Transcrições
1. Apresentação: Oi, olá pessoal. Meu nome é Pamela is long e sou a criadora
deste curso, que é a masterclass do Zero
Trust, sobre como implementar a arquitetura de
confiança zero usando esta
publicação especial, 800 a 07. Agora, esse é um tópico pelo qual
sou muito apaixonado. Filosofia de segurança de confiança zero. É um conjunto de princípios que se você aplicá-los e
adotá-los juntos, eles podem provocar uma
grande mudança e gritar sua empresa aborda segurança e como ela a
implementa. E os resultados podem ser
muito, muito benéficos, tanto para equipes de segurança
quanto para empresas. Mas o problema do
Zero Trust é que seu escopo é muito amplo e pode se
tornar muito avassalador. Então é por isso que eu
fiz esse curso. Então, minhas promessas, seja você uma pequena startup ou talvez um discurso da Fortune 500, foram criadas
especialmente para
ajudá-lo a implementar a confiança zero. E é baseado no meu
próprio entendimento, anos
de experiência na implementação desse modelo de segurança específico. Eu sei como o Zero Trust funciona e como
implementá-lo na prática. Esse é o objetivo de fazer este curso para compartilhar
esse conhecimento com você, para ajudá-lo em sua jornada de
Zero Trust. Também sobre mim, meu nome, renovações ou lei de temporizadores. Tenho mais de 20 anos de
experiência em risco tecnológico. Também sou autor, blogueiro e instrutor. Também sou coach de
carreira em segurança cibernética. Eu tenho um canal no YouTube
chamado Cloud Security Guy. Quando falo sobre coisas
como segurança na nuvem, IA em geral, conselhos de carreira. Ok. Então, atualmente, estou
baseado em Londres. E, basicamente, minha carreira
ao longo da minha jornada, como tem sido Ivan, como vários prêmios dentro dos legados do ano no
setor. A melhor
equipe de segurança, esse tipo de prêmio vem do reconhecimento do
setor. Mas nos últimos dois
anos, eu me concentro mais em ensinar e escrever e
retribuir à comunidade o
máximo que posso. Publiquei dois livros. Um é sobre
convênios de
inteligência artificial em segurança cibernética, o outro é sobre
segurança na nuvem, como fazer sua carreira. Ambos estão
disponíveis na Amazon. Então isso é só para te mostrar o
meu, como o que eu fiz. Você deveria
me ouvir ou não, mas eles têm essas
credenciais ou não. Então, agora, quando eu falo
sobre Zero Trust, que é um tópico do nosso curso. Agora, a questão é que a
segurança corporativa é difícil, certo? Isso ocorre porque as infraestruturas de ID e
aplicativos são muito, muito complexas. Eles podem ser muito
amplos e os usuários
os acessam muito rapidamente. E, claro, da forma como as pessoas são atacantes,
sempre tentando
entrar no ambiente, a maioria das
redes corporativas é muito, muito aberta quando implementada. Se você já ouviu o conceito
de menor privilégio, que é dar acesso apenas
às pessoas que precisam dele. A maioria das empresas, eu diria que a grande maioria das empresas
aplica esse princípio. Eles se aplicam e o aplicam quando se
trata de aplicativos. Eles o aplicam quando
se trata de banco de dados, servidores, qualquer coisa. Mas quando se trata
da arquitetura, quando se trata do design de suas redes, eles
não a aplicam. E o que acontece é que eles
os deixam incrivelmente abertos a ataques. E isso vale
tanto para redes internas quanto para
redes públicas, certo? Você tem VPNs completamente expostas a todas as pessoas
na Internet. E você nunca projetaria
um sistema como esse. Mas, vamos lá, a forma como a segurança e a
rede
tradicionais
funcionaram , continuaram, esse
modelo continuou. Então é aqui que entra a
confiança zero, que é o assunto
deste curso. E traz uma
abordagem moderna à segurança. E isso reforça o princípio
do menor privilégio para redes e aplicativos
: falaremos sobre como isso é para usuários não autorizados. Se você implementar o zero-trust, eles não terão acesso
a nenhum recurso corporativo e os usuários autorizados terão apenas o
acesso mínimo necessário. E se você implementar a
confiança zero corretamente, você terá uma
métrica mais segura, mais segura
e mais resiliente. Isso foi uma melhoria na
eficiência e eficácia. Porque você quer, você
está
aplicando automaticamente políticas dinâmicas
e falaremos sobre elas. Ok? Então, é sobre isso que eu
queria dar um pano de fundo. É uma tendência muito importante e
altamente visível, você sabe, na indústria de segurança da
informação. E acho que se tornou
um chavão de marketing. Muitos fornecedores o estão usando para comercializar seus aplicativos, mas é um padrão muito válido. Não é um produto,
é uma filosofia uma abordagem e um conjunto
de princípios orientadores. E falaremos sobre isso. E isso significa que há muitas, muitas maneiras de interpretar a
confiança zero porque cada empresa é
diferente, certo? Mas existem alguns princípios muito fundamentais e
universais toda
arquitetura de confiança zero deve seguir. Então esse é o objetivo principal deste curso que eu vou ser. Por que você não usou essas diretrizes
e recomendações confiança zero com base na minha
experiência trabalhando com muitas,
muitas empresas de
diferentes tamanhos e maturidades ao longo de
sua jornada. E
pessoal muito, muito importante, essa é uma jornada. Isso não é uma
coisa única e você esquece, mas uma iniciativa contínua e em
evolução. É por isso que fiz este
curso para fornecer essas recomendações e ser um guia para você nessa
jornada. Então, vamos comercializar como se eles
geralmente fossem. A definição de Zero Trust é que é uma estrutura de segurança que
registra todos os usuários, seja dentro ou
fora da rede. Haverá a
primeira configuração
e
posturas de segurança autenticadas,
autorizadas e continuamente validadas e antes de serem
concedidas ou mantidas o acesso. Para aplicativos e dados. Agora, se você ler sobre, se você ler esta definição e isso for uma reação,
eu não te culpo. Você pode estar pensando:
qual é o problema? É a mesma coisa que
ouvi 1 milhão de vezes a votação. Isso
provavelmente é algo que já está fazendo. Então você pode estar pensando, ok, como é
que ele e
eu já fazemos isso. Mas é aí que entra a outra
parte da confiança zero, que é
usada pelo Zero Trust, que não existe uma borda de rede
tradicional. As redes podem ser
locais na nuvem, nuvem
Oracle ou em uma combinação. O que é híbrido com recursos em qualquer lugar e
trabalhadores em qualquer local. Ok, então é aqui que Zero Trust difere um pouco
do tradicional. Ele presume que tudo é
potencialmente malicioso por natureza. É aqui que entra toda a
diferenciação semelhante. Como um
modelo Zero Trust difere de outros modelos de segurança e
do modelo tradicional de
perímetro de rede. Então, o que o Zero Trust não é como o
seu, não é como um
produto que eu disse antes, mas fornece orientação para
as empresas sobre como mitigar
continuamente
e como usar as novas
soluções já existentes para protegê-lo. Você pode usar sua empresa. Você pode ter uma linha de base de segurança muito
forte. Talvez você precise apenas de
pequenos refinamentos para uma
implantação bem-sucedida do zero-trust, ou talvez não tenha
nada e precise criar esses elementos
do zero, ok? Ter implementado esse modelo. Portanto, não importa onde esteja
o ponto de partida. Só para ficar bem
claro, confiança zero
geralmente leva tempo. Pode ser um
projeto de vários anos, como várias partes interessadas, que exige muito investimento
de tempo e dinheiro. Mas os benefícios, eles realmente vêm e você realmente os vê. Se algo acontecer,
algum compromisso acontece. Você pode ver o modelo Zero
Trust entrar em ação. E isso impediu que esse compromisso
avançasse. Mas eu estava falando
sobre essas coisas, o pano de fundo, se você
olhar para isso em 2020, tivemos uma espécie de evento
que mudou o
mundo , como se você
já estivesse ciente disso. E o que aconteceu
foi
que todas as empresas forçaram a adotar o controle remoto, implementar VPNs e
trazer seu próprio dispositivo. E você pode realmente ver a importância da
confiança zero porque os funcionários estão usando uma VPN
remota e, portanto, são violados. Mais e mais VPNs estão sendo
violadas ou sobrecarregadas. E as transformações digitais
estão acontecendo como qualquer outra empresa estava entrando na organela
digital, na transformação digital,
indo para a nuvem. Então, implementando uma
AT de confiança zero versus a exigência verificar e proteger
tudo o que está conectando a
integridade do dispositivo, a integridade da segurança
do dispositivo em vigor, menor privilégio e a captura, analise todos os registros ao ambiente do tipo
veteranos, certo? E governos e
empresas em todo o mundo. Eles reconheceram
a importância do Zero Trust por
causa desse evento. E eles aceleraram
a adoção de uma estratégia de confiança zero
por meio do apoio. Gostar. Esse é o
objetivo principal para mim. Eu li e fiz
muitas pesquisas e
ajudei muitas pessoas a fazer implantações e a ver o cenário de ameaças. Então esse é o motivo pelo qual
este curso mostra
por que a necessidade do Zero
Trust existe, ok? Então é aqui que o diferenciado
entra em confiança zero, que eu chamo de conceitos. Existem certos
conceitos de Zero Trust. Agora, talvez você esteja lendo algo
no Zero Trust que pode ser um pouco
diferente disso. Mas lembre-se, confie zero
nesses princípios, eles evoluem e mudam. Mas, em um sentido geral, eles sempre serão
assim, só que esses são os que eles podem
desviar minha mudança. Em vez de cinco, eles
podem ser três ou quatro. Mas esses são os princípios
universais. A rede sempre é
considerada hostil, ok, então não há nada
confiável lá. E ameaças externas e
internas existem em uma
rede o tempo todo. Ok? Então, só porque
você está na rede,
não basta confiar em
você. E cada fluxo de rede
do usuário do dispositivo é autenticado e autorizado. As políticas devem ser
dinâmicas e, em seguida
, calculá-las rapidamente a partir do maior número possível de
fontes de dados. Então você pode estar pensando,
sim, tudo isso
parece muito bom. Como você realmente o
implementa? Então, é sobre isso que vou
falar em
detalhes no curso. Mas lembre-se, em
poucas palavras, é zero. A confiança é um conjunto de princípios
em evolução. E lentamente, ele afasta o
ambiente do perímetro estático baseado em rede
para se concentrar nos ativos dos usuários. E pressupõe que não
há confiança implícita. Ok? E só porque
eles são os melhores, esteja você na
rede ou na rede,
e você faz a autorização
com base em várias coisas,
várias políticas, várias fontes de informações sobre
ameaças, certo? Então, como eu disse, é
uma resposta a muitas tendências que
aconteceram, como
usuários remotos trazendo seu próprio dispositivo, ativos
baseados em nuvem que
não estão sob seu controle, certo? Então é isso que ajuda a zero-trust a
vender para sua localização. A localização da rede não
é mais vista como um V de confiança nela. E lembre-se, não é como
uma arquitetura única, não
é um único produto. São esses princípios que
ajudarão você a melhorar. E fazer a transição para
zero toneladas
é como uma jornada de vários anos que realmente o ajudará. Você não pode simplesmente substituir
sua tecnologia e dizer:
Ok, eu implementei um
produto que diz confiança zero. Agora eu não tenho confiança,
não, não funciona assim. É por isso que muitas
organizações falham
na estratégia Zero Trust ou não obtêm
todos os benefícios. Então, se você é uma empresa,
falarei sobre isso mais tarde, quando falarmos
sobre a
implementação prática da confiança zero. Você deve tentar implementar, de
forma lenta e lenta, princípios de
confiança zero, mudanças de
processo e soluções
tecnológicas que protejam seus dados, certo? E analisaremos
vários casos de uso. Atualmente
, a maioria das empresas está operando em um modelo híbrido, como um modelo baseado em
parâmetros, e
continuam investindo em TI. Então, a confiança zero pode
realmente ajudá-lo aqui. Então esse é o objetivo
desse curso, pessoal. E quais são os problemas? Quais são os desafios? Eu me
vi e vi outras pessoas também encontrando quando se trata de confiança zero, em primeiro lugar, o
material é muito vago. Eles dizem o que o
Zero Trust é incrível. Zero Trust é como
você realmente o implementa? Não há conselhos práticos, ou pior ainda, Zero
Trust é incrível. Por favor, dê-nos uma quantia X
de milhões de dólares e implemente um produto e você não terá confiança,
não, não funciona assim. Nenhuma solução única pode implementar
magicamente a confiança zero. Então, esse é um desafio que eu
já vi em todos os aspectos. Esse material é muito vago ou o que ele chamou de conselhos
práticos, como implementá-lo e
muito focado em produtos. Esse é o objetivo
deste curso:
ajudá-lo a dar conselhos práticos sobre como
implementar a confiança zero com base em minhas próprias experiências e em meus
próprios conselhos de implementação. Então, o que esse curso cobrirá? Espero que você entenda agora por que você deve aprender Zero Trust. E eu vou te ensinar
confiança zero do zero. E eu vou explicar
para você como funciona, o que o modelo funciona,
quais são os princípios? E entraremos em detalhes
e isso lhe dará um mergulho
profundo nesses
conceitos e em detalhes. E também darei um roteiro
para implementação. E como eu disse, conselhos
práticos. Então, vamos
analisar alguns estudos de caso. Não vou apenas dizer, sim, isso é Zero Trust,
por favor, seja implementado. Analisamos algumas empresas e como eu vou
fazer uma sozinha e quando pedi que você
fizesse, você pode
compartilhar seus resultados, ok? Então, para quem é esse curso? Bem, como eu disse, Zero
Trust é o futuro. Vai se tornar
cada vez mais importante com o passar do tempo. E, como profissional de segurança, como gangorra, você tem a
responsabilidade de incentivar e incentivar sua empresa a
adotar essa nova abordagem, que
ajudará muito sua empresa
nessa resiliência e
a crescer. Além disso, pode ser que você seja um profissional de
risco,
um profissional de TI, um auditor de TI. A confiança zero vence o futuro. Quanto mais você o entende,
melhor se prepara para auditar e
implementar esse modelo,
que também o ajudará em sua posição
atual, e definitivamente o ajudará em sua posição futura à medida que o setor evolui, e definitivamente o ajudará em sua posição futura à medida que à medida que
o setor evolui, medida que o setor
avançou nessa direção. Portanto, tudo isso será
benéfico apenas para você, e o conhecimento não
aplicado será perdido. É por isso que é tão importante sempre ter algum
tipo de projeto. Então isso é o que eu fiz. Há um projeto de aula aqui. E qual é o projeto de classe deles? Você vai fazer
um estudo de caso. Quero que você faça o estudo de
caso deste curso e crie uma arquitetura Zero
Trust baseada no padrão. Falaremos sobre isso, é
claro, como fazer isso, como fazer isso e quais são as
principais características aqui. Espero que tenham entendido agora pessoal, qual é, qual é o
objetivo desse curso? Espero que você tenha uma boa ideia que trata esse curso. Por que você deve aprender Zero Trust e quais são os
principais benefícios disso? Como eu disse, o objetivo principal
deste curso é
fornecer conselhos práticos. Estou muito feliz que você
esteja fazendo essa jornada comigo. Então, vamos começar e nos
vemos na próxima lição. Obrigado por
escolher este curso. E espero que seja
benéfico para você. Se você tiver algum comentário,
vá em frente e
compartilhe comigo. Muito obrigado e nos
vemos na próxima aula.
2. A necessidade de Zero Trust: Oi amigos. Bem-vindo a esta lição. Nesta lição, vou me
aprofundar
um pouco na
necessidade de confiança zero. Agora, falamos sobre isso antes em uma lição anterior. Por que Zero Trust era necessário, mas eu realmente queria fazer uma análise mais detalhada de
por que precisamos de confiança zero. Agora, o fato é que
o cenário de ameaças está mudando continuamente. Mu e Nu são tóxicos ao sair. Ameaças cada vez mais sofisticadas estão surgindo. E, basicamente, seu modelo tradicional de
segurança baseado em perímetro não é mais suficiente para proteger contra esses tipos avançados
de ataques, certo? E, como basicamente os
controles que você colocou, eles
poderão se defender por mais tempo. Porque a segurança de que a arquitetura
corporativa está mudando e o
perímetro simplesmente não existe como
antes. Então, vamos dar uma olhada no que estamos falando aqui, certo? Então, a confiança zero, quando
falamos sobre Zero Trust, é uma tentativa de resolver
algumas das fraquezas do que chamamos arquitetura de
segurança
mais tradicional. Então, vamos descrever toda a arquitetura de
segurança primeiro
como algo parecido, a forma mais antiga, como os
bons velhos tempos, você sabe, como todas as pessoas
sobre as quais falamos nos bons velhos tempos. Então, em uma arquitetura
de segurança tradicional, termos
gerais, você tem um perímetro rígido
definido por bolas de fogo. Talvez você tenha uma VPN
para acesso remoto. Você pode ter uma
autenticação centralizada, como um
login único para o Azure Active
Directory e alguns outros produtos. Mas basicamente isso identifica o usuário e concede acesso a
você, certo? Então, é assim que
geralmente parece. Quero dizer, é claro que
não será tão básico porque eu fiz esse
diagrama deliberadamente trazido. Obviamente, você terá sub-redes
nesses ambientes, terá sub-redes e terá mais firewalls
na rede. Mas, de
um modo geral, quando um usuário autenticado está
dentro do perímetro de segurança, ele tem poucos
controles colocados nele porque gosta do que
você chama de zona confiável. Então, agora eles podem
acessar servidores de arquivos. Podemos nos conectar a outros
nós dentro da rede. Eles usam serviços e assim por diante. E como eu disse, as empresas não são estúpidas. Eles são seguranças de lá. E eles estão cientes
das deficiências
dessa abordagem há algum tempo, certo? Então, eles serão
parâmetros dentro da rede, parâmetros
dentro dos perímetros. E você provavelmente
reautenticará o corpo para o qual ele ligou. Você colocará seus servidores mais
confidenciais em uma
sub-rede mais privada como essa. E talvez tenhamos autenticação
multifatorial. Mas, no
geral,
a regra geral é : é duro por fora
e macio por dentro, e isso permaneceu
praticamente a norma no passado, como eu diria, cerca de 20
anos, eu diria. Mas sim, geralmente é
descrito como um jardim murado. Então, deveria
afastar as pessoas ruins. Mas por dentro você é livre
para fazer o que quiser. O que quer que possamos imaginar isso. Existem várias desvantagens, é
claro que você pode
imaginar, certo? A principal desvantagem é: e se um atacante conseguir
atravessar o perímetro? Normalmente, eles têm acesso praticamente irrestrito
para explorar, certo? Não estou dizendo que eles se
tornarão administradores, mas podem fazer movimentos
laterais. Eles podem atacar máquinas
dentro do perímetro. E eles podem, é claro,
tentar elevar seus privilégios sem tanta chance
de serem detectados. E geralmente há
pouca atenção dada ao comportamento
de um indivíduo. Identidade autenticada. O usuário está autenticado. Eles podem fazer coisas que
são praticamente incomuns e
podem não ser detectados. Você tem produtos
que podem ser semelhantes
aos produtos comportamentais existentes, mas geralmente, a
falta geral de controle de acesso granular. Ele permite que os usuários,
você seja mal-intencionado, talvez não seja malicioso,
permitam o acesso a dados e serviços. Eles não precisam. Quando você muda,
especialmente quando você muda para uma nuvem e um híbrido, talvez como um BYOD ou parceiros de trabalho
remoto,
todas essas coisas surgem. Então é sobre isso que eu
queria falar. Desculpe. À medida que você se torna cada vez mais complexo, as
infraestruturas de
uma empresa típica se tornam cada vez mais
complexas, infelizmente. Agora, hoje em dia, devido a todas as tendências que estão surgindo em
uma única empresa, você pode ter várias
redes, várias filiais. Você pode ter comprado empresas que têm suas próprias redes. Você pode ter escritórios remotos. Você pode ter um indivíduo remoto
ou móvel. Você pode ter infraestrutura
de serviços em nuvem como serviço, software
como serviço. Essa complexidade é superada. O método legado de segurança de rede de base
perimetral porque
não há um parâmetro único ou facilmente identificável
para a empresa. Segurança de rede de base perimetral. Também é insuficiente
porque uma vez que o atacante, que é o perímetro,
como eu disse, seu movimento lateral está
praticamente parado. Você pode muito bem se
movimentar e tentar encontrar. E se você for um bom
hacker, não conseguirá acionar nenhum alarme
de segurança, ok? É claro. Então, esta é
a paisagem atual, essa é a quantidade de caminhões que você tem sua rede interna e
você terá usuários remotos. Serviços em nuvem, você esconde
os serviços de infraestrutura que você tem BYOD, basicamente o aumento do trabalho remoto. Vamos dar uma
olhada nessas tendências. Você tem trabalhado cada vez
mais remotamente com a compensação ecológica de equipes
remotas distribuídas. Você precisa de um modelo
de segurança que possa se adaptar a diferentes
ambientes, certo? E isso pode proteger os dados independentemente da localização do
usuário. E, claro, você
tem a opção de nuvem. Portanto, as empresas estão adotando
cada vez mais a nuvem e o
perímetro tradicional desaparece. Portanto, o zero-trust fornecerá
uma estrutura para proteger dados e aplicativos na nuvem , independentemente de sua localização. Além disso, muitas organizações
estão permitindo que as empresas tragam seus próprios dispositivos
pessoais para o trabalho. E, claro, isso traz riscos
adicionais de segurança. Além disso, a confiança zero
ajudará a mitigar esse risco aplicando políticas
e políticas de segurança. E controle de acesso com base
no dispositivo e nos contextos do usuário. E, claro, ameaças
internas são, nem todas as ameaças
vêm de fora. Ameaças internas podem representar
um risco significativo. E a confiança zero ajuda a
minimizar a distância
aplicando o menor
acesso privilegiado à rede. Na arquitetura em si. Os usuários só têm acesso
aos recursos de que precisam. Dentro da própria rede. Normalmente, concede privilégios feitos
no nível
do banco de dados, do aplicativo ou do servidor, mas não na própria
arquitetura de rede. E muitos
comentários regulatórios também são publicados. Eles dizem que você precisa ter esse tipo de modelo que existe. E falaremos
mais sobre isso na próxima lição. E, claro, com melhor visibilidade e controle dentro dessa rede, fica muito
difícil ter essa visibilidade. Zero Trust fornece a
você essa
visibilidade do comportamento do usuário
e da postura geral. E isso permite que você obtenha mais, permite detectar e responder às
ameaças à segurança com mais eficiência. Ok? Então é sobre isso que eu
queria falar. confiança zero será um cuidado famoso para proteger sua
infraestrutura e dados para as
transformações digitais modernas de hoje, certo? Depois de todos esses desafios
que estão surgindo, você precisa proteger trabalhadores
remotos, ransomware de nuvem
híbrida e só Deus sabe o que todas
essas coisas podem fazer. A confiança zero pode ajudar
você a mitigá-la. Ok. Por que o perímetro é muito
simples , você pode
estar dizendo não, não, eu tenho várias sub-redes
e tudo mais, certo? E mesmo que o
modelo perimetral ainda seja muito bom, não
estou dizendo que tenha sumido. É, de longe, o modelo mais
popular. O bebê confia
nele: tem falhas, escreve ataques
complexos e redes de fim de semana
semelhantes a células. E eles acontecem todos
os dias, certo? O atacante pode se transformar como um engenheiro
social em uma pessoa dentro da rede, obter acesso
remoto e começar a
se mover lateralmente. E os
firewalls perimetrais são bons, mas não
impedem essas coisas. E mesmo que você tenha um firewall, sempre
há
exceções, certo? Você tem exceções de firewall. Essas exceções são
rigorosamente controladas, mas seu desenvolvedor web
pode querer acesso SSH, acesso
somente leitura e acesso
à produção. Ou talvez seus usuários
corporativos precisem acessar isso.
