As 3 verdades do Zero Trust de John Kindervag para agências governamentais

Nos últimos anos, o setor público dos EUA recebeu uma infinidade de orientações sobre Zero Trust — desde o Modelo de Maturidade Zero Trust da CISA até a EO 14028 e a NIST SP 800-207. Pode parecer uma quantidade enorme de informações para classificar ou saber por onde começar em sua agência.  

É por isso que o Federal Tech Podcast participou de um episódio recente com John Kindervag, padrinho e criador do Zero Trust e evangelista-chefe da Illumio, para entender as três principais verdades sobre o Zero Trust. Essas informações são vitais para ajudar as agências a encontrar e permanecer no caminho certo ao cumprirem os mandatos do Zero Trust.

1. Você não pode fazer Zero Trust de uma só vez

De acordo com Kindervag, um dos principais equívocos sobre o Zero Trust, especialmente no governo federal, é que você pode alcançar o Zero Trust de uma só vez e dentro de um prazo específico.  

No entanto, isso está longe de ser como ele projetou a estratégia.

“É uma jornada que você segue e está nela para sempre”, explicou Kindervag.  

Começar o Zero Trust agora é essencial para que as agências criem resiliência missionária. Mas saber quando sua agência alcançará o Zero Trust total é impossível porque é um esforço contínuo. Kindervag disse que a pergunta mais importante que as agências deveriam fazer é o que elas estão protegendo, não quando.

“Não me preocupo tanto com o tempo, mas com a implementação dos incentivos e programas corretos”, disse Kindervag.  

Ele recomenda que as agências comecem obtendo visibilidade completa e de ponta a ponta de seu ambiente. Com essa visão, eles podem ver onde está o risco, priorizar a proteção das áreas de maior risco e mais críticas para a missão e, em seguida, trabalhar em uma superfície de proteção por vez: “Você constrói o Zero Trust em pedaços”, disse ele.

2. Zero Trust não é difícil

A Kindervag criou a estratégia de segurança Zero Trust para ressoar em toda a organização, desde a liderança de alto nível até os profissionais de segurança. Para esse fim, a estratégia foi projetada para ser simples de entender e implementar.

“Por que todas essas pessoas estão fazendo com que o Zero Trust pareça tão difícil?” ele brincou. “É incremental. Você faz isso com uma superfície protegida de cada vez.”

Ao tornar a fiscalização um processo iterativo, as equipes de segurança podem se concentrar em um sistema, aplicativo ou recurso por vez, do mais crítico ao menos importante. Um grande benefício disso é que causa pouca ou nenhuma interrupção na missão.

“Você implementa os controles Zero Trust, uma superfície de proteção após a outra, e isso a torna ininterrupta”, explicou Kindervag. “O máximo que você pode estragar é uma superfície protegida. Você não pode estragar toda a rede ou todo o ambiente.”

3. Implemente o Zero Trust proativamente

O Zero Trust se baseia no fato de que as violações são inevitáveis; ele reflete a estratégia de segurança de melhores práticas para a superfície de ataque moderna.  

“A superfície de ataque é como o universo — está em constante expansão”, disse Kindervag.

As ferramentas tradicionais de segurança de prevenção e detecção foram criadas para uma época em que os ambientes de computação eram muito menores, mais simples e todos dentro de um único perímetro. Atualmente, as redes são complexas, distribuídas e sem perímetro.  

Uma arquitetura Zero Trust ajuda as agências a gerenciar o aumento do risco resultante dessa evolução. “O Zero Trust inverte o problema, reduzindo-o a algo pequeno e facilmente conhecido, chamado de superfície protegida”, explicou Kindervag.

Embora as ferramentas de prevenção e detecção ainda sejam importantes, elas não são suficientes para proteger contra ameaças cibernéticas em constante evolução. É vital que as agências criem uma segurança proativa tanto para o exterior quanto para o interior da rede. As tecnologias Zero Trust, incluindo ferramentas fundamentais como a Zero Trust Segmentation (ZTS), ajudam as agências a se prepararem proativamente para violações.

“Muitas pessoas não farão nada até que algo ruim aconteça”, disse Kindervag, observando que essa é uma forma ultrapassada de pensar em segurança. “É como quando chega uma tempestade de granizo e você quer obter um seguro para seu carro. O que a seguradora diz a você? Não, é tarde demais. "

" Você precisa ficar na frente da segurança, não atrás dela”, recomendou Kindervag.

Os 5 passos para o Zero Trust

A Kindervag incentiva as agências a seguirem seu processo de cinco etapas para a implementação do Zero Trust à medida que constroem a conformidade com o Zero Trust:

1. Defina sua superfície de proteção: você não pode controlar a superfície de ataque porque ela está sempre evoluindo, mas você pode reduzir a superfície de proteção da sua organização em partes pequenas e facilmente conhecidas. A superfície de proteção geralmente inclui um único elemento de dados, serviço ou ativo.

2. Mapeie a comunicação e os fluxos de tráfego: você não pode proteger o sistema sem entender como ele funciona. Obter visibilidade em seus ambientes mostra onde os controles são necessários.

3. Arquitete o ambiente Zero Trust: depois de obter visibilidade completa da rede, você pode começar a implementar controles feitos sob medida para cada superfície de proteção.

4. Crie políticas de segurança Zero Trust: crie políticas que forneçam uma regra granular que permita que o tráfego acesse o recurso na superfície protegida.

5. Monitore e mantenha a rede: injete a telemetria de volta na rede, criando um ciclo de feedback que melhora continuamente a segurança e cria um sistema resiliente e antifrágil.

A Illumio pode ajudar sua agência a seguir essas cinco etapas em sua jornada com o Zero Trust. Saiba mais sobre como apoiamos agências governamentais e entre em contato conosco hoje mesmo para começar.