança zero, mas as empresas não conseguiram seguir o exemplo porque, bem, não eram o Google.
Mas a Zero Trust agora está ganhando força. “A tecnologia finalmente ganhou visibilidade”, diz Cunningham. “Há cinco ou sete anos, não tínhamos os recursos que poderiam permitir esse tipo de abordagem. Estamos começando a ver que isso é possível”.
Hoje, os fornecedores estão chegando a zero confiança em todos os ângulos. Por exemplo, o mais recente Forrester Wave do que agora chama de ecossistema eXtended zero-trust (ZTX) inclui o fornecedor de firewall de última geração Palo Alto Networks, provedor de serviços gerenciados Akamai Technologies, fornecedor de gerenciamento de identidade Okta, líder em software de segurança Symantec, o especialista em microssegmentação Illumio e o fornecedor de gerenciamento de acesso privilegiado Centrify.
Cisco, Microsoft e VMware também
Para não ficar de fora, Cisco, Microsoft e VMware têm ofertas de confiança zero. De acordo com o Forrester Wave, a Cisco e a Microsoft são classificadas como fortes e a VMware é uma concorrente.
Então, como uma empresa, que dedicou milhões de dólares à construção e reforço de suas defesas de perímetro, muda repentinamente e adota um modelo que trata a todos, seja um executivo que trabalha dentro da sede corporativa ou um contratado que trabalha na Starbucks, como igualmente não confiáveis?
Como começar?
A primeira e mais óbvia recomendação é começar pequeno, ou, como Cunningham coloca, “tente ferver um pouco de água e não o oceano todo”. Antes de mais nada, ele acrescenta “para mim, a primeira coisa seria cuidar de fornecedores e terceiros “, encontrando uma maneira de isolá-los do resto da rede. O analista do Gartner, Neil MacDonald, concorda. Ele identifica três casos de uso emergentes para confiança zero: novos aplicativos móveis para parceiros da cadeia de suprimentos, cenários de migração na nuvem e controle de acesso para desenvolvedores de software.
O controle de acesso para seus grupos de operações de DevOps e TI é exatamente o que Sullivan implementou na Workiva, uma empresa cuja infraestrutura de TI é totalmente baseada em nuvem. Sullivan estava procurando uma maneira mais eficaz de dar a suas equipes acesso à nuvem para instâncias específicas de desenvolvimento e preparação. Ele abandonou sua VPN tradicional em favor do controle de acesso sem confiança da ScaleFT, uma startup que foi adquirida recentemente pela Okta.
Sullivan diz que agora, quando um novo funcionário recebe um laptop, esse dispositivo precisa ser explicitamente autorizado por um administrador. Para acessar a rede, o funcionário se conecta a um gateway central que aplica as políticas apropriadas de gerenciamento de identidade e acesso.
“A confiança zero como conceito estava tão atrasada”, diz Sullivan. “É claramente o caminho certo a seguir, mas levamos quase 10 anos de reclamações e reclamações antes que as soluções prontas para empresas fossem lançadas”.
Confiança zero centrada na rede ou na identidade
Do mesmo modo, Bekker diz que o cenário do fornecedor está se fundindo em dois campos: existe o grupo centrado na rede que se concentra mais na segmentação de rede e firewalls com reconhecimento de aplicativos, e o campo centrado na identidade que se inclina para o controle de acesso à rede e o gerenciamento de identidades.
A rota centrada na rede é Robert LaMagna-Reiter, CISO da FNTS, um provedor de serviços gerenciados com sede em Omaha, Nebrasca, que revisou sua infraestrutura usando uma stack de segurança de Zero Trust da Palo Alto. LaMagna-Reiter diz que teve a oportunidade única, há alguns anos, de começar com uma lista em branco e criar a próxima iteração da plataforma de serviços em nuvem da empresa, para que pudesse se estender a um mundo com várias nuvens.
Em suma, “a confiança zero nos permitiu aplicar de forma mais granular o que as pessoas estão fazendo no dia a dia”, diz LaMagna-Reiter. Ele atribui o sucesso de sua iniciativa de confiança zero às extensas bases iniciais que foram feitas para entender completamente as funções dos colaboradores, identificar quais ativos e aplicativos os funcionários precisavam para realizar seus trabalhos e monitorar o seu comportamento na rede.
Primeiramente, ele começou com um lançamento limitado em um aplicativo de suporte não-crítico e desenvolveu lentamente, reunindo suporte dos líderes de negócios da empresa. “Estamos mostrando às pessoas que não é uma decisão de tecnologia, é uma estratégia de negócio”, diz ele.
Caso Entegrus
A Entegrus, uma empresa de distribuição de energia em Ontário, Canadá, está igualmente comprometida com a confiança zero, mas sua abordagem está centrada no controle de acesso à rede. Com uma força de trabalho móvel de pessoal de manutenção e reparo, técnicos de medidores e representantes de serviços de campo espalhados por uma ampla área geográfica, cada um carregando vários dispositivos, Dave Cullen sabia que tinha uma ampla superfície de ataque que precisava ser protegida.
Antes de mais nada, “tínhamos um requisito comercial para começar a reconstruir nossa rede”, diz Cullen, gerente de sistemas de informação da Entegrus. A necessidade de uma revisão de rede deu a Cullen a oportunidade de iniciar o caminho de confiança zero. Ele decidiu trabalhar com a PulseSecure para implantar suas ferramentas de controle remoto de acesso remoto e de rede com base em Zero Trust. Cullen diz que era crucial que os produtos fossem combinados perfeitamente para que Cullen pudesse aplicar políticas quando os funcionários se conectassem à rede.
Lento e gradual
“Nós o trouxemos lentamente”, diz Cullen, usando uma abordagem em fases que envolvia projetos piloto e ajustes em um ambiente de laboratório antes da implantação em campo. A principal prioridade era garantir que a infraestrutura de confiança zero fosse perfeita para os funcionários.
Assim, a “zero confiança para mim é mais sobre processos de negócios inteligentes e fluxos de dados e as necessidades do negócio. Não se trata apenas de usar um firewall e uma segmentação de rede. Na verdade, trata-se mais de responder dinamicamente a um ambiente em constante mudança“, acrescenta Cullen.
Cunningham, da Forrester, reconhece que há algum nível de dor envolvido na transição para a confiança zero. Mas ele descreve as opções da seguinte maneira: “Você prefere sofrer um pouco agora e acertar, ou sofrer a longo prazo e terminar com a próxima notificação de falha massiva?”
Zero confiança: uma jornada desconhecida e interminável
Enfim, para quem considera zero confiança, aqui estão duas sugestões principais. Primeiramente, não há um roteiro de implantação de confiança zero, não há padrões do setor e não há alianças de fornecedores, pelo menos não ainda. Você deve desenvolver o seu próprio.
“Não existe uma estratégia singular. Existem 100 maneiras de coçar a ferida. É o que lhe dá o controle máximo e a visibilidade máxima com o mínimo de resistência ”, diz Cunningham.
Segundo, a jornada nunca acaba. LaMagna-Reiter ressalta: “nunca há um estado concluído. Não há uma definição clara de sucesso”. A confiança zero é um processo contínuo que ajuda as empresas a responder às mudanças nas condições dos negócios.
Traduzido e adaptado de Network World. The VPN is dying, long live zero trust. WEINBERG, Neal. Disponível em: <https://www.networkworld.com/article/3487720/the-vpn-is-dying-long-live-zero-trust.html>. Acesso em: 16 Jan. 2020.
Gostou deste artigo? Leia também “Spyware: de quem para quem?“.