Cobre o banco de dados
para executar algumas consultas, Cobre o banco de dados
para executar algumas consultas sua
taxa de dados de aprendizado de máquina que seus
cientistas de dados de aprendizado de máquina possam precisar acessar. E o que acontece, você pode configurar essas exceções de
firewall, permitindo o tráfego
desse endereço IP individual para o servidor específico, certo? O que acontece? Então, quanto mais exceções
são criadas, mais caminhos
são criados, certo? Essas são
exceções muito estáticas, como origem e destino, e permitem
esse IP, certo? Então, o que acontece se você
disser: Como você chama isso? Um atacante e
você quiser Trump tentaria comprometer
esse ambiente. Você pode tentar atacar diretamente
a camada de aplicação, certo? E quando estiver lá, talvez
você tenha, por causa dessas portas de firewall
abertas, um caminho direto. Ou você pode ser mais inteligente. Você pode simplesmente pedir a um engenheiro social que as pessoas que têm acesso,
como o gráfico ocular, como o administrador do banco de dados,
forneçam links maliciosos enviem e-mails de phishing. E um deles pode ser ingênuo o suficiente para
clicar no link, permitindo que o atacante
instale malware. malware então fornecerá
ao atacante uma sessão na máquina nula de funcionários
comprometidos. Agora, você pode dizer não, não, não, o acesso é muito restrito. Ok. Portanto, o acesso é restrito. Mas talvez ele consiga se mover
lateralmente dentro desse servidor de produção até ver alguém que possa
comprometer, certo? Então você o
examina cuidadosamente, pessoal. Você vê que é muito óbvio que esse
modelo de perímetro de rede não é suficiente. Ignorar é muito
fácil com malware, ataques
de dia zero e firewalls. Os firewalls que você tem entre as sub-redes são as zonas. Eles não consideram nada mais. Talvez eles vão para a origem e o destino e tomem
essas decisões. E bem, os parâmetros ainda fornecem valor em segurança de
rede Você não pode confiar neles como
o principal controle pelo qual você analisa seus padrões de segurança de
rede. Então, o primeiro set
será: o que você faz agora? Então, o que você pode fazer agora? Porque esses são todos esses problemas que surgem
com a confiança deles, que os usuários estão dando peso. Então é aqui que entra a
confiança zero e
ajuda a impedir esse
tipo de ataque, esse tipo de movimento
lateral,
implementando vários
princípios e controles importantes. E falaremos sobre a maior
parte disso é o menor privilégio. Você, dentro da
rede de uso, terá apenas o
nível mínimo de acesso. Portanto, mesmo que um
chefe atacante possa se comprometer, isso realmente limitará sua
capacidade de se mover lateralmente. Porque ter acesso a
uma ou outra conta não concede
automaticamente acesso a outros recursos confidenciais. E falaremos mais
sobre isso, mas algo chamado
microssegmentação. Em uma arquitetura de confiança zero, Netflix é
dividida em segmentos cada vez
menores, cada um
com seu próprio conjunto de controles de acesso e política de
segurança. Essa segmentação torna muito
difícil para um atacante
se mover lateralmente dentro
da rede, pois os ramus contornam várias
barreiras de segurança, certo? E você tem contextos
sobre controles. O Zero Trust levará em
consideração muitos contextos. Sejam usuários
provenientes de qual é a função dele, qual é seu destino
e tudo mais, certo? Então, esses são os, é sobre isso que eu queria falar com
vocês. Então, quais são as principais
conclusões desta lição? O
perímetro elétrico tradicional não é suficiente. E as tendências modernas estão mudando a forma como os usuários
acessam as redes. E os atacantes podem facilmente comprometer o pedômetro
e se mover lateralmente, passar internamente para
outras redes, certo? E é aí que
entra a confiança zero, não linear. Na próxima lição, falaremos sobre confiança zero e promoção da história. O
modelo Zero Trust está evoluindo. Não veio no
vácuo, certo? Não
apareceu repentinamente do nada. caso, houve
uma evolução e uma
importância cada vez maior desse modelo. É sobre isso que falaremos. Espero que você tenha gostado agora, minha confiança zero é muito importante. Então, vamos passar para
a próxima lição. Obrigada.
3. Zero Trust - uma breve história: Olá a todos, bem-vindos
a esta lição. Agora, na lição anterior falamos sobre a
necessidade de confiança zero, certo? Por que você precisa disso e por que
é tão importante agora, neste artigo, antes de mergulharmos profundamente na confiança zero
e em como ela funciona, quero dar
uma breve visão geral sobre a história e a
evolução da confiança zero, como esse conceito evoluiu nos setores e em
alguns dos principais players, alguns dos principais eventos e os principais players
que o impulsionaram. Dessa forma, você
realmente apreciará o quanto esse modelo evoluiu. Olá, muita importância
, agora está certo? Então, uma coisa que eu
quero deixar bem clara sobre o Zero Trust não é
um conceito totalmente novo, mas ele se tornou cada vez mais importante nos últimos
anos, certo? E o termo Zero Trust
foi cunhado pela primeira vez por John. John pode depurar,
espero ter dito esse nome, escrever uma fórmula para um serviço desse tipo de análise
em 2010, certo? Mas os princípios fundamentais
do Zero Trust, como falamos sobre o menor privilégio, a segmentação da
Netflix. Isso pode ser atribuído às melhores
práticas de segurança
anteriores, certo? Até mesmo, nem mesmo a segurança, os princípios e
conceitos fundamentais do Zero Trust. E eles foram aplicados
há muito tempo em organizações
militares e de defesa. Você sabe, como segmentar, como autenticar
continuamente, monitorar. No entanto, o que aconteceu
nos últimos anos a adoção generalizada
da computação em nuvem, aumento do trabalho remoto e a crescente sofisticação
dos ataques cibernéticos. Eles destacaram as limitações
tradicionais disso. Falamos sobre o modelo de
parâmetros, certo? E esses desenvolvimentos
tornaram a confiança zero mais relevante e necessária nos complexos
ambientes de TI
atuais, certo? Os ambientes de TI estão se tornando cada vez mais complexos. Portanto, você precisa de um modelo que possa realmente se adaptar às mudanças. Como resultado, o conceito
Zero Trust evoluiu
na última década. Novas tecnologias
surgiram e metodologias foram desenvolvidas para ajudar as organizações a implementar uma
arquitetura de confiança zero. E os princípios fundamentais
permaneceram os mesmos. A implementação e a
compreensão da confiança zero
amadureceram, ela amadureceu. Está se tornando cada vez
mais abrangente. Motor era assim, o que é
incrível, honestamente. Não é como um
padrão estático ou um modelo estático. Ele continua evoluindo e Kilby se tornando cada vez mais
refinado com o tempo, certo? Então, quando você fala sobre a
história da confiança zero em 2010, falamos sobre
John, analistas da
Forrester, quando ele introduziu
o termo Zero Trust. Em seguida, há um artigo muito
influente, não muito nos concentramos
na introdução do modelo Zero Trust de segurança da
informação. Escreva. Este artigo capturou ideias que vêm discutindo as indústrias há
muitos anos, certo? E esse documento é
para nós documentarmos. Ele descreveu uma mudança de um perímetro quente para
uma abordagem que exigia entender e respeitar os elementos
da rede antes que eles pudessem obter algo como um nível de
confiança e acesso. Então, com o passar do tempo, esse
modelo evoluiu, mas podemos
rastreá-lo até 2010. Honestamente falando corretamente, van, o que é incrível.
Foi uma perna muito longa. Já faz quase 13 anos,
há mais de uma década. Mas isso é basicamente
tudo, como você pode dizer, a história iniciada e a
conversa sobre Zero Trust. Então, isso foi como a coisa
pioneira que realmente deu início
a tudo. Ainda é um artigo incrível. E nessa época, é claro, o Google também se tornou sua iniciativa
interna de além da cópia. Eu o vinculo aqui também,
que implementou como funcionários a versão
Zero Trust. E implementou elementos fundamentais de
confiança zero que efetivamente removeram, como os
limites da rede corporativa e o Google, influenciaram
fortemente o setor. Eles lançaram uma série
de artigos documentando toda
a implementação
interna inovadora, certo? O objetivo principal do Beyond Corpse era permitir o acesso seguro aos recursos
e aplicativos do
Google sem depender
dessas VPNs tradicionais. Em vez
disso, nossa
segmentação de rede se concentrou, como
falamos anteriormente, verificar a identidade do
usuário, a postura de segurança do dispositivo e o contexto de
acesso antes de conceder qualquer
acesso dentro de uma rede. Isso inspirou muitas, muitas empresas a adotarem um modelo de confiança zero
similar. A segurança e algumas
das tecnologias subjacentes
desenvolvidas para a Beyond Cop. Eles foram
disponibilizados como parte das ofertas de
segurança baseadas em nuvem do
Google. Na nuvem. Espaço de trabalho do Google, Google Cloud Platform,
todas essas coisas. Então, esse foi outro
marco importante que começou. Outra coisa importante
que aconteceu, que é sempre como a Iniciativa, que é o
Instituto Nacional de Padrões e Tecnologia. Eles lançaram uma
publicação especial em 2020, certo? A arquitetura de confiança zero. Foi uma
publicação especial lançada por eles em, eu acho que 2020. E este documento basicamente
fornece diretrizes e melhores práticas para projetar e implementar arquiteturas de
confiança zero. Isso é o que
vou usar como base. Eu realmente quero que você
entenda a publicação de
arquitetura
de confiança zero do Instituto Nacional de Padrões e Tecnologia. Porque, antes de
tudo, é um documento gratuito
e é absolutamente incrível. É um mergulho muito profundo no
que você precisa fazer. E o objetivo é ajudar as empresas a entender
melhor os
princípios do Zero Trust. Quais são os principais componentes? Como aplicá-las para melhorar
sua postura de segurança cibernética. E algumas das principais
áreas que se recuperaram. Entraremos em mais detalhes, mas princípios
e conceitos do
Zero Trust. O documento explica
os fundamentos da confiança zero,
como o menor privilégio, a segmentação
da Netflix, o monitoramento
contínuo componentes
da
arquitetura Zero Trust. A publicação
fornece uma visão geral
dos principais componentes que
compõem uma arquitetura de confiança zero,
como mecanismos de políticas, administradores de
políticas, fontes de
dados,
modelos e cenários de ameaças. Ele discute vários modelos e
cenários de
ameaças que podem
ser abordados implementação de uma arquitetura
de confiança zero. Além disso, ele fornece detalhes sobre os modelos
de implantação. Portanto, o documento apresenta os diferentes tipos
de implantações. Como eu disse, o Zero Trust
não é uma solução única para todos. Cada empresa é
diferente, certo? Cada empresa pode ter um modelo diferente e
ele
detalha como implementar a confiança zero em diferentes
tipos de arquiteturas. Você pode ter uma única nuvem, você pode ter uma multinuvem, você pode ter um ambiente
híbrido. Você pode ter uma empresa com filiais separadas, certo? Mas, em resumo,
entre o SP 800 a 078, é um guia muito abrangente
e excelente para empresas que desejam adotar a confiança
zero e criar
um
ambiente mais robusto, adaptável e seguro. E a melhor coisa
sobre isso é grátis. Isso não é algo que você
precise pagar por um par de renderizações ou pagar a alguém é totalmente gratuito,
qualquer pessoa pode acessá-lo. E isso é que o documento em si pode ser um
pouco complexo às vezes, é por isso que
fiz este curso ajudar as pessoas a entenderem
do zero. Então é isso que estou tentando fazer
para realmente garantir que você tenha
certeza de que Zero Trust
e Javier Beach DID. E só para dar uma ideia da importância
dessa publicação,
se tivéssemos algo chamado ordem
executiva
da Casa Branca, Ordem Executiva 14028, ela se chamava melhorar a segurança cibernética do
país. Foi assinado pelo presidente
Joe Biden em 24 de maio, acho que Metro 2021. Então, uma ordem executiva muito recente, o objetivo principal era fortalecer
a postura
de segurança cibernética dos Estados Unidos abordando
várias deficiências e vulnerabilidades nas defesas cibernéticas da empresa. Foi emitido em resposta
porque eles têm muitos incidentes
cibernéticos de alto perfil. E eles realmente
perceberam que você precisa de uma
abordagem mais robusta e coordenada da segurança cibernética. E eles queriam modernizar
a segurança cibernética do governo. A ordem determinou que as agências
federais adotassem tecnologias
avançadas de segurança
e fatores léxicos, migrassem para a nuvem e,
claro , implementassem uma arquitetura de
confiança zero. Então, eles mencionaram
especificamente, aderiram a ela e ela foi usada como uma etapa necessária para a implementação do Zero
Trust. Eles falaram sobre
outras coisas como a segurança
da cadeia de suprimentos de software porque tivemos
ataques como software fornecendo um registro para J e
todas essas outras coisas. Qual é o pedido? Basicamente, ele
direciona o desenvolvimento de novos padrões para proteger
a cadeia de suprimentos de software
e lidar com isso. Além disso, eles
também falaram sobre o desenvolvimento de uma força de trabalho nacional
de cibersegurança. Você tem pessoas mais habilidosas, mas só para se ter uma ideia, mas é muito essa ordem
executiva 14028. Você pode acessá-lo. É um
esforço muito abrangente para impulsionar
a postura de
segurança cibernética do país e abordar a evolução do cenário de
ameaças. Ele enfatiza a
colaboração entre os
setores público e privado e como
modernizar sua infraestrutura de
segurança de serviços e aprimorar a
capacidade do país de prevenir, detectar e responder
às ameaças cibernéticas. O ponto em que estamos
nos concentrando, é claro, é esse, que é a ordem em que ele menciona isso
especificamente, que é acompanhar a dinâmica e
cada vez mais sofisticada de
hoje. Então eu entrei no
ambiente. Eles disseram que o governo federal deve adotar as melhores práticas de segurança e avançar em direção a uma arquitetura
de confiança zero. E como você faz isso? Lá? O ponto principal é que eles querem que as agências
sigam o nist 800 a 07 como uma etapa necessária para a implementação do
Zero Trust. Então, só para mostrar o quanto o Zero Trust se tornou importante. Isso é apenas para
lhe dar uma ideia como uma confiança zero começou a partir do relatório da Forrester sobre o qual para o Google e em diante
, boa divulgação. E agora esse n, é claro,
teremos mais e mais lançamentos. Claro, certo? Então, isso é o que eu queria discutir sobre os caras
nesta lição. Quais são as principais conclusões? Zero Trust não é um conceito novo. Não vem do vácuo. Não apareceu de repente. E é impulsionado pela mudança do cenário porque está mudando. E os governos que
estão adotando isso e as agências de auditoria
poderiam fazer o mesmo, certo, por causa dessa
e de outras melhores práticas. Então, agora espero que você tenha apreciado todo
o histórico. Foi uma breve aula de
história. Agora vamos começar.
Na próxima lição, falaremos sobre as vantagens e
desvantagens da confiança zero. Não quero continuar
dizendo que a confiança zero é incrível e que não
há nenhuma desvantagem. Saiba que, como tudo,
existem prós e contras. Então, falaremos sobre isso
na próxima lição. Obrigada.
4. Prós e contras de Zero Trust: Ok, bem-vindo a esta aula. Agora, nesta lição em particular, o que eu quero abordar é confiança zero e quais
são os prós e os contras? Porque eu não quero que esse seja um curso em que
eu esteja apenas começando quão incrível Zero Trust é um novo conceito
que todos conhecem, como tudo. Eles têm vantagens
e desvantagens. E eu quero
usar as desvantagens também junto com os
benefícios, é claro, certo? Quais são os desafios? Quais são algumas das
expectativas realistas que temos? Porque muitas pessoas acham que a confiança zero
é como um interruptor. Você pode simplesmente clicar e
tudo está seguro. E, novamente, você pode
recuar se não gostar. Não, não funciona assim. Então, é muito, muito, já
vi muitas pessoas que têm essa
expectativa do que é o Zero Trust e não
conseguem implementá-lo. E, portanto, eles
voltam atrás e você precisa iniciar
projetos de confiança zero com expectativas
adequadas e adequadas em mente. Então, esse é todo o propósito
dessa lição em particular. Então, do que estou falando aqui? Então, agora, acho que
entendemos a taxa de confiança zero. Espero que você tenha obtido
esse entendimento. Em primeiro lugar, é uma
mentalidade ou uma disciplina, mas você precisa
entender, certo? Falamos sobre o que
não é no próximo slide, mas é uma mentalidade. Como eu disse, é um
conjunto de princípios em evolução que transfere suas diferenças de estáticas para baseadas em rede para
focar em usuários, ativos e recursos, certo? Ela pressupõe que não
há confiança implícita. Por
padrão, ninguém confia na taxa de usuários e contas com base
apenas em onde eles estão. E não importa
onde você esteja. Seu local ou na Internet é baseado na propriedade de ativos
corporativos, quer você tenha um laptop
corporativo ou um laptop pessoal, certo? E, como autenticação
e autorização, se você é um
usuário em um dispositivo e elas são executadas antes de
uma sessão ser estabelecida. É uma resposta a
tendências como o
trabalho remoto de
ativos BYOD baseados na nuvem, certo? Então, isso é apenas um resumo do
que falamos. Essa localização da rede de carga não
importa mais. Sua rede, qual dispositivo você
possui, não importa mais. E não é como uma arquitetura
única, mas faz um conjunto de princípios que estão evoluindo com o tempo. E mostrei a
história e como você precisa
implementar de
forma incremental para realmente ver os benefícios surgirem. Agora, vamos voltar
ao que não é. E isso é muito, muito
importante porque
muitas vezes as pessoas têm essa suposição errada
sobre confiança zero. Então, o que é Zero Trust não
é, antes de
tudo, não é um produto
para agradar a ninguém, nenhum fornecedor que venha até você dizendo por favor, compre um produto de
$1.000.000. E depois de
ativá-lo, você terá segurança de confiança
zero, que
é completamente falsa. Não funciona assim,
ajudará você a implementar
zero tos. Absolutamente. Absolutamente. Existem muitos produtos que são desenvolvidos
pensando no Zero Trust, mas não existe um único produto
mágico com implante de
urina. E então você terá
a certificação Zero Trust. E muitas pessoas não sabem que muitas ferramentas de TI
e segurança,
como elas, podem já estar
apoiando a confiança zero. Você só precisa
configurá-los de uma maneira específica, certo? Você tem que olhar para eles
do ponto de vista da confiança zero. Mas a identidade na
capa e se eles podem aplicar políticas
orientadas pelo contexto. Como se muitos
fornecedores estivessem revisando os produtos para torná-los alinhados com as especificações do Zero
Trust. Como eu disse, é uma mudança
fundamental na forma como você aborda a segurança da
informação. Então, o setor está mudando e é como se você
realmente precisasse olhar para isso. Então, outra coisa não é
uma certificação, por
favor, você tem que entender que não
há certificação. Pode ser lançado e
você pode implementar isso, mas não é como PCI, DSS, ISO. Você pode dizer que eu conheço a
certificação Zero-Trust, por favor. Aí está meu certificado. Não, não funciona assim. Como eu disse, é um conjunto de princípios
em evolução. Então, duas coisas: você
tem que estar muito triste. Não é um produto,
não é uma certificação. Outra coisa muito,
muito importante não
é uma solução mágica, não
é uma solução mágica para todos os
desafios de segurança cibernética. Por favor. Muito, muito importante aqui, pessoal, não
é uma solução mágica que você pode simplesmente implementar
e dizer, ok, uma certificação diferente de zero e nem tudo
foi resolvido. Não, com
certeza vai te ajudar. Vai fazer
uso da segurança, certo? Mas você precisa
entender que não é uma tarefa única, nem uma solução
única e única
que você pode simplesmente comprar, instalar e concluir tudo
, certo? Outra coisa sobre a qual
falei antes, é
claro, não é estática. Ela continua evoluindo, a
indústria continua evoluindo. Vocês são táxons saindo. E com base nisso, essa é a beleza da confiança zero, certo? Portanto, mais e mais refinamentos
precisam ser feitos. Esses fusos horários estão definindo. Então lembre-se desse caso, tão importante, que
não é uma única tecnologia, produto ou serviço que você pode simplesmente implementar e
esquecer, certo? Não é e
não é uma tarefa única. Portanto, tenha essas coisas
em mente, muito, muito importantes, por favor,
antes de começar, se você tem essas coisas em mente quando estiver estudando Zero Trust, acredite em mim, você
ficará desapontado. E você dirá: Ei cara,
por que eu implementei isso? Eu deveria voltar porque você não começou com o objetivo
adequado em mente. Então, isso está definindo as
expectativas de forma realista. Agora, quais são os benefícios? Os benefícios são
enormes, na verdade. Então, antes de tudo, maior
segurança, sim, com certeza. Isso ajudará sua
organização a ter mais sucesso em impedir e
limitar os incidentes de segurança. E, ao contrário de dizer seus modelos de
segurança baseados em perímetro que são muito ineficazes agora, você pode realmente entender melhor
sua arquitetura de segurança pois ela fornece
uma abordagem mais estruturada
nessa falha para
implementar a segurança cibernética. E um benefício colateral. Isso também facilita um maior
grau de compreensão de seus ativos e
recursos corporativos porque, para
implementar a confiança zero, como veremos mais adiante, você precisará obter nossa visibilidade em
seu ambiente. O que você tem, o que
você não tem, ok? E isso lhe dá uma
ótima
visibilidade na rede corporativa. Você sabe quem são os usuários,
dispositivos e serviços
autorizados e oferece uma melhor percepção
da situação. E mais tarde naquela
encosta, mais ou menos. E, especialmente como
força de trabalho de um grupo híbrido, modelos de trabalho ímpios, a confiança zero pode permitir que os funcionários
acessem com segurança a
rede e os recursos corporativos, estejam eles no local ou fora dela. Essa nova maneira de fazer as
coisas aborda muitas das
lacunas que existem. No
módulo anterior. Falamos sobre o movimento
lateral dos atacantes. Então,
se um atacante, seja interno ou
externo, conseguir entrar, será continuamente confrontado com várias
verificações que veremos quando falarmos sobre o nist mais detalhes. De forma contínua, serão
ganhos freios
e contrapesos para impedir que
obtenham mais acesso,
ele serão
ganhos freios
e contrapesos para impedir que
obtenham De forma contínua, serão
ganhos freios
e contrapesos para impedir que
obtenham mais acesso, terá que se
reautenticar, melhorar sua identidade
constantemente para cada recurso. Ok? Então, como o zero-trust usa entidades de análise
comportamental
, seja como seu modelo
tradicional
baseado em firewall ou controle de acesso, ele usa apenas um conjunto de
credenciais, certo? Portanto, parâmetros do usuário, como hora do dia,
padrão de acesso, localização, tamanho da transferência de dados e muitos outros dados. Não é avaliado,
mas o zero-trust avalia isso para
determinar se a entidade que está tentando acessar está fazendo isso de maneira segura
e aceitável. Se alguém, um dispositivo
ou um usuário começar a tentar acessar,
isso geralmente não acontece em outros horários do dia. Não estão funcionando. Esses
comportamentos acionarão um alerta e possivelmente
alterarão a política. Portanto, ele oferece uma excelente tomada de decisão
baseada em riscos e fornece a
implementação adequada. Então, você pode realmente remover
completamente o perímetro
externo. E os trabalhadores remotos não precisam se
conectar ao acesso à VPN. Eles podem simplesmente ter
acesso somente aos
recursos necessários. E você pode até mesmo remover completamente
a VPN. Embora isso geralmente seja
feito a partir do que eu vi em ambientes de nuvem e onde o Zero Trust
se tornou muito mais maduro. Ok. Então, isso pode ser feito. Só estou dizendo que
não faça isso, não entre na primeira tentativa. Mas depois de implementar confiança zero e continuar
a melhorá-la, você pode realmente fazer
isso. Ok, desculpe. E, claro, quais
são os desafios? Portanto, a confiança zero
tem seus desafios. Não é como eu disse,
uma coisa única. Isso é um afastamento radical da arquitetura tradicional. Portanto, isso tem um
custo e um esforço. No entanto, quero dizer,
leva
algum tempo para que seus administradores
de segurança
e sua equipe de segurança
se adaptem a isso. A
implementação real e geralmente
requer um investimento
significativo. Talvez você precise
comprar novos controles, treinamento e custos de suporte. A integração da
arquitetura de confiança zero é complexa. E mantê-lo também pode
ser complexo. Se você não sabe o que
está fazendo, porque
é um
modelo totalmente diferente de grunhido de acesso. E muitos outros lugares onde você
precisa monitorar. Teremos que implementar
seus controles. Vantagens. Já
falei com você sobre quais vantagens podem compensar as dificuldades,
a complexidade e análise
comportamental que leva algum tempo para implementá-la, e não é fácil dividi-la. E, claro, quando você
altera a arquitetura e uma
grande mudança arquitetônica, isso causará um equilíbrio
entre manter a empresa funcionando e tradução para uma
nova arquitetura. Então você precisa.
Falaremos sobre isso
mais tarde, quando você falar
sobre implementação. A mudança para uma
arquitetura de confiança zero. Isso exige um planejamento cuidadoso , controle de
mudanças,
muito tempo e esforço. E, como eu disse, os benefícios não são
imediatamente aparentes. Reserve um tempo e, em seguida,
você verá os benefícios que surgirão. Portanto, não seja realista nem
os desafios. Observe que os benefícios
conhecem os contras para que você saiba no
que está se metendo. Por favor, não
se limite ao hype. Sim, o Zero Trust
resolverá tudo. Deixe-me seguir em frente
e começar cegamente a
implementar a confiança zero. Assim. O projeto falhará e eles realmente terão
mais dificuldades mais tarde. Ok, então chegamos ao final desta lição e guia sobre quais são as principais conclusões. Mais importante ainda, Zero
Trust é uma mentalidade. Não é um produto,
não é uma certificação. Existem vantagens,
desvantagens e desafios. As vantagens que
sempre
aceitaremos serão mais do que as
desvantagens. Absolutamente. Desde que você tenha
implementado corretamente. E, como eu disse, Zero Trust precisa ser
tratado como um projeto. Você precisa investir tempo, investir dinheiro, recursos
investidos. Precisamos ter certeza de
que o que você está
tentando implementar está claro desde
o início: você tem apoio
gerencial,
você faz todas essas coisas. Absolutamente. Você verá os benefícios da
confiança zero saindo, certo? Agora. Espero que você tenha obtido um entendimento
de alto nível. Agora, vamos abordar mais, na próxima lição, mais princípios básicos como isso realmente
calcula a confiança? E então vamos passar para
o novo padrão e
fazer estudos de caso. Ok, então agora eu espero que você tenha melhorado a base
agora. Então, vamos mergulhar
mais profundamente agora. Obrigado, pessoal, e nos
vemos na próxima aula.
