Introdução ao Zero Trust
Uma abordagem Zero Trust à segurança é necessária para ser eficaz no acompanhamento de ameaças, mudanças nas plataformas de nuvem e mudanças nos modelos de negócios que respondem a um mundo em rápida evolução. Você pode encontrar práticas recomendadas para adotar uma abordagem Zero Trust para a segurança em toda a Microsoft Cybersecurity Reference Architecture (MCRA) e Microsoft cloud security benchmark (MCSB).
A abordagem Microsoft Zero Trust à segurança baseia-se em três princípios: assumir a violação, verificar explicitamente e minimizar privilégios.
Princípios orientadores do Zero Trust
Verificar explicitamente - Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis.
Use o acesso com privilégios mínimos - Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em risco e proteção de dados.
Assumir violação - Minimizar o raio de explosão e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas.
Este é o núcleo do Zero Trust. Em vez de acreditar que tudo por trás do firewall corporativo é seguro, o modelo Zero Trust assume a violação e verifica cada solicitação como se tivesse sido originada de uma rede não controlada. Independentemente da origem do pedido ou do recurso a que acede, o modelo Zero Trust ensina-nos a "nunca confiar, verificar sempre".
Ele foi projetado para se adaptar às complexidades do ambiente moderno que abraça a força de trabalho móvel, protege pessoas, dispositivos, aplicativos e dados onde quer que estejam localizados.
Uma abordagem Zero Trust deve se estender por todo o patrimônio digital e servir como uma filosofia de segurança integrada e estratégia de ponta a ponta. Isso é feito implementando controles e tecnologias Zero Trust em seis elementos fundamentais. Cada um deles é uma fonte de sinal, um plano de controle para aplicação e um recurso crítico a ser defendido.
Diferentes requisitos organizacionais, implementações de tecnologia existentes e estágios de segurança afetam como uma implementação de modelo de segurança Zero Trust é planejada. Usando nossa experiência em ajudar os clientes a proteger suas organizações, bem como na implementação de nosso próprio modelo Zero Trust, desenvolvemos as seguintes orientações para avaliar sua prontidão e ajudá-lo a construir um plano para chegar ao Zero Trust.
Esses princípios se aplicam a todo o setor técnico e geralmente são aplicados a uma transformação Zero Trust por meio de uma série de iniciativas de modernização (RaMP) ou pilares de tecnologia (com orientação de implantação para cada pilar).