5. Princípios básicos de Zero Trust: Oi amigos. Ok, então essa é uma lição
muito, muito, muito importante. E com isso vamos
fazer um mergulho mais profundo. E vamos analisar os princípios fundamentais
do Zero Trust e como os elétrons realmente
calculam o transporte? Onde entra a parte da
confiança? Portanto, já entendemos a bandeira
de confiança zero. É uma estrutura de segurança. Você presume que nada é, nenhum usuário, dispositivo ou sistema é
inerentemente confiável, certo? Não há confiança implícita, independentemente de onde você
esteja dentro ou fora. E é diferente de acordo com certos princípios
básicos, certo? Então, vamos falar
sobre isso e
vamos falar sobre confiança. Então, em vez
de sua maneira estática de gostar de como você faz isso atualmente, confie zero
como uma forma de decidir quem é confiável e quem não é. E você pode ver como ele analisa
continuamente esses fatores. E, na verdade, muda suas políticas e
permissões em tempo real. Portanto, ele é capaz de estabelecer essas sessões de confiança dinamicamente. Portanto, as decisões
de acesso são tomadas caso a caso. Não é como se você
simplesmente desse a um cara acesso à matriz e
à
permissão
simétrica, simétrica, então baseada em arquivos, e pronto. Não, na verdade, ele pode ser visto
dinamicamente, e é assim que essa
é a diferença entre a confiança zero
e os outros modelos. Então, vamos dar uma olhada no que
estamos falando aqui. Então, falei sobre a
taxa de confiança zero e os princípios. Portanto, a confiança zero consiste em
certos princípios fundamentais. Essas são as
metas ideais a serem alcançadas. Como eu disse antes, não
é como se você estalasse
um dedo e, de repente todos os princípios do Zero Trust fossem implementados. Não, não funciona
assim, certo? Portanto, ele fornece uma
coleção de ideias e conceitos projetados
para implementá-lo, certo? E depois de fazer
isso, você pode dizer, ok, agora temos essa maturidade em confiança zero e
vamos falar sobre isso. Então, esses são os
objetivos ideais a serem alcançados. E mais uma coisa que
é muito importante, pessoal, como
falaremos sobre nist e outras coisas: os nomes às vezes vendo esses princípios
no back-end, eles
permanecem os mesmos. Mas os conceitos,
só os nomes mudam, mas os conceitos
permanecerão os mesmos. Portanto, não se confunda porque não
existe uma lista de curtidas padrão. Certamente temos
algumas coisas do Nist e certas
coisas de outras. Tentei
resumir todos eles em um único local
para facilitar as coisas para você. Então, vamos falar sobre isso agora, vamos
falar
sobre quais são os princípios do
Zero Trust. Portanto, este é um modelo recente que saiu do Fórum Econômico
Mundial, que é um
modelo de confiança zero em segurança cibernética. E é dado
certos princípios, certo, estabelecidos
sem confiança por padrão. Garanta a visibilidade. Aplique confiança para uma verificação dinâmica e
contínua. Use o mínimo de privilégios, garanta a melhor experiência possível para
o usuário final. Então, um princípio que você sempre
verá é que nunca confie, sempre verifique o princípio mais, o mais comum. Mas é baseado em uma
lista mais ampla de princípios, certo? E geralmente eles o
tiram do ninho. O Instituto Nacional de
Padrões e Tecnologia é a publicação especial
SP 800 a 07. E cada organização
que ela pode filmar, analise cada um
desses princípios e veja o que é viável
implementar no que ela é. Mas esses são alguns dos princípios
mais comuns sobre os quais
falamos sempre que falamos sobre a
implementação da confiança zero. Quando falamos verificar tudo
explicitamente, quando
falamos que não há nada como não existir confiança por padrão, você sempre precisa
autenticar e autorizar usuários
antes de conceder
acesso a eles , independentemente
de sua localização ou do que foi
feito anteriormente, nível de confiança
anterior, certo. Você pode fazer isso
impondo acesso ao menor privilégio do
MFA. E você está assumindo uma violação, sempre é como se você estivesse
assumindo que está operando sob a suposição de
que sua rede já foi comprometida. E essa mentalidade incentiva medidas
de segurança proativas mesmo que não haja nenhum
seno visível de uma violação. E isso foi algo
como o menor privilégio. Isso já está lá, certo? Então, muitas organizações
já aplicaram
isso, limitando o acesso de usuários
e sistemas
ao nível mínimo de permissões necessário para realizar a tarefa. E isso ajudará você a reduzir os possíveis danos causados
pelo comprometimento das credenciais. Mas você quer ter certeza de
que os usuários não estão, a produtividade não seja
comprometida ao mesmo tempo. Uma coisa que está trancada aí e que é muito importante, essa microssegmentação, da
qual falei, que é muito importante. microssegmentação significa que
você divide a rede em segmentos isolados
menores para limitar seu
movimento lateral, certo? Na verdade, sei
que pode ter menor privilégio, mas sim, acho que é
mais importante discutir isso separadamente. Mas, pela segmentação da Microsoft, o que você faz é
compartimentar seus recursos. Então, o
que acontece devido
à capacidade desse atacante de se mover de uma parte
da rede para outra é
significativamente reduzido. E você já falou sobre confiança
vazia com
verificação dinâmica e contínua, certo? Ele se trata de
monitoramento e análise contínuos. O que está acontecendo
é que os usuários são monitorados e analisados
regularmente. Esse é o comportamento de Tim para responder a possíveis ameaças à segurança. Então, o que o mecanismo Zero
Trust
faz é coletar e
analisar continuamente dados para ajudá-lo, como responder a alertas. E, geralmente, como isso funciona? Ele se integra com suas
outras ferramentas de segurança, solução
SIM e seu login
único. Então, essa é uma
maneira holística de fazer isso, certo? E então, basicamente, esses são os diferentes
modelos que existem. Seguindo esses princípios
básicos, você pode realmente implementar a
confiança zero em sua totalidade e reduzir o risco
de violações de segurança. E você pode proteger seus dados
confidenciais, que estão lá. Então eu tomei,
tomei a liberdade de adotar esses princípios e torná-los simples
assim, certo? Então, esses também são os
princípios sobre os quais falamos anteriormente, que a rede sempre é
considerada hostil. Sim, supondo que isso já
viole a ideia de ameaças externas e
internas. Portanto, não há
confiança implícita concedida a ninguém. Porque basicamente tudo
pode ser comprometido, certo? Onde você está com
um advogado não é suficiente para
decidir confiar. E cada usuário de dispositivo
e fluxo
de rede precisa ser autenticado
e autorizado. Não importa
na nuvem ou no local. E coisas assim. E as políticas devem ser dinâmicas e calculadas a partir do maior número
possível de fontes . Então, esses estão lá. E, claro, uma coisa que não é mencionada
como microssegmentação, e acho que existe
no menor privilégio do usuário. Mas esse conceito
também precisa estar morto. Mas, como eu disse, o Zero Trust não
é uma arquitetura única. É um conjunto de princípios
orientadores e pode evoluir com o tempo. Ok, então é uma jornada. Não é como no primeiro dia. Você terá todos esses
princípios implementados, certo? Então, isso é real, o que falamos sobre isso é falar sobre a abordagem normal
versus uma abordagem de confiança zero. Então,
falamos que Zero Trust é um afastamento muito significativo de sua segurança
simétrica tradicional. A segurança de rede tradicional
é confiança, mas verifique. Ele pressupõe que os usuários
dentro do seu perímetro estejam seguros e isso
colocará você em risco de agentes internos
maliciosos que roubaram
credenciais legítimas, ou talvez de invasores que
tenham se desenvolvido socialmente por meio da pesca e da
invasão de contas de alguém, certo? E o que acontece é
que, com essas contas comprometidas, elas têm um amplo
acesso na rede. Então, esse modelo praticamente se tornou obsoleto quando a nuvem entrou, quando a simulação remota chegou,
como em 2020, você pode
salvá-lo Valley. Esse modelo realmente
não funciona mais. Então é disso que estamos
falando com Zero Trust. Nunca confie, sempre verifique. Uma confiança zero pressupõe que não
há confiança inerente e
exige verificação
e autorização contínuas , certo? Já com a anterior, ela permitiu um certo
nível de confiança, certo? Realmente depende de como
você implementa a confiança zero, depende de suas
necessidades específicas e tudo mais. Mas, em poucas palavras, falamos repetidamente nada é confiável inerentemente, seja por dentro
ou por fora, certo? Porque você está assumindo que
uma violação já existe. Então, isso é muito, muito importante. E então você explica que implementa os princípios
de confiança
zero de privilégio mínimo, microssegmentação e monitoramento
contínuo. Mas como fazemos isso, certo? Então, como chegamos agora? Estamos
vendo que nunca confie, sempre verifique e
como verificamos isso e, em seguida, como podemos
confiar, ok. Como sabemos que
algo é seguro? Então, é assim que
a partida entra. Portanto, gerenciar a confiança talvez seja o aspecto mais difícil de realmente implementar a escolha
de confiança zero. Como até mesmo dentro de
suas métricas normais, escolher quais pessoas
religiosas em dispositivos são permitidas
na rede. É um
processo muito demorado, certo? E você continua atualizando
suas permissões e isso afeta diretamente
a postura de segurança. Normalmente, sejamos realistas. A forma como isso geralmente é feita é
deixada como um esforço manual para engenheiros
de segurança e a equipe
de gerenciamento de identidade e acesso. A nuvem pode ter políticas
gerenciadas. Você sabe, se você está
implementando algo na AWS, pode ter políticas gerenciadas. Mas essas políticas
fornecem apenas um isolamento muito básico, como o superusuário admin. E devido à dificuldade em defini-las ou mantê-las, a
solicitação de alteração dessas políticas geralmente
é uma métrica
com resistência. E você não sabe qual será
o impacto, certo? Portanto, isso geralmente leva os administradores a
manter essas políticas, não a alterá-las, e eles ficam sobrecarregados com
cada vez mais solicitações. Portanto, esse é um problema comum. As políticas não são realmente dinâmicas o suficiente para responder às
ameaças que estão surgindo. Uma organização madura terá algum peso no processo de auditoria. Você pode estar fazendo uma certificação
trimestral, mas com que frequência você
vai fazer isso? É muito entediante fazer isso. Você sabe o quanto para um ser humano, você pode ter milhares
e milhares de políticas. Quanto dano
um administrador desonesto poderia causar em uma rede antes que uma auditoria fosse
descoberta, mitigá-la, certo? Portanto, uma maneira mais útil
seria pensar comer isso e repensar toda
a relação de confiança. Reconhecer que a
confiança em uma rede está mudando e se baseia
nas ações anteriores e
atuais, certo? É assim que
começamos a nos afastar desse método antigo e adotar
uma abordagem de confiança zero. Então, essa é uma nova maneira. Em vez de definir decisões de política
binária que você fornece a usuários específicos, rede de confiança
zero
monitorará continuamente as ações
de
um ator em uma rede e haverá uma pontuação de risco que é atualizada
continuamente. Esse código pode então ser usado para definir políticas na
rede com base
na severidade de
quanta confiança existe, certo? Portanto, em uma arquitetura de confiança zero, confiança não é calculada
como uma única métrica, como uma pontuação única, mas há
uma combinação de fatores e analisaremos aqueles que contribuem para a
tomada de decisão. Então você
decide se é permitido ou não, certo? E essas podem ser muitas coisas contextos de identidade de
usuários e dispositivos, comportamento. Mas tudo isso o
Zero Trust está
analisando e pode determinar
o nível de acesso. Há muitas coisas
que podem entrar em jogo. Sua identidade de usuário, certo? Quem é o usuário,
se ele está usando uma autenticação forte, como
MFA, identidade do dispositivo. Se o dispositivo é como gerenciar ou como um dispositivo pessoal. Qual é a postura de segurança, qual é o contexto do
nível de correção? Qual é o papel do usuário
na organização, o local que
chega no momento certo. Está vindo de um comportamento público de
Wi-Fi ou VPN. Talvez eles usem o comportamento do usuário a
partir do histórico. Pode estar mostrando
algumas anomalias e, em seguida, os riscos
podem ser alterados, certo? Então, quando você precisar
monitorar a avaliação de riscos, avaliar a pontuação de risco
e qual acesso sua
concessão, e qual acesso sua qual é
o impacto potencial. Então, do que estou
falando caso a caso. Este é o
mecanismo de confiança zero que analisa isso e como ele seria implementado na
prática? Então, vamos ver a
praticidade disso. Então, é assim que basicamente
um interesse zero na geração seria visto de um nível
muito, muito alto. Seria obter
dados para o usuário, o dispositivo, da
sua solução SIM. E existe um mecanismo
que calcula
uma pontuação de risco e depois permite ou proíbe
considerando esses fatores. Usuário, dispositivo, como eu sou continuamente e adapto, avaliando e interrompendo
as permissões. Em tempo real, a
arquitetura de confiança zero pode então estabelecer a confiança dinamicamente, como eu disse, o acesso às crianças
é feito caso a caso. E para garantir
que os usuários e
os dispositivos tenham os
níveis adequados de confiança, certo? Então, vamos dar um exemplo. Um usuário pode estar
visualizando o calendário de um
dispositivo pessoal ali mesmo, calendário
do escritório, o que pode
fornecer uma pontuação de baixo risco. Mas se o mesmo usuário
de um dispositivo pessoal tentar alterar as configurações
do sistema, isso lhe dará uma pontuação de risco
muito maior. E isso seria negado
pela bandeira geral do Zero Trust à equipe de segurança. Portanto, mesmo neste exemplo simples, você pode ver o
benefício de uma pontuação. Você pode tomar decisões muito
inteligentes. E coisas como políticas escolares
podem afetar o resultado, como aquarelas e perguntas
com base em números variáveis, coisas como atividades históricas, podem melhorar drasticamente a segurança de
sua rede, não
é nada em comparação
com elas podem melhorar drasticamente a segurança de
sua rede, não
é nada em comparação
com
as políticas estáticas anteriores com as quais conversamos. Portanto, as sessões que
foram aprimoradas aprovadas pelo mecanismo
de confiança zero podem ser mais confiáveis do
que nas que não foram. Assim, você pode começar a confiar menos na sua
autenticação baseada no usuário. Então, agora você pode ver
o quão inteligentes os
engenheiros de confiança zero
forneceram a implementação adequada, certo? E como isso acontece? Por exemplo, digamos que eu
coloque mais detalhes. Normalmente, há um conceito de confiança zero de um plano de dados e um
plano de controle. Portanto, a distinção, esse conceito de plano de dados
e plano de controle, não
é um conceito novo
para o Zero Trust,
vem da segurança de rede e da arquitetura de
rede. Mas a ideia básica é que
um dispositivo de rede ou um usuário tenha dois domínios lógicos. Há uma clara diferenciação
entre os dois. O plano de dados
geralmente é o domínio DOM
, que gerencia o tráfego. E, geralmente, se for projetado para lidar com altas taxas de
tráfego, ele tem uma lógica simples. Normalmente não é tomar decisões
inteligentes, certo? O plano de controle, você pode pensar nele como o cérebro
da rede. É a camada em que os administradores
do sistema estão aplicando a configuração. E é aqui que as
decisões políticas estão sendo tomadas. Então, geralmente o avião de controle não
é usado para
lidar com o tráfego, ok? E o plano de dados,
esse é o plano de dados. Esse é o trabalho do plano de dados. Portanto, uma rede de confiança zero define uma separação clara entre o
plano de controle e o plano de dados. E o Data Plane geralmente é composto por todos os aplicativos, firewalls e roteadores proxy que processam diretamente toda
a rede, certo? E estão sendo, que estão sendo usados para
gerenciar todas as conexões. Eles precisam determinar
rapidamente se o tráfego deve
ser permitido ou não. Ok? Então é aqui que o avião
de controle entrará. Portanto, o plano de dados é onde o tráfego está sendo
tratado e o mecanismo. O plano de controle
é usado para tomar as decisões e as decisões
políticas. E geralmente é aqui que
seu mecanismo de confiança zero funciona. E como o plano de controle, basicamente o plano
de controle tomará
as decisões ou mudanças
políticas e as
empurrará para o plano de dados. Ok, então ele vai dizer clique, aplique esta política,
aplique essa política, restrinja esse usuário porque
ele tinha uma maior, então permita esse usuário porque ele tem
a menor pontuação de risco. Então, como isso faz isso? Mas isso pode ser de várias maneiras. Quero dizer, o mecanismo pelo
qual o plano de controle afeta as mudanças no plano de
dados é muito importante porque o plano de dados
geralmente é o
ponto de entrada dos atacantes. E a interface entre ele e o plano de controle deve ser
muito segura, muito clara. Porque se isso for comprometido, todo o
seu
mecanismo de confiança zero estará comprometido. As solicitações de gravação entre
o plano de dados e o plano de controle
devem ser criptografadas autenticadas usando
uma PKI não pública para garantir que o
sistema seja confiável. Portanto, é muito, muito crítico. É como a fase do usuário
e do kernel entre os
sistemas operacionais, certo? É muito, muito isolado para impedir que alguém o acesse. Isso tudo é basicamente a rede de
confiança zero que está funcionando. O plano de controle é muito, muito crítico porque
é aqui que a confiança
está sendo concedida. Devido ao
controle abrangente de um comportamento infixo, a segurança dos aviões de controle é fundamental, a
confiabilidade. E geralmente alguém muito, muito privilegiado deve
estar lá para acessá-lo. E a confiança garantida. O que ele chamou de plano de controle é aquele que está tomando as
decisões sobre o plano de dados. E lembre-se, quaisquer que sejam as decisões
políticas tomadas, elas são temporárias, certo? As políticas estão mudando. É dinâmico. Então, normalmente você pode fazer isso dois tokens ou
certificados vitalícios, mas é assim que geralmente um sistema de
confiança zero funciona. Então, quando o
plano de controle concede a
alguém no plano de dados um sinal de que é de curta duração,
não é como se fosse permanente. Então, é assim que, na praticidade, você dá acesso em um mecanismo
de confiança zero. Você tem o plano de controle, que não está dentro
do mecanismo de confiança zero e que está
aplicando políticas dinamicamente ao plano de dados. E
as políticas do plano de dados geralmente
duram pouco e o plano de
controle de dados precisa ser
muito, muito seguro para
garantir que os ataques não possam subverter, ele
não possa acessá-lo. Desculpe, pessoal, isso demorou
um pouco mais, mas é aqui
que estamos realmente nos aprofundando em como
os engenheiros de confiança zero trabalham. E agora, na próxima lição, vamos dar uma
olhada na confiança zero do vista
do Nist, não de seus
conceitos básicos. Então, falamos
sobre os princípios do Zero Trust,
que não são imutáveis. Nós evoluímos continuamente a taxa. E os nomes podem
ser diferentes, mas é sobre os conceitos que
temos que falar. E estamos migrando de políticas
estáticas para uma abordagem de
confiança. E essa é uma
abordagem muito melhor do que políticas estáticas. Como se você tivesse falado
sobre confiança zero. A confiança não é como uma
única pontuação métrica, é uma
combinação contínua de fatores. É um processo de
tomada de decisão inteligente para conceder ou negar acesso. E isso pode ser sua identidade,
contextos e comportamento de usuário e
dispositivo. Todas essas coisas
estão chegando. E ao
avaliar continuamente esses fatores, arquitetura
Zero Trust permite que decisões
dinâmicas sejam tomadas
caso a caso. Muito importante que você conheça
o conceito de plano de controle e plano de
dados. Esses são essenciais
para a compreensão. Lembre-se de que o plano de controle é o cérebro do mecanismo de
confiança zero, onde
todo o acesso autenticado e autorizado e as
decisões estão sendo tomadas. E o plano de dados é basicamente a parte do
tráfego da rede DOM em que as decisões políticas estão sendo
implementadas e aplicadas. Espero, esse cara, que isso
lhe dê uma melhor compreensão
da confiança zero, como ela funciona e como
tudo está funcionando. Na próxima lição,
falaremos sobre o padrão nist e
como esse é basicamente
o padrão de fato da indústria
e onde esses conceitos são
implementados com mais detalhes, pessoal. Ok, obrigado e nos vemos
na próxima seção.
6. NIST Standard: Oi amigos. Agora, bem-vindo a esta
lição na qual
vamos nos aprofundar no novo padrão. Acho que essa é facilmente a lição mais importante deste curso, então preciso de toda a sua
atenção aqui, por favor. E, na verdade, se você quiser
entender a confiança zero em detalhes, esta é a lição em
que você mais quer se concentrar. Agora, só para recapitular,
falamos sobre como a
abordagem Zero Trust tem taxas diferentes. Falamos sobre coisas como a abordagem baseada em confiança
na lição anterior
e por que é uma abordagem
tão melhor
do que ter apenas políticas estáticas tomando decisões
binárias, sim ou não. E vimos que, em nossa arquitetura
Zero Trust, confiança não é calculada como uma única métrica ou um
quadrado. Não é sim-não. Em vez disso, a confiança é
estabelecida por meio de
uma combinação de fatores que contribuem para o processo
de tomada de decisão ao conceder ou
negar a taxa de acesso. E é sobre isso que
vamos falar, como implementar isso em detalhes. Porque se eu te perguntasse, ok, vá em frente e implemente
uma arquitetura de confiança zero, como você pegaria esses
conceitos
sobre os quais falamos e realmente implementaria , é
disso que vamos
falar, ok? Então, sabemos que agora estamos
zero do conceito existente. E, mas e a arquitetura
de confiança zero? Muitas pessoas se
confundem entre confiança
zero e
arquitetura de confiança zero. Portanto, a arquitetura de confiança zero
é o plano real. Em seguida, acompanhe este plano de
segurança cibernética corporativa que usa conceitos
e aplicações de Zero Trust que o implementa
na rede. Ok? É assim que você
vai implementá-lo. E quando uma empresa
decide adotar a confiança zero como estratégia principal e
gerar uma arquitetura
zero, um
plano de arquitetura de confiança zero. Esses princípios. Agora você vai
implantá-lo e como fazemos isso? Então é aí que entra o padrão
nist. Isso é facilmente o mais parecido com o padrão de fato da indústria. Então, vamos
falar sobre como
realmente implementar esses componentes. Ok? Então, sim, é sobre isso que
eu falei anteriormente, que eles não se
confundam entre os conceitos de
Zero Trust Architecture
e Zero Trust. Zero Trust é o conceito que tem um nível muito alto. Esses são os princípios e arquitetura é como
você os implementa. É assim que você
vai realmente aplicar esses padrões, aplicando-os
em sua rede. Suponha que você tenha um ambiente novo e
existente e deseje
implementar a confiança zero. É assim que você
vai realmente implementá-lo. Então, como vamos fazer isso? Então, suponha que a gangorra
chegue até você hoje, ou que o chefe de
segurança cibernética diga: “Eu quero que você vá em frente e torne nosso ambiente compatível com os princípios
do Zero Trust”. Como você vai fazer sobre
isso? Para onde você olha? Tipo, por onde você começa? E esse é o
desafio que eu também enfrentei, como falei no
início do curso, há muita
documentação de alto nível presente, nada em detalhes, ou tem
mais a ver com produtos. Com este produto,
compre esse produto. Você realmente não entra nos
detalhes da implementação. É aqui que entra o
padrão. 80207, Instituto Nacional de
Padrões e Tecnologia da Nestlé. Como uma
organização bem conhecida que cria padrões e
eles são bastante detalhados. Na maioria das empresas, se você quiser
implementar a confiança zero,
esse é o padrão. Esse é o padrão
abrangente mais neutro em relação ao fornecedor, não para qualquer
entidade governamental, mas para qualquer empresa. Então, ele pega todos os
conceitos
sobre os quais falamos da Forrester Gartner e os implementa. E mostra como
implementá-lo. E também mostra como
implementá-lo em um
ambiente moderno, certo, com um trabalho
remoto que prioriza a nuvem que a maioria das empresas
precisa alcançar. E, como eu disse, é neutro em relação ao fornecedor,
o que é incrível. Portanto, não está promovendo
nenhum produto. Ele pode ser usado por uma
empresa de qualquer tamanho. A melhor parte é que a semelhança
padrão é que ela passou
por muitas validações e contribuições de
muitos, muitos especialistas, de
clientes comerciais, fornecedores, agências
governamentais e
partes interessadas. É por isso que foi
tão exaustivamente testado, e é por isso que muitas empresas
privadas , empresas
públicas e governos o consideram o padrão
de fato, quer você encerre um
governo ou não. É sobre isso que queremos
falar agora, você pode ir e dar uma olhada. O bom disso é que
é totalmente gratuito, certo? No início, fala sobre o
que é Zero Trust,
quais são os conceitos? Mas eu quero falar em
detalhes sobre como é a arquitetura, porque é aí que
queremos nos
concentrar em como realmente implementá-la. Então, vamos dar uma olhada em como os componentes de confiança zero
estarão em uma arquitetura de confiança zero. Então é sobre isso que eu
quero falar. Então você pode ver
neste diagrama, certo? Você tem muita coisa
dentro do ambiente, pode
parecer um
pouco confuso aqui, mas o que é isso? Mas eu quero que você se
concentre no meio, que é uma das melhores
partes do documento do Nist. E é
uma ênfase em alguns componentes principais
que são necessários para implementar uma arquitetura de
confiança zero adequada. Esse é o ponto de
decisão política
e o ponto de
aplicação da política. Você pode olhar para ele
bem no meio. É o ponto de decisão política
e o ponto de
aplicação da política. Ter esses dois componentes, o PDP e o PEP, na frente de cada
ativo que você tem. E é aqui
que cada
solicitação, minha esposa, é a maior
diferença entre uma arquitetura Zero Trust
e uma arquitetura normal. Isso é o que diferenciará
seu ambiente, seja uma arquitetura de
confiança zero ou uma arquitetura normal. Agora é quando
falamos sobre PDP e PEP. Isso pode não
necessariamente ser uma solução. Isso pode ser algo que
você construiu em casa. São como
conceitos abstratos que podem assumir diferentes formas,
dependendo das necessidades de sua empresa. Falaremos sobre isso em detalhes. Mas seja qual for a forma como você implementou PDPs ou pontos de decisão
política, esses são componentes que
avaliam a postura. De alguém que é
acústico, algo o sujeito e o objeto. E então toma a
decisão de permitir ou não com base em
muitos e muitos fatores. Vamos analisar detalhadamente outro algoritmo de confiança, certo? E o próximo é o PEP, o PEP, o ponto de
aplicação da política. Esses outros componentes
são responsáveis por abrir e fechar a
conexão com o recurso. Então, o PEP
aceita, age,
o que o PDP faz. Um PDP
diz permitir, vai permitir. Pdp diz que não
permita, vai desacelerar. Ok? Então, essa é uma das coisas críticas. Acho que é a coisa
mais importante de uma arquitetura de confiança zero. Agora, os PDPs e os PEP
podem ser consolidados distribuídos. O PEP pode ser como um agente em seu computador ou laptop, certo? Ou pode ser um gateway, como um proxy ou um firewall. Mas em todos os casos, o que quer que você tenha
implementado PDP ou NPP, eles representam a
capacidade à qual, como a
arquitetura de confiança zero, está sendo aplicada. Pdp, lembre-se de que
é assim que você toma a decisão permitir ou não
com base na confiança. E o PEP é como você
implementa essa decisão. Ele permite uma proibição
e vamos analisá-la com mais detalhes. Eu não
quero sobrecarregar você. Então, a primeira coisa é o assunto. O assunto é como se você
quisesse acessar algo
definido pelo nist. Isso pode ser um usuário, isso pode ser um aplicativo, isso pode ser um dispositivo
como um laptop. E pode estar solicitando acesso a um recurso
corporativo no momento, isso pode ser um aplicativo, pode ser uma carga de trabalho de
documentos de dados, mas está sob o controle
do sistema Zero Trust. Então, vou me referir a
nós como um recurso, ok? Então, é assim que ele
vai ser acessado. Então, o sujeito vai dizer, ei, eu preciso
acessar esse recurso. Esse recurso é controlado pelo
sistema de confiança zero. Então, o que acontece? Ok? Isso é então, como eu
disse, o Zero Trust. Você sempre presume que o assunto está em
uma rede não confiável, certo? Você não confia em nada. Está em um sistema não confiável, o assunto está interessado. Portanto, o PEP entra no ponto
de aplicação da política. É isso que está controlando o acesso dos sujeitos
ao recurso. Não, o PEP é tipo, você pode pensar nele
como um dispositivo idiota. Ele não armazena nem toma
nenhuma decisão política. Não sabe sobre isso. Essa é a parte do PDP, que é o ponto de
decisão política. Agora, analise o ponto
de decisão política. O ponto de decisão política
é uma entidade lógica, certo? Isso
fará com que as decisões sejam compostas por algo como um mecanismo de políticas e um administrador
de políticas. E geralmente não precisamos
entrar em detalhes, mas apenas para
fornecer uma visão geral de alto nível, fornecer uma visão geral de alto nível, o mecanismo de políticas é
responsável pela decisão de
conceder ou negar acesso. Isso exige muitas
informações de outras fontes. Vamos falar
sobre isso, o SIM e sua política de acesso a dados ou o login único,
suas informações sobre ameaças. E usa um algoritmo confiável para decidir se a decisão
será permitida ou não. O mecanismo de políticas
toma muitas
dessas decisões políticas e, em seguida, entrega ao administrador da
política. Escreva, o
administrador da política é responsável por, por exemplo,
se a conexão será estabelecida ou não estabelecida, ele comunique ao PE o ponto
de aplicação da política. Ok. Não gosto de falar
muito detalhadamente com
o
administrador de políticas do mecanismo de políticas apenas para lembrar o conceito do ponto de decisão
política. E geralmente isso é suficiente. Honestamente falando,
eu acho que às vezes as pessoas
ficam confusas sobre isso. Basta lembrar o ponto de
decisão política que tomou a decisão e o ponto
de aplicação da política, nós implementaremos essa decisão. E está entre o assunto e o recurso
corporativo, e
aplicará essas decisões. E é assim que implementamos a arquitetura
de confiança zero. Ok? O que, se você se lembra, falamos sobre o
plano de controle e o plano de dados. Lembre-se de que o sujeito está se comunicando com o recurso
em todo o plano de dados. E o plano de dados é
separado do plano de controle. Então, isso também afirma
que o PDB e o PEP precisam se
comunicar um com o outro. Honra como uma rede
fora de banda Woody Call. O plano de dados está sendo usado para o
tráfego do seu aplicativo, ok? É isso que você está sendo
usado para afetar os aplicativos. O plano de controle é onde
todas as decisões críticas estão sendo tomadas e isso
precisa ser completamente separado. Ninguém deveria ser
capaz de acessá-lo. Além de pessoas muito,
muito específicas, desculpe, especificamente
permitidas. Lembre-se de que o plano de dados é a camada DOM que gerencia o
tráfego na rede, ok? E geralmente é
capaz de lidar com taxas de tráfego
muito, muito altas. E geralmente é como se fosse acionado por
hardware. E ninguém ligou. Você pode pensar nisso
como um dispositivo idiota
quando eles estão apenas iniciando a camada DOM apenas com o tráfego fluindo
pelo plano de controle , pode ser, você pode
pensar nisso como o cérebro da rede. É aqui que o PDP
está confiando, certo? E é aqui que
as configurações estão sendo aplicadas e é aqui que as decisões políticas
estão sendo tomadas. Mas lembre-se do que eu
falei anteriormente na lição
anterior. Como o
plano de controle é tão crítico, ele não foi projetado para lidar com
altas taxas de tráfego, mas se comunica com o plano de dados e o ponto
de aplicação da política. É por isso que deve
ser altamente seguro. Ninguém deveria ser
capaz de subvertê-lo. Se alguém conseguir, o atacante poderá obter
acesso ao plano de controle, então ele poderá
mudar as decisões e fazer com que modifiquem
o algoritmo, certo? Então é aqui que a rede de confiança
zero define uma separação clara entre o
plano de controle e um plano de dados. Lembre-se de que o plano de dados
é onde sua rede é composta por todos os aplicativos, firewalls, proxies e
roteadores, certo? Isso não faz parte de
todas as conexões. E você precisa determinar se os
católicos devem ser
autorizados a fazer determinar se os
católicos devem ser tudo o que é
feito no plano de controle. Espero que isso lhe dê uma ideia. O que significa a morte dele. Agora, esses são os sistemas de
suporte. Esses são os
elementos adicionais que estão lá, que estão
fora do sistema, como o CDM, o mesmo Vamos ver isso da esquerda. Mas, logicamente,
eles fazem parte de qualquer
sistema de confiança zero, ou seja, ajudam o ponto de
decisão política a tomar a decisão, porque,
seu algoritmo de confiança, também
falaremos sobre
o algoritmo. O algoritmo de confiança usa os dados de todos
esses sistemas para tomar decisões no zoológico e eles
influenciam a forma como as
decisões políticas estão sendo tomadas. Isso
ocorre porque ele pega informações de todos esses outros sistemas
e toma uma decisão. Ok, então vamos examinar a literatura da
esquerda para a direita que você tem o sistema
CDM certo, que é um sistema contínuo de diagnóstico
e mitigação. Isso reúne informações sobre
o
estado atual do SAS corporativo e aplica essas atualizações ao humor dos
componentes de software e de
configuração, muitas empresas têm
esses sistemas, certo? Basicamente, ele fornece ao PDP as informações
sobre o ativo, como se ele está executando o sistema
operacional apropriado. Dada a integridade
do software que
está sendo executado nele, talvez ele tenha alguns
sistemas não aprovados, certo? Onde há alguma
vulnerabilidade. Isso ajudará o
PDP a saber se o dispositivo está em um estado
seguro ou não. O outro é como o sistema de conformidade do
setor. Isso garante que a
empresa esteja em conformidade com qualquer
regime regulatório em um PCI DSS, benchmarks
CIS, etc. Em seguida, estão os feeds de
inteligência de ameaças. O feed de informações sobre ameaças. Acho que todos
vocês estão cientes disso. Isso fornece informações de fontes
internas e externas. Eles ajudarão o mecanismo
de políticas que toma essa decisão ou isso
pode ser de terceiros, isso pode ser de código aberto. Podem ser vários
serviços que coletam dados de fontes internas ou
externas e permitem sobre
os novos ataques que eles falem sobre
os novos ataques
e vulnerabilidades existentes, talvez falhas no software, alimentem
o algoritmo de confiança. A seguir, as cargas de atividades. Agora, registros de atividades da rede e
do sistema. Essa empresa, assim, agrega todos os
registros de atividades que existem, certo? E fornece feedback
em tempo real. Isso também pode ser combinado com
a mesma solução, não necessariamente,
ela precisa ser separada. O que mais existe agora,
passamos para a direita, a política de acesso a dados. Essas são as regras e políticas sobre o acesso aos recursos
corporativos, certo? Agora, isso pode ser
gerado dinamicamente pelo PDP, mas geralmente é
um ponto de partida. Ele analisa quem tem
permissão de acesso, quem não tem acesso
e, em seguida, pode refiná-lo. Mas isso é como
um ponto de partida. Você pode ter um PTA, PTA, acho que você já
sabe que isso é como os certificados
emitidos pela empresa. E geralmente um sistema de confiança zero. Ele fornece esses
certificados para isso. Estabeleça a sessão. exemplo, falamos sobre
tudo o que tem acesso
para fazer com que seja muito
curto, com um limite de tempo. Não é como se o mecanismo de confiança zero lhe desse acesso, você
o tivesse para sempre. Eu sei que pode ser limitado no tempo. Às vezes, é implementado
por meio de certificados. E o que quer que seja. O próximo passo
é o gerenciamento de identidade. Isso pode ser um login único. Pode ser como você gerencia
todas as suas contas de usuário ,
consideradas como um único login octo,
seja o que for. Mas esse sistema contém informações sobre
o usuário, certo? Nome, endereço de e-mail,
o que mais existe? Atributos de acesso à função. Qual é o seu nível de risco? Então, geralmente é aqui que você descobre as informações
sobre o usuário, certo? De onde vem. E por último, a
solução SIM é sólida. O Sim é onde ele coleta informações
de segurança. Acho que a maioria de vocês
já sabe o que é o ISAM. Isso é sobre os
eventos de segurança que existem. Portanto, todas essas informações estão sendo alimentadas pelo sistema
de confiança zero. E eu sei que isso pode se tornar
um pouco avassalador. Então, eu quero
te mostrar de uma forma simples, isso é o que eu quero que
você veja, certo? Este é o usuário que acessará algum recurso. O PEP está no meio. E solicitará que o
PDP Progress permita o acesso e o PDP educativo
às
informações do SIM, do GRC, do SSO de gerenciamento de
dispositivos móveis, todos esses componentes sobre os quais
falamos. E o PDP está
no plano de controle enquanto o PEP está no plano
de dados, certo? E a comunicação
entre os dois tem que
ser muito, muito segura. Mas esses dois componentes
são realmente o que é
necessário para estabelecer uma
verdadeira arquitetura de confiança zero. E tem que estar lá na frente
do ativo corporativo da área. Todos os pedidos devem
passar por isso. O p, p pode ser um firewall, um proxy, algo, um agente. Mas essas são as
duas capacidades. Agora você pode
implementá-lo da maneira que quiser. Mas esses são os,
é assim que você realmente
precisa implementá-lo e realmente
fazer com que faça sentido. Agora, espero que isso tenha sido
útil e que
você tenha entendido como realmente vai implementá-lo dentro da arquitetura
de confiança zero. Agora, também falamos sobre o algoritmo de
confiança, certo? Então, vamos dar uma olhada
no algoritmo de confiança. Eu falei sobre isso anteriormente, como o mecanismo de confiança zero decide se algo
não permite nada. Então isso é. O algoritmo de confiança é o
processo usado pelo PDP para em última instância, conceder ou negar
acesso a um recurso. Ele recebe entradas de
várias fontes. A perna está indo para
o banco de dados de políticas. Ele vai coletar informações
sobre a solicitação de acesso, o dados
e
o histórico do assunto, o banco de dados de ativos, por exemplo. Então, vamos começar no canto superior
direito, solicitação de acesso. Esta é a solicitação real que
vem do assunto.
Ei, eu preciso
acessar isso, certo? Mas então essa informação ficará como: qual
é a versão do sistema operacional? Qual é o software que
está sendo usado, certo? A perna está na lista negra do
questionário, na lista
branca, à direita, então pode ser o banco de dados de
assuntos. Esse é quem é esse cara? Por que ele está solicitando
acesso ao recurso? Oh, o que está acontecendo? Essa pessoa tem permissão
para ter esse acesso ou não? Você provavelmente pode obter
isso, como eu vejo, sua gravação de login único. Todas as solicitações de acesso
que estão lá
, serão capturadas aqui. Essa discussão com
o banco de dados de ativos. Esse é o banco de dados
que contém o status do
recurso corporativo, como o BYOD, quais outros dispositivos existem. Ok, o próximo passo são comentários muito
sociais. Esse é o conjunto de políticas. E eles definem quais são as
políticas mínimas necessárias para acessar esses recursos. E por último, falamos sobre a inteligência de ameaças, certo? Inteligência de ameaças ou os campos
externo e interno que estão sendo usados lá. Assim, você pode ver o quão poderoso é
esse algoritmo de cluster, quanto ele
é diferente do seu padrão. Como “sim” e “não”, coisas que
você simplesmente permite que você entenda. O cronômetro está
acessando isso porque o nome dele está nas
listas de controle de acesso. Se estiver lá. Ok, por favor, permita o conhecimento. Mesmo que seja permitido, você
ainda terá muitas outras
coisas para ver. E é por isso que essa é a verdadeira beleza de uma arquitetura
de confiança zero. Então é assim que o nist
define os padrões. Examinaremos mais detalhes agora
nas seções futuras sobre quais são os diferentes
tipos de implantações. E isso fala sobre, mas agora espero que vocês tenham entendido
melhor, pessoal. Portanto, a publicação especial do Nist, 800 a 07, é um padrão
neutro em relação ao fornecedor no Zero Trust. Passado. Ele detalha como você
implementa, na verdade uma arquitetura de confiança zero com ,
uma arquitetura de confiança zero com
esses conceitos sobre os
quais falamos anteriormente Ela passou por muitas validações e contribuições de
muitos, muitos
clientes comerciais, fornecedores, agências
governamentais e
partes interessadas. E é
considerado o padrão de fato para governos e empresas
privadas. E detalha a arquitetura Zero
Trust e, especificamente, os conceitos do ponto de decisão política, PDP, e os
pontos de aplicação de políticas que
devem estar presentes na frente
de cada recurso. E eles podem ser implementados da maneira que você
quiser. Mas lembre-se de que apenas os detalhes
de
dureza precisam ser
implementados dessa forma. Portanto, não pense nisso como um
produto, pense nisso como B. Esses são os princípios
que precisam estar presentes em qualquer coisa para que
ela seja aplicada, certo? E é assim que você
realmente implementa e começa a implementar uma arquitetura
Zero Trust adequada. Então, espero que agora você esteja entendendo melhor como arquitetura de
confiança zero
é realmente implementada na prática. E vamos analisar
isso mais detalhadamente nos estudos de caso. Agora, na próxima
lição,
falarei sobre as abordagens do
nist, as diferentes variações
e cenários. Então, espero que isso, eu sei que isso
continuou por um tempo, mas eu realmente queria me
aprofundar nos conceitos específicos. Então, vamos dar uma olhada
na próxima lição sobre as diferentes abordagens,
variações e padrões. Ok, obrigado pessoal e nos
vemos na próxima aula.
7. Cenários NIST - 1: Olá amigos, bem-vindos
a esta lição. Agora, nesta lição, você
abordará abordagens,
variações e cenários
de confiança zero e, em seguida, de
nist . Agora, espero que você tenha
entendido, agora aprofundamos um
pouco mais na confiança zero e, especialmente, no nist. Como falamos sobre
os conceitos
do PDP e do PEP e
como as coisas funcionam basicamente. Então, espero que agora você tenha certeza de que confiança zero, como um
conjunto de princípios, pode
se manifestar em muitos tipos
diferentes de
arquitetura, certo? Quando você realmente começa a
implementá-lo, existem muitas,
muitas maneiras diferentes,
porque essa é a razão pela qual eles o tornaram
de alto nível, certo? Isso é como um grande ponto forte do Zero Trust porque coloca o órgão chamado de
decisão de como você implementa esses princípios de
confiança zero em suas mãos, certo? O arquiteto ou
o administrador. E você pode avaliar e
priorizar como você implementa esses princípios de uma forma
que se adapte à sua empresa. Mas, ao mesmo tempo, por ser de um nível muito alto, os diferentes tipos de
variações que podem surgir. Pode ser uma razão pela qual
parece haver muito menos
clareza aqui, certo? Você não sabe como
implementá-lo e como realmente
implementar a confiança zero.
E esses princípios. Nesses casos,
como o Nist deu alguma compreensão de como
fazer o PDP e o PEP, como organizar os componentes
técnicos porque seremos
únicos para cada empresa é diferente, certo? Então, felizmente,
este documento
detalha, eu acho que três abordagens
arquitetônicas diferentes e , portanto, variações
e cinco tipos de níveis e cenários de negócios. Para mostrar como implementar a
confiança zero em princípio, abordaremos
cada uma delas brevemente. E depois da aula. Depois disso,
faremos um estudo
de caso adequado de uma deficiência na confiança zero. Dessa forma, você
começará a ter cada vez mais clareza sobre
como o Zero Trust funciona e
como você pode implementá-lo. Então, vamos começar. Em primeiro lugar, são as abordagens de
Zero Trust que estão
no documento agora, elas são abordagens
arquitetônicas de alto nível de nível
corporativo . É assim que você gostaria de
pensar sobre sua estratégia geral de
Zero Trust. Então, eles falaram
sobre três maneiras de aprimorar os parâmetros de
identidade, governança, microssegmentação, microssegmentação, infraestrutura de
rede e design de
software. Então, vamos dar uma
olhada em cada um deles. Agora, melhor
governança de identidade
nessa abordagem de confiança zero
ou estratégia de confiança zero. Ou seja, a maior parte está na sua identidade de
usuário, o foco. exemplo, você pensa em
outras coisas como a
postura e o comportamento do seu dispositivo. Mas eles não são os critérios
principais. A principal forma
pela qual a decisão política dependerá das
permissões e da identidade. Então, como
se algo como um único sinal maior parte de sua
abordagem de confiança zero seria ruim. Portanto, é como uma
política centralizada com um único ou um pequeno número de serviços de
provisão de identidade e eles
controlarão tudo. Então, você pode pensar nisso a partir do que ele chamou de foco na identidade, como
eles são nessa abordagem, nessa estratégia de Zero Trust. A outra é a
microssegmentação. Tenho certeza que você deve
ter ouvido falar disso. É uma
prática de segurança de rede que cria zonas
seguras em data centers ou em ambientes de nuvem. O que eles fazem é dividir
esse segmento de carga de trabalho em um agrupamento inteligente e você os protege individualmente. Sua microssegmentação
é um tópico
muito, muito importante
e vou me
aprofundar nele mais em breve. Mas, se você implementou corretamente, ele estabelece a base para
um modelo de confiança zero no qual
somente o tráfego
autoriza explicitamente e se move entre esses
parâmetros que você define. E aplicativos essenciais
podem realmente parecer que você está implementando uma confiança zero
na rede. Nessa abordagem, você
basicamente usa coisas como roteadores e firewall como pontos de aplicação de
políticas, o PEP e o gerenciamento desses componentes. Você pode pensar nisso na função de PDP. Portanto, essa é uma abordagem mais
descentralizada porque os segmentos da rede podem ser como um conjunto menor em um grande ativo, mas a tomada de decisão
é dividida aqui, então são relações mais decentes. último é a infraestrutura
de rede e os parâmetros de design de software. Isso também está
usando sua rede e infraestrutura
de rede
para aplicar políticas semelhantes à
microssegmentação. Mas aqui você está falando mais sobre como configurar dinamicamente a rede para permitir ou
proibir a aprovação de conexões. Já vi mais sobre identidade e microssegmentação. Vou ser honesto.
Infraestruturas de rede, perímetros de projeto de
software. Eu não vi isso, apenas
minha própria experiência pessoal, mas não precisa
ser uma das três. Você pode usar uma combinação. Como eu disse, isso é exatamente
como a orientação a partir disso. Você pode usar uma combinação de microssegmentação e infraestrutura de
rede, ou uma combinação de identidade e microssegmentação
totalmente à sua escolha. Mas eu quero falar
sobre microssegmentação. Porque, como eu disse, esse é um tópico
muito, muito importante, especialmente quando você está
pensando em implementar a
confiança zero, certo? Então, por que precisamos de
microssegmentação? Então, quando falamos sobre dispositivos de segurança de rede,
como firewalls de rede, geralmente o tráfego
não inspeciona, que é o
tráfego de cliente para servidor que causa o perímetro de segurança
e para, como
permite que o
tráfego autorizado seja interrompido por ativos de
tráfego dentro
do perímetro, como falamos
sobre a próstata, que significa que o
tráfego leste-oeste carga de trabalho, a carga de trabalho. Portanto, nesse conceito, o tráfego
entre servidor pode passar sem inspeção. E para a maioria das empresas, tráfego
leste-oeste
compõe a maior parte do tráfego do data center e
da nuvem, certo? E o perímetro focado. Como você entendeu, seu firewall não
terá
visibilidade do tráfego leste-oeste. Então, por causa disso, atores
maliciosos
são capazes de se mover lateralmente, como falamos sobre movimento
lateral, certo? Portanto, o TAC da rede
rebela os caminhos entre as cargas de trabalho e se
você pode permitir ou não. E, geralmente, dentro dos
segmentos da sub-rede, você pode viajar para
pesquisas capazes acessar
outro servidor. Aqui, microssegmentação
entra e cria isolamento. E isso realmente
investiga
se dois endpoints com
acesso um ao outro não se acessam. Esta é realmente uma aplicação
do princípio menos privilegiado de que
falamos para conter
movimentos laterais e violações de dados. Ok? Então é assim que vai
ficar, certo? Porque você pode
estar dizendo, ei, eu sei disso, eu sei sobre isso. É por isso que temos segmentação
de rede. Implementamos sub-redes e segmentação de
rede
quando falamos sobre
isso, é como uma prática de segmentação ou isolamento e efeito em sub-redes menores. Ou as sub-redes gostam de impedir a
movimentação dos atacantes. A mesma coisa, movimento lateral. Do ponto de vista da segurança. Por exemplo, o que você chama segmentação de rede
pode fazer isso por cinco ou perder dois nós dos dedos. Agora, a desvantagem dessa abordagem geralmente está
dentro da sub-rede. Novamente, você pode viajar, certo? Então é por isso que, por favor,
não me interprete mal. Não estou dizendo que a criação de
sub-rede não deveria existir, mas você deve
complementar isso com uma estratégia de segmentação e
microssegmentação de confiança zero. Então, lembre-se de que, quando você faz isso, geralmente por que as pessoas
dividem as coisas em sub-redes? Uma pergunta é
desempenho, certo? Quando você divide em sub-redes
menores do eLance, isso reduz o escopo
dos pacotes e aumenta o desempenho
e também a segurança. Você pode aplicar listas de controle de
acesso à rede, V terrenos para isolar máquinas. Portanto, no caso
de uma violação de dados, eles ainda evitarão que uma ameaça se espalhe para
outras redes. Ok? Mas, além disso, vem a
microssegmentação, certo? Porque, sejamos honestos, segmentação ou
às vezes não corresponde à arquitetura
da rede,
e
rearquitetar a rede ou reconfigurar as linhas e sub-redes para atender à segmentação de comentários é muito difícil
e demorado. Então, a microssegmentação
vem aqui e se concentra no tráfego
leste-oeste. E geralmente é implementado soluções de
segurança baseadas em software como um agente ou uma solução de
firewall hipérbole. E é capaz de aplicar políticas
de segurança no nível
individual do servidor, no nível do
aplicativo, em vez
de no nível da rede. Então, como seria?
Essa é a aparência da sua rede com
microssegmentação. Portanto, seus firewalls tradicionais
podem estar em muitos lugares. Você não precisa removê-los para evitar essas diferenças. Mas a microssegmentação
limitará restringirá a comunicação indesejada entre cargas de trabalho e o tráfego
leste-oeste. Isso é muito importante, especialmente na nuvem onde você tem uma rotação
contínua. Você tem
clusters Kubernetes em crescimento. E você não pode ser como atribuir a eles endereços IP, intervalos
de IP, certo? A microssegmentação
ajudará muito. Isso aborda
ataques de rede em que o atacante está
dentro do perímetro
e como você chama, isso realmente limitará a
violação do ataque. E esse modelo,
há uma razão pela qual estou fazendo um mergulho profundo, porque
está se tornando cada vez mais
popular. Ok? Portanto, há uma
microssegmentação recente e a confiança zero é que geralmente elas são
mencionadas lado a lado, certo? E a melhor coisa sobre isso que você não precisa rearquitetar. Sua equipe de segurança
pode isolar cargas de trabalho em um esforço para limitar o
efeito do movimento lateral. E geralmente você pode fazer
isso por meio de um agente. Muitos produtos estão lá. Eles usam um
agente de software e a carga de trabalho em um primeiro
isolamento granular, certo? Eles podem aproveitar o firewall
embutido do host ou instalar seus controles
antigos lá. Ou você pode ter uma
microssegmentação
baseada em rede que depende talvez do
seu firewall, sua rede definida por software. E para usar
isso, realmente depende. Tudo o que você pode ter. Se
você estiver na nuvem, poderá usar seus
recursos nativos da nuvem, como AWS, grupos
de segurança e todos os firewalls de
firewall. Então, essas coisas estão lá. Agora. Espero que vocês tenham entendido
os benefícios agora,
pessoal , da microssegmentação, e é
por isso que entrei em alguns detalhes aqui. Isso reduz a
superfície tributária, certo? Porque isso limitará
o raio de explosão mesmo se eles
romperem a sub-rede. Isso permitirá, e também
permitirá que você isole
a rede, isso realmente ajudará você a
ajustá-la e, o melhor, proporcionará uma melhor
visibilidade de seus
ambientes de nuvem híbrida, certo? E como o tráfego
será monitorado, o tráfego leste-oeste
também está sendo monitorado aqui. Porque o atacante, se ele
tentar se mover de leste para oeste, microssegmentação também
está parando. tráfego sempre leste-oeste é geralmente
considerado como um ponto cego. microssegmentação ajuda você a controlar esse ponto cego lá. E você pode criar alertas
de segurança, como se fossem alertas de segurança, que alertarão o administrador do
sistema se a microssegmentação estiver sendo violada, certo? Assim, você terá melhor
visibilidade de suas cargas de trabalho híbridas e seus ambientes de segurança. E, claro, dividir a
rede em zonas de segurança. Pode ser um
pouco difícil. Você precisa de um administrador de rede com uma boa compreensão
da sua rede. E você precisa de um cara que conheça
a rede de dentro para fora. Portanto, é um desafio, mas
os benefícios são muitos. Essas foram as estratégias
de alto nível. Agora, vamos ver o
que isso nos diz. Também nos diz as variações
diplóides. São de menor escala. Modelos de pernas para configurar componentes
individuais. Quando falamos sobre o PEP, o
ponto de aplicação da política, o PDP. O Nist também explica como
eles devem implantá-lo. Você pode analisá-lo
a partir do agente do dispositivo ou do gateway, com base em
onde você está colocando agentes
semelhantes em máquinas
individuais. Ou talvez você possa vê-lo
do enclave. Esse modelo de implantação é
como você chama. É semelhante ao baseado em
dispositivos e agentes, mas protegerá a falta
de recursos, não apenas de
dispositivos individuais, certo? Ok. O que mais existe? Você pode consultar o portal
de recursos. O portal de recursos é que há apenas um sistema de sinalização que age como um ponto de
aplicação da política. E eu tenho todo o
tráfego que precisa
passar por lá e é algo que está
controlando tudo. E, por último, está o sandboxing de
aplicativos do dispositivo, que está mais relacionado à
virtualização existente. Então, vamos dar uma olhada no que
estamos falando aqui. Vai ser melhor. Então é disso
que o Nist está falando. O primeiro, que
é o agente do dispositivo ou a base do gateway
neste modelo, o que você vai fazer, como você vai
implementar a confiança zero? Lembre-se do que falamos
sobre confiança zero, certo? Arquitetura. Você tem um
plano de controle e um plano de dados, e você tem um ponto
de aplicação de políticas. Então, o que falamos aqui
nesse estilo de implantação, o ponto de aplicação da política, é dividido em dois agentes. Um do lado solicitante. Então, aquele do lado do recurso, que se comunica
entre si
no momento da solicitação.
Então, o que vai acontecer? O agente no sistema
solicitante, será
ele que encaminhará a
solicitação para o gateway. E o gateway
do lado dos recursos, o que você vai fazer, ele se comunicará com
o PDP, o mecanismo de políticas e o administrador da política para verificar se o
algoritmo Kruskal entrará em ação. E geralmente esse tipo de coisa funciona bem na
microssegmentação, certo? Então, como isso funcionaria? Vamos dar um exemplo. Você pode ter um usuário com um
laptop corporativo, certo? E você quer se conectar
a um aplicativo lá. Então, o que vai acontecer? O agente
local entrará em ação. Essa
solicitação será
encaminhada ao administrador da
política. O mecanismo de políticas
será como se estivesse na nuvem,
estivesse no local. E então, o que
acontecerá é o mecanismo de políticas avaliará essa solicitação se
ela for autorizada, depois a política administrativa, agora
há um
canal de comunicação, que será aberto
entre o dispositivo, o laptop e o gateway para que o tráfego possa acontecer. E fornecerá informações sobre
a chave de sessão do IPE, para que temporariamente
o tráfego tenha taxa de
abertura e uma
sessão criptografada seja configurada. Feito isso, esse
tráfego será encerrado pelo administrador da
política. Talvez ocorra um
tempo limite de sessão, talvez uma falha na
reautenticação. Mas é assim que um agente de dispositivo ou um
modelo baseado em gateway funcionará. E quanto ao vaso enclave? Agora, enclave, isso
é muito parecido. Se você olhar da perspectiva
do diagrama. Muito parecido, exceto
que o gateway aqui está protegendo um recurso, como um grupo de recursos, não apenas um, certo? E você pode dizer que é como um
pequeno compromisso, um pouco de curadores. Porque os recursos estão lá, porque um ator ou alguém que tem permissão
dentro do enclave, você pode acessar todos os
recursos lá, certo? Então, por que quereríamos fazer isso? Então, basicamente, isso geralmente é usado para aqueles sistemas nos quais você não
pode colocar essas
abordagens granulares lá, certo? Quero dizer, você pode ter,
vamos dar um exemplo. Você pode ter um laptop, mas ele deseja acessá-lo como
um aplicativo legado ou um datacenter local que não pode ter esses agentes
individuais como gateways. Em seguida, você colocaria esse
tipo de coisa com um gateway que estaria lá e, em seguida, permitiria que você
os acesse. Lembre-se de que, em aplicativos legados,
geralmente você não pode colocar esse tipo de
arquitetura de confiança zero lá. Essa desvantagem, como eu disse, aqui
é a porta de entrada, certo? Porque é uma
coleção de recursos, então você não
os está protegendo individualmente, como no anterior, certo? Então, talvez não seja tão
eficiente quanto o mínimo privilégio, mas pode ser um bom compromisso quando você tem um aplicativo
legado. Os protocolos legados estão lá. O que mais existe?
Então, o outro é o portal de recursos. Portanto, essa é uma
abordagem muito descentralizada em que você tem um sistema atuando
como PEP aqui, o Gateway, portal para todos os ativos ou talvez
um grande grupo deles. Então, aqui você pode ter flexibilidade porque
não precisa de agentes, todos os ativos do cliente, certo? Mas também limita sua
visibilidade e controle sobre a postura e as ações do usuário em comparação com as
duas abordagens anteriores, certo? Então, aqui está a vantagem,
como eu disse, é você não precisa implementar
agentes, eles estão lá. E isso pode ser bom para as políticas de
BYOD ou, como quando as empresas estão
colaborando com parceiros. Portanto, você não precisa garantir que todos os dispositivos tenham o
mesmo agente, certo? No entanto, o problema
é
que, obviamente, você obterá informações limitadas dos dispositivos porque
não tem um agente. O modelo só pode escanear e analisar depois de se conectar
ao portal PEP, certo? E talvez não seja possível
monitorá-los continuamente busca de malwares ou
vulnerabilidades não corrigidas, certo? Portanto, lembre-se de que a principal
diferença aqui é que não
há agente, o agente
local está lá. Você não obtém a
visibilidade total quando pode alcançá-la. Então você pode estar
corrigindo outros controles, talvez
para mitigar isso. Mas geralmente os ativos
ficam invisíveis para a empresa até que eles
se conectem ao portal. Então, tenha isso em mente. Mas lembre-se, porque o portal também
se torna como um único ponto
de falha aqui. Portanto, você precisa garantir que
ninguém consiga fazer DDoS, ninguém deve ser
capaz de comprometê-lo. Ok. O que mais existe? Então, falamos sobre
essas três abordagens. O último é um sandbox de
aplicativos. Parece que
é bem simples. Basicamente. Estamos usando a
virtualização aqui, como máquinas virtuais
ou contêineres, para isolar o aplicativo
do ativo em que ele está sendo executado. O tipo do modelo de implantação do
gateway do agente. Então, todo mundo aqui
está rodando em compartimentalize, como se
fossem máquinas virtuais, contêineres. Mas a coisa é como neste exemplo do qual
você está falando. Então, esse pode ser um
apetite confiável e está se comunicando com o PEP para solicitar acesso aos recursos, mas todo o resto
na sandbox, o PEP recusará, certo? Então, isso pode estar na nuvem e isso pode ser como no local. A principal vantagem
dessa variante é que os aplicativos
individuais são segmentados do restante do ativo. Se o ativo não puder
ser escaneado em busca vulnerabilidades ou outras coisas, os aplicativos de sandbox o
protegerão de um ataque aqui. Obviamente, a desvantagem que você precisa
manter todos os aplicativos de
sandbox
e talvez não tenha visibilidade
total por causa
disso dos outros
ativos, certo? Você precisa
garantir que todos os aplicativos de
sandbox estejam seguros. Então essas foram algumas
das variações, pessoal,
só para voltar atrás. Sim, esses são
baseados em dispositivos e você tem base de enclave, tem base em recursos
e sandbox de aplicativos. Então, essas são as diferentes
variações e isso deu, lembre-se de que você não está
restrito a elas. Você pode estar procurando, mas elas são baseadas nas melhores práticas e no padrão
do setor fornecido. Além disso, também temos
os cenários de confiança zero, e falarei mais sobre
isso na próxima lição ,
porque essa lição
já se tornou muito grande Não
quero sobrecarregar você
com muitas informações. Então, nos vemos
na próxima aula. Continuaremos com
os cenários de confiança zero. Ok, pessoal. Obrigada. E eu vou ver na próxima lição.
8. Cenários NIST - 2: Olá pessoal, bem-vindos a
esta continuação da lição anterior. E agora vamos
falar sobre isso, ele falou sobre as variações
diplóides, certo? Falamos sobre as arquiteturas
de alto nível. Agora, vamos
falar sobre cenários. Portanto, esses cenários são como exemplos estratégicos
de nível de negócios,
exemplos de empresas específicas. E eles ajudarão você a
entender o que
significa confiança zero em termos práticos, como quando você os está
implementando. Então, podemos falar
sobre talvez você seja um escritório corporativo
com filiais. Você tem uma única instalação
primária e precisa acesso a
instalações secundárias ou coisas remotas. Então, como
implementamos a confiança zero em
tal arquitetura? Onde você colocaria o, o que ele chamou de PDP. Pdp tudo o que você pode ter
de uma nuvem multinuvem para empresa
em nuvem. Como você
aceitaria isso? Talvez você tenha empreiteiros
agora com acesso para desempregados. Talvez você tenha uma colaboração acontecendo em
várias zonas, certo? Talvez você tenha. Porque, por um momento, organizações
femininas, elas precisam ter acesso a fontes
específicas que controlam outra
organização parceira, certo? Mas o parceiro
não precisa confiar em nada. Então, como você
implementaria lá? Tudo o que você pode ter é uma
empresa com serviços
públicos voltados para o cliente. Portanto, você precisa dar acesso aos usuários e totalmente além do controle
da empresa. Portanto, há muitos,
muitos exemplos lá. Vamos dar uma olhada em alguns
deles para entrar em detalhes. Então, vamos dar uma olhada
na primeira, que
é uma empresa com instalações de satélite. Qualquer ambiente corporativo. Quero dizer, não importa o que seja, que tipo de arquitetura você pode colocar nos princípios do Zero Trust. Eles, na maioria das empresas,
já
têm algum aspecto de confiança zero, certo? Mas eles estão a caminho da implementação implementando
as melhores práticas. Se você vai
mentir quando falamos sobre
cenários de implantação e casos de uso. Então, na maioria das vezes, você pode realmente depositar fundos
secretos com facilidade. Portanto, a confiança zero geralmente é criada para organizações distribuídas geograficamente. Você tem usuários remotos
para que qualquer pessoa possa se beneficiar. Mas vamos dar uma
olhada no exemplo
do primeiro exemplo deles aqui, que é empresa, quais instalações
satélites. Esse é o cenário mais
comum. Você tem um escritório
corporativo com sede e vários locais
geograficamente dispersos lá. E eles não são como
se não pudessem ser unidos pela própria rede
física da empresa, certo? Você pode estar
entrando pela Internet. E os funcionários do local
remoto podem não ter redes locais próprias completas da
empresa, mas ele ainda assim precisa
acessar os recursos da empresa. Então, como você, talvez esteja
conectado ao MPLS e a todas essas conexões. E como você implementaria a
confiança zero, certo? Você pode fazer com que os funcionários estejam
trabalhando remotamente, trabalhando remotamente. Eles podem ter
trazido meus próprios dispositivos. E funcionários em. Talvez sua empresa queira dar algum acesso a esses recursos como empregar, calendário e e-mail. Mas você não quer, eles
não querem que usuários remotos acessem
recursos confidenciais como, sei lá, o banco de dados de RH ou
algo parecido, certo. Então, neste caso, o ponto de
aplicação da política ou o PDP. Especificamente, o Pdp é que você pode colocá-lo no
serviço de nuvem, certo? Por causa da nuvem, porque você tem tantos
usuários remotos acessando ela, certo? A nuvem realmente
faria sentido aqui. Os usuários remotos
não precisariam
depender da infraestrutura corporativa
para acessar os recursos. Então, você pode colocar um agente nos ativos de
seus usuários finais, certo? Dessa forma. Como você não quer colocar o ponto de decisão política sobre o PDP na rede
local da empresa aqui, isso não seria uma boa
ideia, falando honestamente. Então esse foi o primeiro exemplo. Por que você pode ter uma empresa multinuvem
para nuvem? Isso está se tornando muito, muito
comum com a confiança zero como acontece com a utilização de
vários provedores de nuvem, certo? Ambiente multinuvem. E nesse caso,
na empresa, você pode ter uma rede local, mas pode estar usando dois ou mais provedores de serviços de nuvem para hospedar aplicativos
ou seus dados. E, às vezes, o aplicativo é hospedado em um serviço
de nuvem separado
da fonte de dados. Os dados estão em outro lugar. Portanto, o aplicativo
pode estar hospedado no provedor
ventral e
as fontes de dados em outro
provedor de nuvem. Eu já vi isso. Já vi aplicativos usando talvez você tenha o aplicativo e o banco de dados esteja no MongoDB Cloud, coisa completamente
separada. Então, é muito, muito
possível lá. Então, lembre-se do que a
Zero Trust diz, disse que a Zero Trust disse que não deveria
haver diferença entre seus ativos corporativos
ou ativos
próprios da
sua empresa , como se esses seus ativos corporativos
ou ativos
próprios da
sua empresa, como se esses fossem seus ativos pessoais que
pertencem a alguém, talvez aqueles
de propriedade do provedor, certo? Você ainda precisa
aplicar o zero-trust. Portanto, o Zero Trust
aqui em uma multinuvem seria
colocar o PEP, o ponto de aplicação da política no
ponto de acesso cada aplicativo, de
cada provedor de nuvem. Portanto, podem ser serviços localizados na nuvem ou em
um terceiro provedor de nuvem. E o cliente gostaria que um agente local fosse
instalado acessando o PEP. Dessa forma, a
empresa ainda pode acessar recursos
gerenciados que estão hospedados fora da empresa. E o único
desafio é porque os diferentes
provedores de nuvem podem ter maneiras
diferentes de
implementar a funcionalidade. Portanto, como arquiteto corporativo, se você estiver implementando a
confiança zero, precisará saber
como
implementar a
arquitetura de confiança zero com cada provedor de nuvem. Cada um deles pode
ter uma maneira diferente, mas porque aqui o melhor uso seria
ter algum tipo de agente
instalado em seu ativo, que controla
o acesso aqui. Ok, o que mais tem?
Outro cenário comum é aquele em que uma
empresa que pode ter visitantes
no local é prestadora de
serviços contratada e precisa de acesso limitado aos recursos da
empresa, certo? Então, talvez você tenha seus próprios serviços de aplicativos
odontológicos, bancos de dados e eles possam ser contratados por outros prestadores
de serviços. Eles podem estar no local para
fornecer serviços, certo? Eles ainda precisam de conectividade
de rede e você permitiria essa
célula aqui, a Zero Trust. Por exemplo, precisaria fornecer acesso e impedir
o acesso a outra coisa, certo? Então, como você faria isso? Então, nesse caso,
nesse caso, os visitantes podem
ter acessos semelhantes, talvez possam ter acesso
à Internet, mas não podem acessar recursos
corporativos. Você não quer que eles
mexam, certo? Então, nesse caso, nos pontos de
aplicação de políticas ou no PDP, você pode estar
hospedado na rede ou na nuvem, certo? E, novamente, seus
ativos corporativos poderiam ter agente
instalado para
acessar os recursos que o portal
e o PDP
garantiriam que quaisquer ativos que
não precisassem instalar agentes não
pudessem acessar
os recursos locais, mas pudessem acessar como os
outros recursos provisórios. Então, novamente, isso é apenas uma
orientação a partir disso. Como eu disse, você pode
ter um comentário diferente, completamente diferente e querer
instalá-lo de forma diferente. E o último que
vamos discutir, que é o quarto caso de uso. Nós apenas
colaboramos entre empresas. O que isso significa? Talvez você tenha um projeto e
funcionários da empresa, uma empresa, esteja certo. Portanto, pode haver
agências diferentes ou, como uma agência privada, acessando
uma empresa pública. Eles podem ter o banco de dados, mas você quer permitir o acesso dos funcionários do BI
corporativo, certo? Assim, eles podem divulgar
uma configuração, como contas para funcionários da
empresa B2, acessar e negar o acesso a
todos os recursos. Mas isso pode se tornar muito
difícil de gerenciar, certo? Portanto, faria mais
sentido que talvez você pudesse estabelecê-los
para criar uma identidade local, fornecer um único login, certo. E o PEP pode, o
plano de aplicação de políticas pode entrar em ação quando a
governança de identidade acontece? Portanto, isso pode ser semelhante
ao exemplo
do caso de uso quando
falamos sobre a placa única em sua mesa. Pode estar na nuvem, como o Azure AD Okta, ou
algo parecido. Portanto, você ainda pode inserir suas outras regras que existem, como bolas de fogo e acesso. Mas, ao inserir a decisão política
no login único, você pode realmente ter um controle
centralizado lá e sem
a necessidade. Porque, geralmente, nesses casos
, pode ser difícil
instalar agentes porque você não os controla, certo? Portanto, aqui, o login único ou um provedor de
identidade baseado em nuvem pode ser um caso de uso mais vertical e
viável. Então eu espero que você tenha
entendido que ele morre. Isso pode ser uma grande quantidade
de informações para assimilar. Mas lembre-se de que isso
é apenas uma orientação do nist, desde que você
entenda os princípios, não precisa
segui-los cegamente. Você pode colocar sua própria
arquitetura que está lá. Então, quais são as principais
conclusões aqui, pessoal? Isso fornece
diferentes variações e cenários de confiança zero. É usado como orientação. A microssegmentação é
muito, muito importante. É um dos princípios
e ferramentas mais
importantes que você pode usar para
implementar a confiança zero. E você
realmente deve avaliar seu ambiente e foi sobre isso
que eu falei antes. Além disso, avalie seu ambiente
para saber qual modelo funciona melhor. E realmente veja, não
siga cegamente nenhum documento. Veja qual
é o seu apartamento, como você pode implementá-lo. Então, espero que tenha sido útil, pessoal. Analisamos profundamente o documento e como
implementá-lo. Ainda vamos fazer mais estudos de
caso. Mas primeiro eu quero falar sobre quais são as ameaças
à confiança zero? Então, falamos sobre confiança zero. Mas quais são os riscos? São as ameaças
que podem surgir quando você está
implementando a confiança zero. E entrarei em mais detalhes
na próxima seção. Obrigado
e nos vemos lá.
9. Ameaças para Zero Trust: Oi amigos. Bem-vindo a esta
lição e agora
abordamos o documento em disco
e muitos detalhes. Falamos sobre
a arquitetura. E antes de
passarmos para os estudos de caso, quero falar sobre algo que é
muito importante, que é sobre as
ameaças à confiança zero. Sim. Então, parece um
pouco engraçado porque o objetivo do zero Trust é colocar
controles de segurança, certo? Crie um
modelo de segurança que torne seu ambiente mais seguro. Mas a confiança zero em si tem alguns turistas que
você deve conhecer. E esse
sempre será o caso. Não há nenhuma empresa
no mundo que possa eliminar
completamente o risco
de cibersegurança. Então você pode colocar
controles, certo? Quando você coloca o que você chama de dinheiro colocado em uma arquitetura de
confiança zero, você precisa, o que ele chamou, isso pode reduzir seu risco geral. No entanto, alguns tipos são o eixo arbitrário de confiança zero que
visa exclusivamente. É assim que a cibersegurança funciona, como se você colocasse algum controle. Os atacantes se
atualizarão sozinhos. E esse é o mesmo
caso com a internet, com a computação em nuvem,
com o aprendizado de máquina. Sempre que surge uma nova tecnologia
ou um novo conceito, os atacantes se
adaptam e a atacam. Portanto, o objetivo principal
desta seção é
analisar as ameaças à confiança zero e como elas podem ser mitigadas, e você deve
estar ciente disso. Ok, então vamos dar uma
olhada na primeira coisa. É como o
alto nível, um exemplo muito simplista de um ambiente Zero
Trust, certo? Temos o usuário não confiável. Ele está acessando o recurso. O
ponto de aplicação da política é oxidante. O ponto de decisão política é que o PDP está obtendo informações
no plano de controle de todos os outros metadados
do SIM GRC Mobile
Device Management, atribuindo-as a esse nível e permitindo que as
pessoas acessem. Então, a
arquitetura de confiança zero, o PDP, PDP, os outros componentes principais de toda a empresa, certo? O objetivo principal da arquitetura de
confiança zero é que nenhuma comunicação entre os recursos da
empresa
pode ocorrer a menos que ela seja aprovada e configurada
pelo PEP no PDP. Isso também significa que esses componentes devem ser configurados
e mantidos
adequadamente, certo? E você tem que
garantir que ninguém
possa acessá-lo. Ninguém deveria ser capaz de fazer alterações aprovadas que
possam atrapalhá-lo, certo? E como ele chamou, se um atacante
conseguir descobrir um caminho que
não seria aprovado, talvez como um dispositivo triplo ou
pessoal que você possa
ignorar para o processo de
tomada de decisão, certo? Ele não ignorou
o processo e o
acesso direto ao BIPOC . Portanto, talvez seja necessário garantir
que o PDP e o PP estejam configurados
e monitorados adequadamente e qualquer tentativa de contornar isso esteja devidamente plana, certo? Você pode estabelecer regras de alerta e ter certeza de
que, se alguém, algum informante
mal-intencionado, tiver acesso
ao PDP e ao PP, estará fazendo alterações na
configuração. Eles devem ser registrados
e auditados. Esse é um ataque muito simples, basicamente contornando o
processo de decisão do Zero Trust, seja encontrando um caminho que você não conhece ou fazendo alterações na
configuração
, rebaixando o algoritmo de confiança dentro do processo de confiança zero. Ok? O que mais há na arquitetura
Zero Trust? Lembre-se de que falamos
sobre o PDP ser um componente chave, certo? Como não podem, nenhum recurso e
sujeito não podem se conectar uns
aos outros sem
a permissão do PDP e configurá-lo.
Nós somos o PEP. Então, se um atacante perceber
que, ok, não
consigo acessar, vou
garantir que ninguém o acesse e
ele interrompa ou negue
o acesso ao PEP ou ao PDP. Talvez ele negasse, negasse serviço, atacasse ou o sequestrasse. Na verdade, pode ser basicamente todas
as
operações da empresa, certo? Porque todo o acesso
está sendo mitigado. Mas eu vou chegar aqui e sair. Isso. As empresas podem
mitigar esse risco
colocando o PDP talvez em um ambiente de
nuvem devidamente seguro, ou talvez replicando-o em
vários locais, certo? E isso mitigará o risco, mas não será completamente eliminado,
pois você pode ter ataques
massivos de DDOS contra provedores de serviços de
Internet,
contra a nuvem. Portanto, é possível que o invasor
bloqueie o tráfego da taxa PEP PWD para a maioria
das contas de usuário
em uma empresa. Talvez você possa cortar o acesso a uma filial inteira ou a uma única localização remota, certo? Portanto, nesse caso apenas alguns subconjuntos de
usuários serão afetados. Mas ainda assim isso é bastante
impactante, certo? E isso é honesto, mas esse risco também existe em
todas as suas VPNs de
acesso remoto Isso não é exclusivo de uma arquitetura
Zero Trust. Além disso, o que pode acontecer é que, se seu PDP
residir na nuvem, talvez o provedor
de serviços de nuvem possa sofrer uma interrupção.
Isso acontece, certo? Mesmo com grandes
provedores de serviços, como o Google, infraestrutura
da AWS
como serviço, poderia ocorrer
algum erro
operacional que poderia impedir que o PDP
saísse do eixo e toda
a empresa
poderia ser bloqueada toda
a empresa
poderia ser bloqueada se o PDP ficar
inacessível, certo? E alguma outra
coisa pode acontecer, talvez o PDP não consiga
acessar os recursos, então não é capaz de
conceder esse acesso. Não é possível configurar o caminho
de comunicação sobre o qual falamos. Isso pode acontecer talvez devido
a um impacto no desempenho, talvez um ataque DDoS,
talvez uma configuração incorreta. Interrupções na rede
acontecem, certo? Mas lembre-se de que isso poderia
acontecer e o impacto
seria que todo o recurso
corporativo não
poderia estar acessível. Então, tenham isso em mente, pessoal. Este é outro
par de acontecimentos. O que mais existe? Credenciais roubadas. Então, do que estou falando aqui? Implementado corretamente? Zero Trust e suas políticas. Eles reduzem muito o
risco de um atacante obter acesso e fazer um ataque
interno de movimento lateral, porque você não está permitindo que ninguém seja implicitamente
confiável, certo? Porque, mas e se um invasor conseguir comprometer
uma conta existente? E como se ele estivesse tentando acessar um recurso que não foi implementado
adequadamente. arquitetura de confiança zero
deve impedir que uma conta comprometida acesse recursos externos
ao seu acesso normal, certo? Então, a conta seria, então, mas o que isso significa? Isso significa que o atacante será o que interessa coisas
em que
usa acessos anômalos. Usando a
engenharia social de phishing, de várias maneiras, ele pode realmente obter acesso
à conta e tentar
acessar coisas que normalmente
são
acessadas por eles,
talvez para contas de
administrador corporativo Elas são valiosas para
nos atacar e tentar acessar
esses dados confidenciais. Agora, você pode estar implementando o
MFA para reduzir o risco. Mas lembre-se de que talvez, se um invasor tiver suas credenciais
comprometidas, você consiga acessar recursos pelos quais o amor é
escasso. Talvez o calendário da empresa, o calendário seja de baixo risco. Então, nesse caso, a arquitetura
Zero Trust pode permitir esse acesso. Ok? Porque, como eu disse, a arquitetura de confiança zero
reduz o risco e evita que qualquer conta
comprometida se mova lateralmente. Mas se eles não estiverem autorizados a
acessá-lo, isso o interromperá. Certo? Mas se o cara for, talvez ele normalmente
acesse o que
vimos e o nível de risco
seja menor, certo? Então, nesse caso, algoritmo
petrosal pode
detectar, digamos, ok, na verdade, porque isso é algo
que ele geralmente acessa e o nível de risco
não é alto. Portanto, tenha isso em mente. Novamente, é
muito possível. E, claro, à medida que seu
ambiente amadurece, à medida que suas
políticas de confiança zero amadurecem, você investirá e
fortalecerá cada vez mais o algoritmo de confiança, certo? Porque, da forma como o mecanismo Zero
Trust lida com isso, ele aprenderá e ficará mais
inteligente com o passar do tempo. Mas, novamente, esse é
um possível ataque. Ok, quais são as ameaças? Os federais também estão lá? A visibilidade na rede. Lembre-se de que, para que o Zero
Trust seja eficaz, ele precisa analisar todas as informações
que são de seu direito. Tem que estar recebendo a maior parte do tráfego para poder
ver o que está acontecendo. Mas às vezes todo
o tráfego que talvez
esteja vindo de dispositivos
pessoais, certo? Ou talvez de parceiros, ou talvez de
serviços de aplicativos que
não são suportados
, o mecanismo Zero Trust não
será capaz inspecionar e analisar
a atividade, certo? E isso é algo que o atacante
pode ser capaz de utilizar. Isso não significa que
você está completamente cego, mas podem ser dados que
você não consegue acessar. Nesse caso, o mecanismo
Zero Trust poderia analisar a fonte
e os metadados. Os endereços
de origem e
destino do
tráfego criptografado são usados
para detectar talvez seja
algo que para detectar talvez seja um malware
ou um invasor tenha feito. Em novos casos, as pessoas estão
usando inteligência
artificial de aprendizado de máquina que pode acumular seus dados ao longo do tempo. Mas lembre-se da visibilidade
na rede. Às vezes, isso é um problema, além da escassez de informações do sistema e da rede, o que isso significa? Bem, lembre-se, para que os fundos
secretos funcionem, é preciso obter
muitas informações, certo? Você precisa coletar dados sobre políticas de
acesso ou SEM, o que ele chamou de
Single Sign-On. Agora, isso tem que ser
armazenado em algum lugar. E isso pode acontecer, dada uma informação mais obscura sobre
quais contas são mais valiosas para comprometer a taxa de quais têm mais
acesso às informações. Portanto, você precisa garantir que,
onde quer que o mecanismo
Zero Trust armazene essas informações difíceis, a infraestrutura
subjacente precise ser
incentivada para
evitar acessos e tentativas de
acesso não autorizados . Como esses
recursos são vitais para a segurança e para o ecossistema de
confiança zero, eles devem ter as políticas mais
restritivas e você deve poder
acessá-los, talvez para meu gerenciamento de
identidade privilegiado do PIM e de um servidor de salto. Então, novamente, isso é algo em que
você precisa pensar. Confiança em formatos
e soluções de
dados proprietários .
Isso é um extrato. O que isso significa? Bem, a
arquitetura de confiança zero
depende de várias fontes de
dados diferentes, certo? Falamos sobre, uh, tomar decisões de acesso, talvez sobre o assunto, qual ativo está sendo usado
na inteligência externa? E como você chama? Muitas vezes, esses ativos eram usados para armazenar e
processar essas informações. Eles não têm um padrão aberto
comum de como interagir
e inferir informações. Isso pode levar à
dependência do fornecedor. Talvez você esteja preso a um produto
específico de confiança zero, um determinado fornecedor
de confiança zero. E se esse provedor
talvez tenha interrompido o suporte. E como você chama,
ele não dá acesso ao formato de dados
fornecido. Você pode ter problemas sérios. Talvez seja necessário substituir ativos
, passar por um longo programa de
transição traduzir as políticas. Então, como
falamos anteriormente, isso não é exclusivo da arquitetura de
confiança zero. Mas, como você não
confia, a arquitetura depende muito das informações. E, às vezes, provedores de serviços, esse tipo de coisa pode impactar
as funções principais, certo? Portanto, você deve avaliar diferentes prestadores de serviços e garantir que esse risco exista. Certifique-se de que você não está trancado. Você tem esse gerenciamento de riscos
da cadeia de suprimentos
, além de outros
SLAs e serviços. Ok. Qual é a última
coisa? O último é uso de entidades não pessoais NPs na administração de confiança zero.
O que isso significa? Basicamente, você tem coisas
como contas de serviço, inteligência
artificial
e outros agentes
baseados em software que são implantados para gerenciar problemas
de segurança, certo? E esses componentes
precisarão interagir com o mecanismo
Zero Trust, o PDP e o PEP, em vez de um ser humano
interagir com eles. Então, é assim que
esses componentes
se autenticam com confiança zero porque isso é algo
automatizado, certo? Este não é um ser humano
que está acessando isso. E, claro,
você pode entender o
problema: e se alguém comprometer essa conta de serviço ou comprometer esse sistema? Porque a arquitetura Zero
Trust pode não estar dando a mínima, pode não estar valorizando
isso como avalia um ser humano. Isso pode levar a decisões de
risco incorretas que tomamos. E o atacante pode enganar a
Arquitetura Zero Trust pensando, fazendo com que
ela pense que é um sistema EA, é uma
conta de serviço, naquele momento. Como tem, ele terá uma barra inferior de autenticação, talvez apenas uma chave de API
ou algum certificado, que é bom se isso
for comprometido O atacante
poderá interagir com
a Arquitetura Zero Trust
ou com o
mecanismo de confiança zero pensando, fazendo com que pense que é
uma entidade não pessoal. Portanto, lembre-se de que isso é algo que você precisa avaliar
caso a caso. Veja quais
medidas de autenticação existem. Quais são os metadados que você pode fornecer à
arquitetura de confiança zero? Ok pessoal, então espero que tenha sido informativo
para vocês e eu fiz vocês perceberem que
existem ameaças, todos os tipos de
arquitetura de confiança zero. Não quero pintar para
vocês uma imagem otimista de que arquitetura de
confiança zero
será completamente incrível e
não há caminhões lá. Então, isso está lhe dando uma saída
realista disso. Na próxima lição, falaremos
sobre um estudo de caso. Vamos ver como implementar a confiança zero, talvez em uma rede,
e como ela funcionaria. Ok, obrigado. Verei na próxima lição.
10. Estudo de caso 1: Olá amigos, bem-vindos a esta lição na qual agora
finalmente faremos um estudo de caso real oferece implementação de
arquitetura de confiança zero. Então, apenas uma rápida recapitulação. Examinamos a confiança zero,
examinamos isso, uma
história de Zero Trust. Falamos sobre os conceitos, os princípios que
existem, certo? Falamos sobre um mergulho profundo
no padrão nist. Falamos sobre as
ameaças que existem, as diferentes implantações e
variações que existem. Agora, vamos tentar ver como isso realmente seria implementado
em um nível muito alto. Ok? Então, lembre-se do
que falamos, Zero Trust em alto nível. É uma filosofia, certo? Ele pode suportar muitos, muitos tipos de arquiteturas, muitos, muitos tipos diferentes de produtos
comerciais também, ok? Portanto, lembre-se de que não existe uma arquitetura
única e que cada organização precisa analisar seus
próprios requisitos, o que deseja e, em seguida, desenvolver a abordagem correta para
implementar uma confiança zero, certo? Então, dado que
existem muitas formas de implementação e cada empresa
tem diferentes, certo? Não é possível criar uma arquitetura de
confiança zero que sirva para todos. Mas o que eu vou fazer é
te dar uma arquitetura de
alto nível
de uma empresa, certo? E então vamos
criar uma
arquitetura simplificada ,
tipo confiança zero, para nós. E vamos ver
como implementá-lo. Quais são as coisas que
vamos,
vamos colocar nos
componentes, certo? Eu tentei fazer com que
fosse de alto nível, mas torná-lo representativo de uma empresa real que
pode ter um novo comentário. Pode ser que não seja tão detalhado, porque se
eu fizer isso detalhadamente, não será aplicável
a todos, certo? Mas o que eu quero
mostrar
é que isso, como esse estudo de caso em particular, como esse estudo de caso em particular, terá elementos
que são comuns a muitas, muitas, muitas empresas, certo? Em seguida, mostre como
você
implementaria componentes de confiança zero dentro desse modelo. Então, lembre-se do que eu falei. O Zero Trust não é uma abordagem
única para todos. Não existe uma solução mágica que sirva para todos, certo? E também não é uma solução de
cibersegurança. Não é um produto. Eu
falei sobre isso antes. Não é algo que você pode simplesmente implementar e depois
ativá-lo e agora você tem a certificação
Zero Trust. Não funciona
assim, certo? Então, de acordo com os princípios do Zero
Trust, ele pode fornecer
orientação sobre como mitigar
e gerenciar
continuamente o slide. Tantas empresas,
é como uma jornada. Em muitas empresas,
talvez você já tenha uma taxa
básica de segurança muito boa e talvez apenas alguns
refinamentos sejam necessários para uma
implantação bem-sucedida do zero-trust. Outros podem precisar
criar novos produtos. Eles são uma pequena necessidade de
implantar a necessidade de substituir os ativos existentes para implementar conceitos como o Zero Trust. Então, independentemente de onde
você está começando, laboratório, lembre-se do que eu disse, uma confiança zero leva tempo. Pode ser um projeto de
vários anos, com vários domínios e com várias partes interessadas. Tem seus próprios desafios sobre os quais falaremos. Então, eu só quero que você
seja muito realista. Qualquer um que diga que o
Zero Trust é muito fácil de fazer, basta implementar meu
produto e pronto, você terá uma reclamação de
confiança zero. Isso é completamente falso.
Não funciona assim. Ok. Então, vamos pegar
uma empresa fictícia. Então, temos uma empresa, vamos chamá-la de XYZ, certo? E eles implementaram e amadureceram a
estrutura de segurança cibernética ao longo do tempo, certo? Portanto, isso não é como uma empresa que não
tem controles de segurança. Eles têm controles de segurança. E temos que ver quais são
esses controles de segurança. E o que aconteceu
é que a gangorra está preocupada com usuários remotos. Cada vez mais o uso da nuvem
está chegando. Cada vez mais. As pessoas estão se conectando pela
Internet. E como se ele estivesse sob
pressão para implementar o BYOD, está sob pressão para
implementar o acesso de parceiros. Então, ele pesquisou
o Zero Trust e gostou e
acabou de perguntar a você, então talvez você seja o gerente de
segurança cibernética de lá. E ele está totalmente bem. Quero que você implemente a estrutura
de confiança zero e use a estrutura nist como
as melhores diretrizes de fatores. Então, como você faria isso? Então, vamos dar uma
olhada nessa empresa. Então essa é essa empresa, certo? Então, essa empresa,
eles podem
ter capturado ou também podem ter várias filiais, certo? E como eles têm cargas de trabalho em sua rede
interna, você pode ver que eles têm bolas de fogo, eles têm servidores
que acessam
bancos de dados e são a rede interna. No lado esquerdo, você pode
ver que eles têm uma DMZ, certo? Assim, os usuários remotos podem se conectar via VPN e acessar
a rede interna. Os clientes estão entrando
pelo firewall e acessando um servidor web de
onde estão entrando. Eles também têm
infraestrutura como serviço. Eles estão usando a nuvem para que ela possa estar conectada
a uma VPN, certo? Do ponto de vista da segurança, eles têm um único login. Eles não têm uma solução SIM e têm administradores
na rede interna, certo? E eles o estão acessando
por meio da solução PIM, os servidores internos
para acesso administrativo. Assim, você pode ver que, como a
maioria das empresas, essa tem uma variedade
de mecanismos de controle de acesso e rede e um ecossistema de componentes de
segurança. Então, agora queremos analisar, pensar em confiança zero,
implementar confiança zero. Então você pode ver que isso não é como uma empresa que não
tem nenhuma segurança. Eles implementaram a
segurança lá. Eles têm firewalls,
segmentação, pagamento, SIEMs de login único. Portanto, eles têm as
seguintes boas práticas. Mas agora, devido às pressões
para implementar mais BYOD, mais trabalho remoto, como um trabalho híbrido
acomodado, acomoda cada vez mais empresas que possam estar chegando. Você deve considerar a
implementação da confiança zero aqui. Breve revisão rápida. Lembre-se do que falamos. Essa é a
implantação mais simples de uma confiança zero. Você quer ter uma confiança zero,
como conceitos e ideias. A Veneza define isso. Então você quer ligar, utilizar esses componentes, certo? Você quer ter como um PDP, que é um ponto de
decisão política que recebe informações de várias fontes
para cada algoritmo de cluster. E isso reside
em um plano de controle, que é um plano
de controle seguro. Você pode ter um plano de dados. Então, aqui o usuário
deseja acessar um recurso. Ele precisa passar por um ponto de aplicação da política
antes de poder acessar qualquer coisa. E então o PEP se
comunicará com
o PDP e dirá:
Ei, esse cara é confiável
o suficiente para acessá-lo, certo? E o que ele chamou, tem
que aplicar esses princípios de Zero
Trust, certo? Portanto, é isso que
queremos analisar e implantá-lo. Então, uma das principais coisas
que você deve considerar é que
talvez você esteja começando agora. Você vai
pensar em onde eu coloco o PDP, onde coloco o ponto de
aplicação da política? Microsegmentos V2,
devo microssegmentar? Certo? Essas são as perguntas iniciais que você deve pensar. Eu não vou, vamos analisar como
seguir o roteiro. Em seguida, você implementa
heterótrofos, obtendo suporte de gerenciamento. Eu não quero que você
compre muita coisa. Eu quero que você pense sobre
a arquitetura agora. Suponha que você tenha o orçamento. Suponha que você já tenha recebido todo
o apoio da
gerência, certo? Então você não precisa se
preocupar com essas coisas aqui. Então, queremos falar sobre agora, à esquerda, você pode ver
o canto inferior esquerdo que eu coloquei nos símbolos
do PDP
e do PEP, certo? Então,
a primeira coisa em que queremos pensar é onde queremos colocar um PDP aqui, que é
basicamente o cerne do sistema de confiança zero da Honor. E, na realidade, como qualquer empresa que esteja
implementando a confiança zero, o PDP provavelmente será um produto comercial
ou pode ser sistema técnico
diferente
que você está conectando
à categoria APIs, processos de
negócios. Pode ser qualquer coisa,
pode ser um produto. Pode ser sua própria
implantação interna, certo? Zero tos não o vincula a nenhum tipo específico de produto ou tecnologia
existente. Mas se fosse
eu, eu estava fazendo isso. Assim, você pode ver mais de perto o SSO. É aqui que eu
implantaria o PDP. Se você se lembra
inicialmente de quando
falamos sobre estratégias de
confiança zero, falamos sobre um
modelo centralizado de governança de
identidade, certo? Portanto, o Zero Trust é muito centrado na
identidade, na minha opinião. E seu PDP deve
ter um relacionamento muito estreito e
confiável com
o provedor de identidade e o provedor de SSO. Pode ser como já, pode ser
outra coisa, certo? Mas o PDP deve ser
implantado aqui e reconfigurado para que possa
obter os dados
do SSO direta ou indiretamente. Talvez você possa configurá-lo. Talvez seja um produto.
Você pode configurá-lo por meio de uma conta de serviço
para fazer chamadas de API. E configurando o PDP quando os homens fazem alguns
certificados, certo? Então, isso indica que você pode
usá-lo como governança de identidade. Ou seja, pessoalmente
eu faria isso porque se fosse um login
único, tudo será
autenticado aqui, certo? E essa seria a
melhor maneira de obter acesso. E talvez
daqui também possa conectá-lo à solução
SIM. Mas essa seria, na minha opinião, a melhor maneira de
implantar o PDP aqui. Agora, conversamos no PDP. E quanto ao ponto de
aplicação da política, que é basicamente de onde os acessos serão
controlados, certo? Então, na minha opinião, você pode
ver que eu o implantaria perto da VPN e também das fibras dentro
do firewall interno. E no nível da nuvem. Minha perspectiva é de um sistema de confiança zero
eficaz. Para um modelo eficaz de confiança zero, você precisa ter
implantado PEPs que sejam gerenciados centralmente pelo ecossistema, mas que possam ser distribuídos por
todo o ecossistema, certo? E o PDP deve controlar comportamento do
PEP em
relação às políticas que eu lhe disse, que são dinâmicas e
sensíveis ao contexto, e são aplicadas
em todo o ambiente. Esses PEPs podem ser de
diferentes tipos. Eles não precisam ser como
um produto ou algo assim. Talvez você possa
utilizar o
firewall existente ou a VPN existente. E vamos
falar sobre isso, certo? Então, talvez, por exemplo o PEP na DMZ no nível do firewall, que só permite autorizar e autenticar usuários quando o PDP autentique e diga, ok, esses caras são permitidos
com base nas permissões, entregue-as a ele pelo PDP. E o PDP
analisará as diferentes fontes, o SSO, o SIM, e você também examinará
esses mecanismos. Da mesma forma, a rede interna quer sair e retirá-la novamente da
infraestrutura
de nuvem para consultar novamente o SSO. Então, essas são as áreas em
que eu implantaria o PEP
e como ele funcionaria? exemplo, independentemente de um, o PEP é como você
realmente o trabalharia na prática? Então, em um alto nível, então, desculpe, minhas desculpas. Uma coisa que eu esqueci na maior parte
da microssegmentação, é
claro, eu esqueci disso. Então, se você pode ver os servidores
internos agora, seus seguidores são, não é, eles são maravilhosos para ver
o tráfego norte-sul, certo? Falamos sobre isso anteriormente. Você precisa ter uma
microssegmentação lá para restringir a comunicação entre os fluxos de trabalho,
o tráfego leste-oeste. Esqueci de mencionar
essas políticas. Então, sim, eu definitivamente
implementaria a microssegmentação
no nível do servidor, certo? Porque isso resolveria os ataques se o atacante
conseguisse penetrar no perímetro e tentar comprometer o
movimento lateralmente. Portanto, a microssegmentação é uma ótima maneira de
implementar confiança zero, sobre a
qual falei anteriormente. E você não precisaria
rearquitetar, certo? Você provavelmente poderia usar algum
software, agente de software, algum tipo de controle de
firewall existente baseado em agente para implementar a
microssegmentação. Então isso é o que eu
estaria fazendo. Agora que você implantou o
PDP, o PEP, e como uma forma de
microssegmentação, como isso funcionaria na realidade? Isso é o que
funcionaria, certo? Então, supondo que alguns caras estejam lá, ele está tentando autenticar e acessar cada
fonte, certo? Então o corpo chamava de onde
ele ia para o PEP, o PEP enviava
isso para o PDP. Ei, esse cara está acessando
os recursos que ele permitiu. Agora, o PDP consultaria ou faria uma chamada de API para a
solução SIM, para o SSO. A solução SIM provavelmente
teria tudo certo. Seria necessário dar uma olhada em todas
as informações contextuais. Então, isso faria com que
todas essas informações fossem obtidas do sistema SIM. Talvez isso atingisse o nível geral de
ameaça na rede. Qual é o nível de risco
com John para esse usuário? E a política, o sistema Zero
Trust e a avaliação desses atributos
e uso com base
no algoritmo de confiança
podem tomar uma decisão. Talvez diga que, Ei, esse nível está um
pouco médio agora. Talvez seja necessário
aplicar o MFA, certo? Ou talvez o nível de risco seja alto, desculpe, você não pode acessá-lo. Então, analisaria, avaliaria
seu nível de risco
e, em seguida, atribuiria
uma política a esses usuários enviaria de volta ao PEP. E então o PEP permitiria ou proibiria o
acesso, caso contrário, talvez um disco estivesse baixo, apenas
permitiria o acesso. Se fosse médio, você diria, desculpe, você precisa aplicar o MFA. Se o nível fosse alto, a política pediria
desculpas, não permitiria o acesso. Então, isso é de alto nível. Teoricamente,
é assim que funcionaria. Claro, nunca é tão
simples na vida real, certo? Então você provavelmente,
se voltasse ao diagrama, analisássemos a implantação de PEPs, talvez possamos usar um
firewall como PEP, a VPN como PEP, as
ferramentas nativas da nuvem como PEP. Mas o que eu vi nunca foi tão simples, o que seria necessário para uma ferramenta atuasse como um ponto de
aplicação da política. Então, isso é muito importante. O que torna um componente
de segurança do PEP como o
Zero Trust White é que
talvez você tenha um firewall antigo. Você pode pensar nisso como um PP? Talvez você tenha um componente
de VPN antigo. Você pode pensar nisso
como um VPPP, certo? Então é aqui que a
resposta estaria. Depende do
que a ferramenta pode fazer. Essa ferramenta faz um firewall. A VPN tem a
capacidade de aplicar os PPEs, como políticas centradas na identidade e políticas
sensíveis ao contexto de conversa? Ele pode fazer isso? Posso dizer, ei, se
o nível de risco é baixo, se há algum MFA tão
médio, aplique. Se o nível de risco for
alto, não permitido diz Posso fazer essas políticas dinâmicas? Ele pode
mudar automaticamente suas políticas com base no que o PDP
está dizendo, certo? Ele pode
se comunicar com segurança com o PDP? Talvez você se lembre do
que falamos sobre o controlável e
tem que ser seguro, certo? Muitas vezes, suas fibras
tradicionais podem não conseguir atender a isso
ou comentar se não tiverem essa
inteligência, certo? E você precisa, porque o PEP precisa ser configurado
dinamicamente
pelo PDP e poder
ajustar suas políticas de forma
automatizada, certo? É um recurso essencial para
implementar a confiança zero. E essa é uma das coisas
fundamentais que você precisa ser capaz de
fazer no Zero Trust. Conseguimos aplicar políticas sensíveis à identidade e ao contexto. O OP deve ser capaz de receber atualizações
contínuas do
PDB e automaticamente suas políticas de justiça em tempo real sem
que nenhum ser humano entre e configure. Honestamente, essa é a única
maneira de obter a natureza dinâmica
responsiva aos corantes da confiança zero, mesmo em
pequena escala, certo? Então, talvez seu firewall não consiga fazer isso e a umidade precise
substituí-lo, certo? Talvez, mas talvez o firewall seja um firewall de próxima geração. Possui automação de
segurança de rede de inteligência. Portanto, você pode
considerá-lo como um PEP. Então foi aqui que eu
falei sobre onde você precisa examinar
sua arquitetura, decidir o que
precisa ser substituído, o que precisa ser
implementado, certo? Então, isso é muito importante, pessoal. Por favor, tenha isso em mente. O que realmente torna um PEP aplicável ou não. E nas
próximas aulas, mostrarei o que,
OK, o que acontece se você não
conseguir aplicar todos
esses mecanismos? Quais são as soluções
disponíveis dentro da confiança zero dentro
dessa estrutura? Portanto, manter essas coisas em mente
é muito, muito importante. Então é disso que
falamos anteriormente. É assim que
eu implementaria a confiança zero, mas, como eu disse, mas, como eu disse, não
existe uma
maneira correta ou incorreta de implementá-la. Desculpe. O que? exemplo, se
eu fosse malvado ao analisá-lo, diria que
cometi dois erros. Se fosse eu, eu
diria que não
segmentei a
microssegmentação do serviço. Eu só implementei microssegmentação no nível
do banco de dados. Você pode ver que eu não fiz no nível do servidor,
o que eu deveria ter feito. E talvez o que dizer da
microssegmentação
da infraestrutura em nível de nuvem como serviço? Isso é algo que deveria
ter sido avaliado. Então, como eu disse, mesmo
vendo isso agora, posso ver áreas em que talvez
eu
precise fazer melhorias, certo? Por isso,
implantamos PEPs lá. E, claro,
terá que ser analisado. Eu não adicionei o PIN
para os administradores sobre os quais
esqueci de falar, você também
precisará ter um
PP lá, certo. E se eu colocá-lo lá. Então, novamente, é aqui que
o PEP entraria. Talvez os pagamentos
possam suportar isso, talvez você precise de suporte
adicional de inteligência do fornecedor. Mas isso está em um nível alto. É assim que você
precisará pensar
ao impor a
confiança zero. Espero que isso dê uma ideia e tenha levado vocês à mentalidade de
confiança zero, pessoal. Vamos
analisar isso mais detalhadamente
no estudo de caso e eu
quero que você faça isso. Eu não vou te
ajudar muito. Vou te dar um cenário
de alto nível. Mas lembre-se, quais são as principais conclusões dessa
lição? Os caras foram importantes. Não existe uma abordagem
única para todos. Você pode ver que cada abordagem
é diferente, certo? Zero. A confiança é uma
filosofia e pode acomodar
muitas soluções diferentes, muitos modelos diferentes,
de produtos diferentes. Você precisa entender
sua arquitetura. Muito, muito importante. Se você não conhece
sua arquitetura, não
conseguirá implementar a confiança zero ou
colocará produtos e, não
sabe, o usuário pode
ignorar completamente porque você não estava ciente do caminho
da rede, certo? Não opte por uma abordagem do
big bang. se você voltar
ao diagrama, se começar a implementar todas essas coisas ao
mesmo tempo, você terá
uma grande interrupção. As pessoas não
poderão acessar. Tome seu tempo, pode ser implementado primeiro
no nível de vice-presidente, ofereça, talvez primeiro no nível da
infraestrutura, o PEP e o PDP, certo? Eu fiz isso com o tempo. Não coloque nenhuma política
que impeça nada, não imponha políticas
que possam ser bloqueadas
lentamente, eu repito com o tempo. Então, isso é muito importante. Você se lembra de que o Zero Trust é amplo o suficiente para acomodar
muitas abordagens. E espero que este estudo de caso tenha
sido útil para vocês. No próximo, vou
examinar outro
estudo de caso, mas este, quero que você faça e
compartilhe comigo o resultado. Obrigado pessoal e nos
vemos na próxima aula.
11. Estudo de caso 2: Olá amigos, bem-vindos
a esta lição. Agora, lembre-se do que eu falei
sobre o estudo de caso, certo? Então, fizemos um
estudo de caso em que eu
analisei o que um cliente faria. Eles arquitetariam a rearquitetura do ambiente atual para
impor os princípios de confiança zero. Agora, o que vamos fazer é
analisar outro estudo de caso. Mas desta vez eu
quero que
você faça isso, dê uma olhada e
me diga como você
faria isso. Então, neste,
estamos falando um BC comum e
eles estão sendo lançados como um aplicativo da web
usado por usuários e agentes.
Alguns feriados. O aplicativo web simples, ele se conecta a um banco de dados
e há um servidor de backup. E é nosso círculo, sofremos recurso
soberano e a
administração está acontecendo. Os administradores do sistema estão usando um servidor de jumps reforçado para se conectar ao serviço
via SSH para manutenção. E isso é feito apenas
internamente. Então, novamente, a gangorra
está preocupada com ataques
cibernéticos e ransomware, coisas que chegam dentro do cronograma, mas ao se espalhar
muito rapidamente
do ambiente local
para a nuvem,
o servidor de backup, talvez o administrador, de repente
se torna malicioso. Talvez algo
acontecendo com o servidor web. Todas essas coisas
estão lá, certo? Então, ele pediu
que você rearquitetasse o ambiente
usando 02 princípios de acordo com o novo padrão. Então, se dermos uma olhada, este é apenas um diagrama de alto nível. Você pode dar uma olhada
à esquerda para ver se os usuários e agentes
estão se conectando via HTTPS ao aplicativo
web de reservas. Temos um administrador e,
usando um servidor de salto, ele está se conectando via
SSH ao servidor web, ao banco de dados,
ao banco de dados de backup. meio de uma VPN, temos um
backup acontecendo no zoológico como uma recuperação de
desastres. Então, nesse
ambiente específico, estamos pensando em implementar aplicar
os princípios de confiança zero, certo? Então, eu deliberadamente me mantive em um alto nível porque
quero que você o arquitete. Lembre-se de que muitas empresas eles já têm,
como neste caso, você pode ver que elas
têm um servidor, uma VPN, um nível básico de segurança
já existem agora. Eles querem aplicar os princípios de
confiança zero. Então, eu quero
que você
use o conhecimento sobre o qual falamos. Quais são os princípios? Como você faria para
aplicá-lo? Onde você começaria a acreditar? Lembre-se de que não há nenhum processo certo
ou errado aqui. Você realmente quer
analisar
os princípios do Zero Trust e como
aplicá-los. Nós não temos. Gostar. Quero que você assuma que tudo o que eles têm
em seu ambiente pode apoiar o Eurotransplant. Suponha que falaremos mais
sobre isso mais tarde. Mas aqui eu quero que você pense sobre o que você faria, certo? E quando falamos sobre essas
outras coisas, lembre-se falamos sobre onde você colocaria o ponto de
decisão política. Esse ambiente
tem fibras? Se não, isso já é mas vamos supor que
sejam firewalls. Eles colocariam o ponto
de decisão política, há um único sinal aqui? Caso contrário, talvez seja
necessário colocá-lo lá, certo? Onde você colocaria o ponto
de aplicação da política? É como um Jump Server, clientes acessando, eu
não acho que você precise. Isso acabou com HTTPS, certo? Mas onde quer que você coloque o
ponto de aplicação de políticas, onde todas as conexões acontecem
sempre que você aplica microssegmentação
nesse ambiente. Então, olhando para esse ambiente, pense no que você faria. Onde você colocaria
o PDP? Onde removemos microssegmentos para evitar
qualquer movimento lateral. Se você colocasse os pontos
de aplicação da política aqui, como nós éramos, os cinco serão o vice-presidente
e esse tipo de coisa. E eu quero que você agora dê
uma olhada e me avise. Então, como você faria para
impor a confiança zero? Eu deliberadamente me
mantive em alto nível. Não quero entrar em dois detalhes,
então
isso se torna muito complexo
para você, porque percebo que provavelmente
é a primeira vez que você
implementa a confiança zero. Então, dê uma olhada nisso. Não se preocupem em
cometer erros, pessoal, como eu disse,
Zero Trust é uma jornada. Você ficará cada vez
melhor nisso com o tempo. Então dê uma olhada e me
avise, compartilhe
comigo os resultados. Ok pessoal, e nos
vemos na próxima seção. Na próxima seção,
falaremos sobre um tópico importante. E se você não puder apoiar os princípios do
Zero Trust, certo? E se você tiver aplicativos
ou produtos
legados que não
suportam uma confiança zero? O que você faz nesse
ambiente? Ok. Obrigado e nos
vemos na próxima seção.
12. Falta de suporte: Oi pessoal. Neste tópico,
falaremos sobre um tópico muito
importante, que é se em alguns produtos existirem alguns aplicativos que
você não pode suportar? Eu não posso implementar a confiança zero,
e esse é um cenário
muito, muito comum, um cenário
muito prático. Portanto, é possível, não prático,
implementar a confiança zero em todo o seu ambiente. Ok? Então você tem a opção de construir o que
chamamos de estado misto. Você pode implementar confiança zero ou como você pode, de forma ampla,
implementar confiança zero. Portanto, parte da sua arquitetura implementará a confiança zero, mas você ainda precisa acessar sistemas que não possam implementar
princípios de confiança zero, certo? É sempre
recomendável que você tenha seus girotrons uniformes, mas não vivemos em um mundo
perfeito, certo? Então, você terá coisas como aplicativos
legados ou
talvez tenha coisas que
não oferecem suporte, certo? Portanto, seus principais serviços
devem ser incluídos. Mas como ele chamou você, alguns aplicativos não conseguem
obter o benefício, certo? É aqui que entra a
situação. Então, vamos dar uma olhada no
que poderia acontecer. Então, em uma jornada que você gostaria, se estiver em uma jornada rumo à
arquitetura de confiança zero, descobrirá que alguns aplicativos não
são suportados. Eles não conseguem implementar princípios
de confiança zero, certo? E o que você pode fazer é analisar algumas maneiras de habilitar o acesso e, ao mesmo tempo ter os benefícios do Zero
Trust para todo o sistema. Como eu disse, chamamos
isso de estado misto. Eles podem ser muitos motivos, certo? Como nem todos os aplicativos de
serviços de sistemas podem ser integrados a
uma rede de confiança zero. E você não precisa abandonar todo o seu projeto de
confiança zero, certo? Às vezes, a
integração direta não é possível porque talvez o sistema incompatível com
tecnologias que permitem confiança zero ou
porque não é adequado. Se você se lembra, falamos sobre firewalls
anteriores não serem capazes de suportar políticas
dinâmicas. Talvez sejam incompatíveis
com um sistema de confiança zero. exemplo, um
aplicativo de serviço de sistema pode ser incompatível porque não oferece suporte a mecanismos de políticas, certo? É só um dispositivo idiota. Ele pode suportar políticas dinâmicas
ou não oferece suporte a
métodos de autenticação
modernos, ou não oferece suporte como SAML ou OT, como se fossem coisas que
geralmente são lançadas por
um mecanismo de políticas, mas por um mecanismo de confiança zero. E o que acontece é seu ponto
de aplicação da política. Ele passa esse documento de política, talvez um Docker, então
o dispositivo não o suporte, certo? Talvez não ofereça suporte a protocolos
seguros. Que as comunicações
não estão adequadamente protegidas, limitando a capacidade de conexão. Lembre-se de que falamos sobre que quando você está se conectando
ao plano de controle, ele precisa estar protegido, certo? Talvez esses produtos estejam
usando produtos obsoletos. Talvez as
vulnerabilidades do software existam, certo? E por causa disso,
sua confiança diminui ou talvez seja a mais comum Geralmente vejo que é um aplicativo
legado. Existe um método
de autenticação tradicional ou legado. Portanto, a autenticação deles está sendo gerenciada
pelo aplicativo. Portanto, é difícil se integrar
a uma arquitetura de confiança zero. Então, o que você faz agora? Quero dizer, você não pode simplesmente
abandonar e dizer:
Desculpe, não podemos implementar
confiança zero, certo? Não, esse não é o problema. Então, se você se lembra, falamos anteriormente
sobre variações
implantadas com confiança zero e falamos sobre um enclave, essa implantação é semelhante a colocar um
gateway lá, certo? É como se o gateway
estivesse
protegendo um recurso ou como um agrupamento
de recursos, certo? É um tipo de
compromisso dentro princípios do
Zero Trust,
porque tudo dentro do enclave é confiável porque toda a verificação foi
feita pelo gateway, certo? Portanto, isso representa uma forma de
implementar confiança zero em sistemas que não são totalmente
compatíveis, certo? Ele não é capaz de oferecer suporte total ao Zero Trust para
empresas que têm aplicativos
legados
ou sistemas de controle que não estão totalmente
sob seu controle, que não podem ter agentes
individuais. Então, existem portais,
esse para esse tipo de coisa. Você pode colocar algo como um
gateway e fazer isso. Mas lembre-se de que dentro
do recurso, sim, você precisa garantir
que o gateway seja a única maneira de
acessar esses recursos. E se alguém
ignorar, então sim, você teria que
comprometer a confiança zero quando falamos sobre as
ameaças que existem. Portanto, esse tipo de modelo seria muito adequado
em tal ambiente, mas como você faria para
aplicá-lo? Então é aqui que
entra a parte
prática da implementação e diz algo
chamado proxy de confiança zero. Isso pode ser algo
que você já tem. Talvez um de seus dispositivos de
firewall próxima geração
possa suportar isso. Talvez seja necessário comprar
um produto, mas sim, um proxy de confiança zero geralmente
é usado para mediar conexões em uma arquitetura de
confiança zero. E às vezes
pode ser usado em uma confiança
totalmente secreta, mas geralmente é usado em um estado
misto em que fica
entre seus usuários e
os sistemas são
aplicativos legados, certo? Os clientes, o usuário,
se conectarão ao proxy. E o proxy então
gerencia
o acesso ao aplicativo de acordo
com as políticas de confiança zero. Usando uma arquitetura de confiança zero, ela permite o
acesso seguro a aplicativos que não suportam
confiança zero. Então, como isso funcionou? Então, geralmente ele vem
em duas partes, como um servidor proxy e
o conector proxy. servidor proxy, ou seja, será o mesmo que o ponto
de aplicação da política. Ele controla o acesso
aos aplicativos. Ele se conecta ao algoritmo de
confiança zero, ao modelo Zero Trust, e pergunta: quais são
as políticas, certo? Para tomar decisões, a aplicação da
política, ela se comunicará
com o mecanismo de políticas. Então, uma vez que mecanismo
Zero Trust concede
acesso ao aplicativo. O proxy então encaminhará tráfego para o conector proxy, e veremos um diagrama disso. Então, é aqui que há um canal bidirecional seguro para o servidor proxy,
geralmente por meio de TLS. E é assim que basicamente
seus conectores você implantou
no ambiente. Então, os outros estavam gerenciando os acessos aos
aplicativos legados, certo? Então, é assim que você realmente
faria
isso dentro de um aplicativo.
Então, como seria? Seria
algo assim, certo? Assim, você pode ver os usuários se conectando ao proxy
de confiança zero. O proxy de zero a X
se conecta à fonte. Ele se conecta ao PDP,
onde obtém uma política. E com base nisso, para permitir a vertical, o servidor proxy, ele
tomará a decisão. Assim, quando o mecanismo de
políticas iniciar o acesso, ele encaminhará o tráfego
para o conector proxy. Então eu vou para o firewall e depois para o conector proxy. O conector proxy geralmente
tem um canal seguro, geralmente TLS, porque
você quer
ter certeza de que todo o tráfego está
incorreto, com taxa criptografada. E depois o conector, que
dá acesso. Então, os conectores
precisam ser implantados em um aplicativo
no local onde eles possam acessar os aplicativos, certo? E eles também podem acessar o proxy de confiança zero, você pode instalá-lo e estão conectados
em uma máquina separada. Geralmente, depende de
você como você
quer arquitetá-lo, certo? Mas o que é muito importante é que
todo o tráfego desse
aplicativo, esse legado, ele vai para o conector proxy e não há
atalhos porque você não
pode ignorá-lo usando algum outro protocolo ou
outro método de autenticação. Porque então, nas ameaças sobre as quais
falamos anteriormente, você estaria contornando a arquitetura
de confiança zero. Portanto, você precisa configurar
o aplicativo para aceitar conexões somente
onde está o conector proxy. E você pode aplicar
isso talvez
na camada de rede usando um
firewall, usando regras de firewall. Essas são as coisas que você
deve ter em mente. Então, quais são as coisas que
você deve
ter em mente ao implementar
um proxy de confiança zero. Então, uma coisa que você realmente
precisa entender é maioria das soluções de
proxy para roteadores estão restritas a um conjunto de aplicações de protocolos. Talvez alguns proxies suportem apenas protocolos como HTTP, HTTPS. E isso pode trazer
mais complexidade. Quando você recusou. Em alguns aplicativos ou legados, isso pode ser um problema, mas
não é compatível com a taxa do
protocolo. E, às vezes, o
proxy Zero Trust pode não ser escalável. Em aplicativos que existem tantos
aplicativos disponíveis. Talvez seja necessário instalar
um proxy para o aplicativo que possa
adicionar um custo, certo? E como você chama? Isso pode ter complicações
com a infraestrutura local. Talvez você tenha mais
suporte e manutenção adicionais. E você quer ter certeza de que
precisa dar uma olhada em como garantir que todo o tráfego seja roteado por meio do proxy de
confiança zero. Não há atalhos.
Eu continuo adicionando isso porque isso é
muito, muito importante porque
isso contornará todo
o
engenheiro de confiança zero, certo? Você precisa fazer
mais configurações, novas regras de firewall. Portanto, você quer
ter certeza de que o tráfego está limitado apenas ao proxy. Como o proxy de confiança zero está agindo como um ponto de
aplicação da política, ele garante que somente
o acesso seja bom lá. Portanto, essa é uma boa
solução para a maioria
das vezes em que você tem aplicativos
legados. Mas certifique-se de
ter suporte a protocolos. E se ele pode ser dimensionado para o número de aplicativos
em seu ambiente. Não saia e
compre um proxy de confiança zero sem verificar se
essas coisas são muito fáceis, apenas
desperdiçando dinheiro, certo? Então era disso que eu
queria falar sobre homens. Quais são as principais conclusões? prática, em
um cenário real, alguns ambientes podem não suportar totalmente
os princípios do Zero Trust. E os proxies proxy de confiança zero
podem ajudar nesse cenário. Apenas certifique-se de que os protocolos sejam suportados e
funcionem em seu ambiente. Espero que tenha sido
útil para vocês. Estou apenas tentando
manter esse curso o mais prático possível. Eu não quero te dar
uma imagem otimista disso. Tudo funcionará magicamente. Saiba que você enfrentará esse
artista e é assim que você será capaz de
acomodar tais situações. Ok, então estamos quase chegando ao final deste
curso, agora vamos falar sobre o
roteiro para a confiança zero. Então, no momento,
analisamos mais como
implementar arquiteturas, mas como considerar a confiança zero
como um projeto adequado. Quero falar sobre isso e nos vemos na
próxima aula, pessoal. Muito obrigado.
13. Implementando Zero Trust: Oi amigos. Agora, gostaria de entrar na
última parte do nosso curso. E agora vamos falar sobre
a implementação
real do
Zero Trust como um projeto, como um órgão chamado de roteiro. Por exemplo, como você realmente
considera isso um projeto? Ok, espero que
você já tenha entendido zero-trust como
implementá-lo. Quais são os desafios? Mas como você começa, certo? Qual é o processo? Então,
lembre-se do que eu disse antes: Zero
Trust é uma jornada. É um investimento
de tempo e dinheiro. E você precisa
entender suas organizações, como as prioridades
arquitetônicas. Além disso, você
precisa realmente justificar isso como um projeto estratégico
em seu ambiente. E ao iniciar sua jornada,
você precisa fazer pequenas,
pequenas implantações
e vitórias táticas para mostrar o valor
agregado, certo? E fazer isso realmente ajudará a mostrar o valor
de sua confiança zero. Isso criará impulso e
suporte internamente, certo? Você precisa identificar vitórias
táticas dentro da estrutura de sua arquitetura de
confiança zero. Ao fazer isso, você
poderá mostrar à
gerência há benefícios chegando e eles apoiarão você
neste projeto, certo? Cada uma é bem-sucedida ou tática ,
quando abrirá cada
vez mais apoio para você. Não tente fazer uma abordagem do
big bang, que levará
cerca de 18 meses e dinheiro será
como voar para longe. O tempo vai passar. E as pessoas que estão pensando, por que estou perdendo tempo com isso? Ok? Então, o Zero-Trust Planted começa. Isso pode se tornar muito avassalador. As pessoas podem estar
pensando, oh meu Deus, como vou
implementar isso? Portanto, você realmente precisará pensar confiança zero como um destino. É uma jornada, certo? Desculpe, não pense
nisso como um destino. Pense nisso como uma jornada
que precisa ser abordada sistematicamente
e revisitada, certo? Para percorrer essa jornada, implante o Zero Trust adequadamente. Você tem que fazer isso, como identificar um plano de ação e
depois como uma estrutura para ele. Caso contrário, você
ficará sobrecarregado, certo? Dentro. Se você estiver trabalhando em um ambiente
completamente novo por meio de
um ambiente totalmente ecológico, é possível construir arquitetura
de
confiança zero do zero, certo? Supondo que a empresa de
intérprete candidata conheça os fluxos de trabalho
dos serviços de aplicativos, ela pode produzir uma arquitetura baseada nos princípios de Zero Trust. E ele pode se restringir e dizer:
Ok, isso é o que eu
quero implementar. Essas outras
coisas que eu quero fazer. Mas, na maioria dos casos, não
é um
ambiente Greenfield, é um ambiente existente. E você precisa começar a
implementá-la
de dentro de um ambiente
existente em que a segurança já existe. E então você precisa
começar a pensar,
ok, onde eu coloco os mecanismos
de autenticação? Onde eu preciso fazer a
microssegmentação? De que tipo de pessoa eu preciso? Então é aqui que você precisa realmente começar a pensar no
Zero Trust como um projeto. Não vá em frente e
comece a fazer mudanças. É um projeto. Ele
precisa ser orçamentado. Ele precisa ter
atualizações constantes ou um comitê adequado. Não é um show de um homem só. Você começaria a
fazer isso assim. Como se estivesse tratando isso
como um projeto técnico. Quase posso garantir que não
será bem-sucedido. Ok, então quais são
os desafios Se você se lembra, discutimos
isso logo no início. Quando você fala sobre confiança de
líderes, quais são os desafios
que surgirão bem? Bem, antes de tudo,
você precisará ter um inventário detalhado
de seus aplicativos, seus conjuntos de dados, dispositivos,
redes, certo? Porque você precisa gostar porque muitas mudanças
podem ser necessárias, certo? Mudanças arquitetônicas significativas podem ser necessárias. Você precisa ter recursos financeiros e
não financeiros para
apoiar a implementação do programa de confiança zero a longo prazo, que
precisa ser orçamentado. Posso garantir que alguns
custos existirão. Não acho que
será gratuito, certo? E você realmente precisa ver, então você é chefe
de segurança cibernética? Eles precisam se comunicar claramente com os executivos de negócios por meio mudanças na arquitetura
de segurança que estão sendo introduzidas.
Quais são os benefícios? Porque uma mudança de
mentalidade é necessária, certo? E precisa do apoio de sua gerência para
ter sucesso. E os benefícios podem não ser imediatamente
aparentes, certo? Se você, como eu disse, se
você fizer uma abordagem de big bang, talvez não consiga
mostrar quais benefícios virão se você fizer isso,
pequeno e tático, Vince, você precisa identificar
isso, certo? Então, como você começaria? Bem, vendo
isso como um projeto, você precisa obter a adesão da taxa
de gerenciamento. E você precisa entender,
mapear o ambiente. Estas são as cinco
etapas que eu daria para conseguir a adesão, entenda o metano. Os romanos introduzem lentamente
os mecanismos de controle e, em seguida, implementam o modelo de
confiança zero , o
mantêm, monitoram
e melhoram. Ok? É assim que você
faria, certo? E para que seja adequadamente
bem-sucedido com base em todos os projetos em que as pessoas realizaram essas
outras melhores práticas. Portanto, o primeiro passo é
muito, muito importante. Por favor, não ignore isso. Obtenha a adesão da gerência, obtenha a adesão do seu CTO, CIO. Obviamente, provavelmente
será a parte interessada nisso. Mas sim, você precisa
garantir que sua liderança, profissionais de
TI e toda a equipe estejam envolvidos no desenvolvimento
e na implementação. Por quê? Porque é um compromisso de
longo prazo. Muito dinheiro vai acabar. É preciso priorizar. Muitas mudanças
vão acontecer. Você precisa realizar
workshops mostrando o
que, o que vai acontecer. Caso contrário, você
enfrentará desafios e obstáculos
durante a implantação. Queria que a expiração entrasse em ação. As pessoas
resistirão à mudança. Para garantir que todas as
partes interessadas sejam capazes. E uma forma de
participar de um projeto de confiança zero. Você precisa ter certeza de
comunicar os princípios do Zero
Trust. Descubra o que você já
tem, o que precisa fazer. Mas apresente sua gestão
com a estratégia Zero Trust. Isso pode ser desenvolvido como
uma estratégia para toda a empresa com todo o comitê com funções e responsabilidades. E tente evitar a discussão
diferente sobre tecnologia. Não pense nisso, por favor,
não o apresente como Ok, precisamos implementar
este produto, certo? Pense nisso como uma estratégia
e explique como isso é fundamental para os benefícios de
segurança de sua estratégia de
longo prazo. E garanta que eu possa garantir que as mudanças
que virão, as mudanças disruptivas
quando você implanta um novo modelo de segurança, não
serão bem-vindas. Muitas pessoas podem ser
resistentes à mudança. Eles podem estar gritando e
por que isso está acontecendo? Por que de repente o MFA está
surgindo, por que isso está acontecendo? Você precisa fazer isso corretamente. É por isso que conseguir a
adesão é tão importante. O próximo passo é entender
o meio ambiente. Um dos principais requisitos de uma
arquitetura de confiança zero: você precisa
identificar e gerenciar os usuários dos
dispositivos, certo? Então, como você correria se
não soubesse, certo? A capacidade de conhecer e
gerenciar ativos corporativos é fundamental para a implantação
bem-sucedida de uma arquitetura de confiança zero. Seja hardware, laptops, telefones, dispositivos de
IoT,
artefatos digitais, usuários, certo? Portanto, talvez não seja possível fazer um inventário
completo. Portanto, você deve
pensar em como obter esse inventário para ter o
existente e o novo. Não é apenas o caso de
criar um pessoal associado, você precisa ter essa
capacidade. Você pode ter contêineres, ativos
virtuais. Então, porque todas
essas informações irão para o ponto de
aplicação da política, certo? Você pode ter o Shadow IT,
que você não conhece. Então, todas essas coisas
serão necessárias. Você pode ter BYOD, usuários
remotos,
parceiros, tudo
isso, então,
o que você pode fazer? Qual é a aparência de seus
usuários existentes? Você pode pensar em usar ferramentas e talvez seu login único forneça uma
lista completa de todos os seus ativos. E talvez você tenha uma taxa de gerenciamento de dispositivos
móveis. Você pode identificar que
os usuários estão lá. Então, pense em quais outras coisas
você deveria conseguir. Talvez do seu
diretório de usuários, seu aplicativo antigo. Talvez você já
tenha uma ferramenta, certo? Ferramenta de gerenciamento de configuração, que fornece o ativo
completo, seu pessoal de TI o
ajudará aqui. Então, faça isso. Então, o próximo passo será
realizar uma avaliação de risco, que já sempre faz
parte de qualquer grande projeto. Isso ajudará você a
identificar o que você pode e não pode mitigar como parte de sua
arquitetura de confiança zero. Lembre-se de que falamos sobre
algumas coisas que podem não estar implementadas e isso pode ajudar você a identificar o que
já está funcionando como uma medida
de segurança à sua direita. Você faz isso desde o início. Vai ser ótimo. Isso
ajudará você a identificar quais são os riscos que não podem ser mitigados com uma arquitetura
de confiança zero. Porque se você começar
a implementar plano
sério de confiança zero e sem realizar
uma avaliação de risco, garanto que você enfrentará problemas
no futuro, certo? Então, alguns de seus controles
de segurança existentes podem precisar salvar alguém
para ser alterado, certo? É aqui que seu
inventário ajudará. Mas, ao fazer isso, você terá uma visão clara sobre
como implementar. Isso ajudará você a identificar o que é, o que priorizar, certo? Talvez você tenha filiais de
trabalhadores remotos. Eles terão precedência. Isso ajudará você a
definir o escopo. E isso pode ajudar você a identificar qual tecnologia já existe, quais licenças você já tem. Lembre-se sempre de que nenhuma empresa está começando do zero
com confiança zero.
Você terá práticas
de segurança existentes, Você terá práticas
de segurança existentes como
autenticação multifator. Você só precisa encontrar a
unidade aqui. Talvez você precise ver
a documentação que você tem e tudo mais, certo? Então, essas são as coisas quando você começa a implementar
seus controles. Portanto, faça uma
avaliação de risco e, em seguida , observe
lentamente quais
controles existem. Agora, você pode, agora você tem
um fêmur adequado lá. Agora você pode começar a
implementar sua confiança zero. Você completou suas fases iniciais. Agora você pode começar a implementar seus princípios de confiança zero. Lembre-se, é um
projeto isolado, não é um grande banco. Você precisa garantir
que a equipe esteja ciente. Talvez você esteja implementando
um foxy de confiança zero. Talvez você esteja implementando
um ponto de aplicação de políticas para tomar decisões
inteligentes sobre mudanças. Agora, as pessoas precisarão de MFA se
estiverem se conectando a partir de
um dispositivo pessoal, esse tipo de coisa, certo? Então, como parte de sua estratégia, pense em coisas
como seu Alabama, que seu roteiro deveria
ser de propriedade do CISO? Não está gravado em pedra, certo? Não é como se
não pudesse ser mudado. Talvez você possa dar uma olhada e
descobrir essa nova tecnologia, pois existem
recursos de segurança
aprimorados. Ele precisa estar alinhado com
a estratégia geral e as melhores práticas para fazer isso em etapas e aumentar a escala com o tempo. Portanto, você deve implantar. Considere a implantação de tecnologias
e processos do Zero
Trust em casos de uso
pequenos, para que a equipe
entenda por que essas
coisas estão acontecendo dessa maneira. E da mesma forma, se
entrarem e garantirem que a gangorra seja
responsável por supervisioná-la
e entregá-la. Então você tem um oficial sênior. Se você simplesmente assumir
a
responsabilidade de implementar cores de
confiança zero, oficial de segurança
júnior, as pessoas resistirão e
não o ouvirão, certo? Tem que ser propriedade de
outro nível de gangorra. Certo? Agora. Implementamos alguns dos princípios
do Zero Trust. Sim, é hora de manter
e melhorar o modelo. Então, como eu disse, é uma jornada contínua. A abordagem
precisa ser zero de confiança. Você precisa desafiar e ser
avaliado constantemente. Você precisa ter certeza de
que está obtendo informações sobre quais tecnologias
estão acontecendo, quais ameaças estão
acontecendo para que seu modelo de confiança zero
continue mudando. Você precisa, você pode considerar a implementação de novas tecnologias, novos produtos agora, certo? Como a IA e o
aprendizado de máquina, que podem colocar
quais controles que
não estão disponíveis na biometria, falaremos sobre eles posteriormente. Mas é aqui que você mantém e aprimora o modelo ao longo do tempo. E acredite em mim, da primeira
vez não será tão bom. Você gostou, isso, você vai
melhorar cada vez mais. Confiança zero. Esta é a
nossa obra Zero Trust. Então é sobre isso que eu
queria falar com vocês. Zero Trust é uma jornada. Pode ser um projeto de vários anos
e vários domínios. E governos
em todo o mundo estão implementando isso, ordenando que as agências
façam o mesmo. E isso não está surgindo de forma
muito, muito proeminente
no setor
privado e em todo o mundo. confiança zero
é praticamente o padrão de fato agora para novos tipos
de modelos de segurança Trate-a como um projeto. Ele será implementado,
você receberá desafios, você obterá
resistências inicialmente. Não se preocupe com eles. Então, espero que isso tenha sido
útil para vocês. Agora vamos
ver a iluminação. É o último que
são os modelos de maturidade. Como você sabe onde você se encaixa no menu que implementa o
zero-trust? Em que palco você está? Como você sabe? Por exemplo, o quanto o
Zero Trust tem maduro? Como eu aludi? Sabe onde eu estou? Então, vamos falar sobre
isso, dê uma
olhada nos modelos de maturidade do Zero Trust, que podem ajudá-lo a
avaliar sua posição. Pode haver vários modelos de
maturidade presentes facilmente. Você pode dar uma olhada e ter uma boa ideia de onde você estava. Ok, então,
obrigado , pessoal, e nos vemos
na próxima aula.
14. Modelos de maturidade Zero Trust: Oi pessoal. Então, estamos quase no
final do nosso curso. E nesta lição,
falaremos
sobre os modelos de maturidade do Zero Trust. Agora que você falou,
vimos como a jornada do Zero Trust
funcionaria em sua empresa, certo? Como você
implementaria na prática um
modelo de confiança zero em sua empresa? Agora, nesta lição, quero voltar ao modelo de
maturidade, por exemplo, como
descobrir o quão boa é
sua confiança zero, onde você está, onde
você se encaixa? Quero dizer, você começou a
implementar a confiança zero, certo? Talvez você esteja há seis
meses na jornada, um ano na
jornada, você
quer saber onde,
onde estou, certo? Não. Sou bom e meu mal? Sou meio madura? Estou bem no começo? Como faço para descobrir? Então é aí que entram
os modelos de maturidade. Lembre-se de que, como uma jornada
contínua para
abordar a abordagem da confiança zero, ela precisa ser avaliada e
desafiada constantemente, certo? Então você tem que gostar
de ser um C, então você precisa entender sua estratégia
interior de Zero Trust e descobrir se é
realmente bem-sucedido ou não. E você precisa procurar maneiras de melhorá-lo continuamente, certo? Você deve descobrir onde estão as
lacunas e como você faz isso? Uma das maneiras mais fáceis de fazer
isso é adicionar um modelo de maturidade de
confiança zero. Isso responde à pergunta: como eu sei o quão boa é minha postura de
transporte zero? E há muitos, muitos modelos de
maturidade presentes. Basicamente, ele informa onde está
sua arquitetura de confiança zero, onde você está, perguntará quais
controles você está implementando e em qual
etapa da jornada. O bom é que eles
não faltam modelos
de maturidade do Zero Trust. Vou dar uma olhada em dois
dos mais comuns,
mas, honestamente, você pode
dar uma olhada e encontrá-los. Então, uma coisa é a Microsoft. Então,
a Microsoft documentou toda a
jornada da confiança zero, semelhante à do Google, como falamos anteriormente, certo? E eles também diziam que
empresas diferentes têm diferentes
implementações de tecnologia e estratégias de segurança. Todos eles impactam como
o modelo de segurança retrô
será feito da maneira certa? Então, com base em sua própria
experiência em ajudar
os clientes a proteger
suas organizações e implementar a confiança zero. Eles desenvolveram um modelo de
maturidade para ajudar você a avaliar sua prontidão de confiança zero
e criar um plano, certo? Eles têm vários
quando ele chamou de fases. Concentre-se em várias áreas, como segurança de
dispositivos e identidade. Então, você pode
dar uma olhada
e, na verdade, em vez de
eu falar sobre isso, que eles têm uma ferramenta gratuita
que é muito legal. Eles analisam identidades, endpoints,
infraestrutura de aplicativos e rede de dados. Eles avaliam a maturidade
em todas essas ferramentas. Então, podemos,
no final da aula, dar
uma olhada e preenchê-lo identidades e endpoints e ver que tipo de
feedback eles dão. Normalmente, é mais
voltado para uma caixa da Microsoft, mas, honestamente, usei essa ferramenta e os conselhos
que dela resultam. Você pode
usá-lo praticamente em qualquer ambiente. É muito fácil fazer isso. Então, é possível fazer,
e você pode fazer isso. E se a Microsoft não é sua xícara de chá, você pode
ver outras coisas. Além disso, existe uma Agência de Segurança Cibernética e
de Infraestrutura nos EUA. Eles são como você pode imaginar. Eles fornecem apoio
às agências federais. Dentro dos EUA. Eles fornecem apoio
para agências
de segurança, como no governo dos EUA . E eles forneceram um
excelente modelo de
maturidade do Zero Trust. É como se seu modelo
de maturidade Zero
Trust baseado em dispositivos de identidade, rede,
aplicativos
e dados semelhantes aos da Microsoft, certo? Mas o que eles fazem é que eles
também o dividiram. E então, na verdade, eles são
um dos mesmos caminhos. Eles disseram que essa é uma
das partes que você pode fazer para fazer a transição para a confiança zero. E o que eles fazem
é assim que parece que
eles tradicionalmente
avançaram e
otimizaram e os dividiram. Você pode dar uma olhada nessa
matriz. Você pode dividir isso. Eles o dividiram
em toda a linha. Então, para identidade, isso é o que tradicionalmente seria e
o que seria avançado, o que seria ideal com o dispositivo anterior. Isso é o que tradicionalmente
seria avançado. O tradicional seria
como se tudo fosse manual. Avançado seria algo em que você tivesse visibilidade centralizada; o ideal seria uma taxa de
otimização total. Então, é muito legal. Quero dizer, eles
também reconhecem que isso exige
tempo e investimentos. Então essa é a razão pela qual
eles recomendaram uma abordagem em três estágios, certo? Então, na arquitetura tradicional de
confiança zero é basicamente como eu
disse, manual, certo? Em vez de automatizado,
o ponto de partida, o laser é caracterizado
por procedimentos manuais, política de segurança
nominal, fiscalização
limitada, certo? E principalmente implementado manualmente. arquitetura Zero Trust e Zero-Trust
seria que você começasse a obtê-la e
melhorá-la. Se você o colocasse de forma
centralizada, gerenciasse melhor a aplicação de políticas e
dependências mais específicas automação, fosse aprimorado quando você chama os procedimentos de mitigação
, o último seria o ideal. O ideal seria a
automação total na maioria dos elementos da infraestrutura
de segurança. E você tem um melhor
alinhamento centralizado. Mas ele ligou para informações sobre ameaças. Em cada estágio, ele contribui para a progressão geral para uma arquitetura Zero
Trust forte e segura. E eles visitam,
nesses cinco minutos, uma
ferramenta muito excelente. Estou usando isso. Então, além desse ponto eu não falei e os EI
são muito difíceis de entender hoje em dia, que são GPD e tudo mais, novas tecnologias e confiança zero. Então você tem que ser realista. Quero dizer, a inovação continua transformando
a TI, certo? Você tem novidades no
chat GPT de hoje, tomate para ser
outra coisa, certo? Então você tem que
pensar em coisas como eu dei o exemplo
de biometria, IA e aprendizado de máquina. Todos eles desempenham um papel fundamental no apoio aos fundamentos
da confiança zero, certo? Impressão digital facial, reconhecimento de
voz. Você pode usar isso
para autenticação. E a IA pode ser usada para
automatizar a detecção de tendências semelhantes. A longo prazo. As empresas começariam a implementar
essas ferramentas, certo? Você tem que tentar evitar o hype em torno
dessas tecnologias. E antes de tudo, eu sempre recomendo dar uma
olhada no que
já temos em vez de optar pelo próximo
produto brilhante, certo? E lembre-se de que qualquer pessoa que venha até
você e diga que implementar esse único
produto disposta a Zero Trust, acredite em mim, isso é
completamente falso. Cada solução
precisa funcionar em sincronia com as outras tecnologias em seu ambiente
para garantir que o
modelo de confiança zero completo exista. Mas lembre-se de que a implantação da confiança zero deve acompanhar as
novas tecnologias e
a transformação do setor
de tecnologia, certo? Por exemplo, você pode mudar para a nuvem. E isso significa que
as empresas estão armazenando seus ativos e dados
fora do perímetro. Portanto, seria
difícil aplicar uma única nuvem posterior, certo? Mas a postura de segurança, da mesma forma os dispositivos de
IoT,
se chegarem , pode ser um desafio
do ponto
de vista da confiança zero, porque é muito difícil obter
visibilidade sobre a
IoT e
tudo certo? Então, todas essas
coisas, como você pode imaginar fazer um inventário de dispositivos de IoT ou difíceis,
isso mesmo. Então, todas essas
coisas que você deve ter em
mente, continuar
fazendo isso, beijos, correndo e vendo essas várias vezes dentro
da maturidade. Então, isso é basicamente um guia. Essa foi a última
palestra desse curso. Lembre-se de que a confiança zero amadurece como qualquer outro modelo de tecnologia em
que você tenha recursos. Não pense que você vai
ser o melhor no primeiro dia. Mas os modelos de maturidade são
uma ótima maneira de descobrir, escolher um e
usá-lo. Consistência. Use-o para descobrir onde
você está, de onde você gosta
do vídeo atual e use-o para avaliar seu
processo e usá-lo como uma forma objetiva de
descobrir o que você está fazendo. Então, vamos fazer uma avaliação simulada. Também vou usar o
testamento da Microsoft apenas para mostrar como ele funciona
e quais são algumas das coisas boas que você
pode obter com isso, certo? Então, vamos dar uma olhada nisso
e nos vemos lá. Oi pessoal. Então, como eu disse, eu
queria apenas fazer uma avaliação simulada rápida
apenas para mostrar como
você pode usar
algumas ferramentas gratuitas
na Internet e fazer uma avaliação
básica. Então, isso é basicamente a Microsoft. Eles têm um pequeno
questionário muito bom sobre sua postura de segurança de confiança zero e podem fornecer
algumas descobertas muito boas. Não quero que você a use
como uma ferramenta profissional, mas é uma maneira
excelente de descobrir que eles não
coletam dados confidenciais. Eles não recebem nenhuma
PII nem nada. Eles não pedem que você
envie nenhum documento. Eles apenas fazem algumas
perguntas básicas e fornecem as melhores práticas que
você pode usar como ponto de partida, você sabe, para descobrir
lacunas em sua rede. E embora eles tenham se concentrado
um pouco mais em ser como uma loja da Microsoft
, você pode pegar essas descobertas e
aplicá-las em qualquer lugar. Então, como você pode ver, eles se concentraram em identidades, endpoints, aplicativos ,
infraestrutura,
dados e redes. Então, eu só queria
te mostrar que vamos dar uma olhada. Deixe-me tornar isso menor. Sim. Ok. Então, vamos começar com identidades. Então, esta é a casa e você pode
selecionar uma categoria. E aqui vamos nós. Vamos nos concentrar nas identidades, como já falamos
várias vezes antes. Você pode fazer da
governança de identidade o foco da Zero Trust e focar
sua estratégia nela. Então, como você ativa a autenticação
multifator? Posso dizer que alguns usuários talvez por meio de, acabamos de começar, certo? Mas alguns deles
estão habilitados para
autenticação sem senha para seus usuários, podemos dizer que,
como você pode ver, eles se concentram mais novamente, porque são mensagens de texto. Qual supervisão de seu
grupo de usuários, qual Login Único, ok, então aqui você ainda pode reunir praticamente todo mundo,
exceto talvez parceiros. Quais das seguintes políticas de
segurança eles estão usando para tomar decisões, acessar fontes
corporativas, como você pode ver agora, elas não mencionam
especificamente o ponto de
decisão política ou os PEPs, mas sim, é disso que
estão falando. Então, podemos ver tudo bem. Talvez o corretor de
segurança de acesso à nuvem. E é isso. Talvez não estejamos
usando o AMD e Soviet, não usando dispositivos. Se você ainda não
começou a usá-lo. Você desativou a Autenticação
Legada? Saiba por que eles são absolutamente
porque lembre-se, você pode usar isso para contornar
o processo de tomada de decisão. Você está usando o acesso
do usuário em tempo real e quando a avaliação do acesso ocorre,
ok, podemos dizer que sim. Quais das seguintes
tecnologias você integrou às suas soluções de gerenciamento de identidade e acesso? Novamente, você me segue
por que eles estão perguntando. Essa é a razão pela qual eu
gosto muito porque eles não o
tornam muito técnico, mas estão fazendo
as perguntas
do ponto de vista da aplicação da política e do PDP, podemos dizer, ok, talvez
as outras não tenhamos. Ok. Qual dos
seguintes contextos está usando a política de acesso? Lembre-se do que você
falou, certo? Você precisa obter essa visibilidade. Então, no momento, talvez
eles estejam recebendo usuários e não estejamos analisando o banco de dados SAM de risco de
login. Identidade, pontuação segura de identidade. É como uma pontuação de risco que você obtém da Microsoft
em azurita, ela analisa vários
fatores e tudo mais. Então, eu diria que não, talvez
não tenhamos a
licença ou algo assim. Então, o que acontece? Como você pode dizer, agora, é
isso que eles fornecem uma lista de descobertas priorizadas. Espero que eles
forneçam uma lista de descobertas
priorizadas
e o porquê. Ele é considerado uma das conexões
roubadas e substituídas. Por que habilitar a autenticação
sem senha e melhorar sua pontuação de
segurança de identidade. Para o manual. Você pode ver que, na verdade, é possível preencher completamente
um manual completo
da Microsoft. Então essa é a razão pela qual
é tão bom, certo? Vamos dar uma
olhada nos endpoints também. Nossos dispositivos registrados para seu provedor de identidade
sabem que não podem de forma consistente, nem consistente.
Vamos dar uma olhada. Sim, podemos dizer que os dispositivos
gerenciados são totalmente
compatíveis com a TI. Políticas de configuração. Tipo, eles gostam de índios ou
algo parecido, certo? Você tem um modelo para os usuários
se conectarem e organizarem? Devem ser fontes
de dispositivos não gerenciados. Saiba que você vai
fazer isso, mas não, não, não de forma consistente. Não podemos controlar que
os parceiros apliquem política de prevenção de
dados em todos os dispositivos
gerenciados e não gerenciados. Então, provavelmente temos dispositivos gerenciados
, mas não não gerenciados. Então você pode ver de forma não consistente. Você ativou a detecção de ameaças
de terminais implementada para permitir a avaliação de riscos
do dispositivo em tempo real? Podemos dizer que talvez alguns dispositivos. Novamente. Você pode ver agora ,
novamente, que isso fornece descobertas de
boas práticas e outras. Novamente, está
mais focado na Microsoft. Mas você pode realmente
usar isso e aplicá-lo porque a pergunta
é muito simples, o que ele chamou de simples
e pode ser aplicada a qualquer fornecedor de
tecnologia. Então, eu só
queria mostrar a vocês que vocês encontrarão muitos,
muitos questionários semelhantes. Você pode usar uma gangorra e eu não
sei se eles têm
a ferramenta para isso. Mas você achará algo parecido. Gosto da Microsoft porque
é muito parecida com a forma como
o fluxo acontece. É muito, não
sobrecarrega você. E oferece as melhores práticas. E isso direciona você
para os recursos. E mesmo que você não tenha esses recursos, você
não é uma loja da Microsoft. Na verdade, você pode mapeá-los para outros fornecedores
terceirizados ou outras ferramentas nativas que outras ferramentas nativas que
possam ser usadas para aplicar a abordagem de confiança zero.
Pessoal, espero que tenha sido útil para vocês e nos vemos na
próxima lição. Obrigada.
15. Resumo: Ok pessoal, parabéns, vocês finalmente chegaram
ao final deste curso. Sei que foi uma longa
jornada, mas
espero sinceramente que você tenha entendido melhor o Zero Trust, como implementá-lo e como
a arquitetura funciona. E tive sucesso
em ensinar um pouco sobre confiança zero se você estivesse
começando do zero. Então, uma coisa que eu
gostaria de dizer a vocês confiança
secreta não é
ir a lugar nenhum com seus olhos ou trabalhar remotamente
e ameaçar ataques cibernéticos. As empresas estão
constantemente
buscando melhores estruturas de segurança. E a confiança zero lhes dá
essa garantia. Jardineiro. Eles fizeram uma
pesquisa recente e disseram que, até 2025, pelo
menos 70% das novas implantações de acesso remoto
serão atendidas por uma arquitetura de rede de confiança zero,
em vez de dispositivos VPN. Isso
vai aumentar, acredite, com a implementação da ordem executiva
do governo
dos EUA ou das agências
federais. Considere que Trotsky é o
futuro da cibersegurança. Portanto, é ótimo que você tenha dado passo agora mesmo ao
fazer este curso. E espero que você tenha obtido algumas
informações boas e valiosas que você possa aplicar a elas. Ok, então lembre-se do
que eu te disse. Por favor, não pense que confiança
zero é um conceito muito
poderoso, mas não
caia no hype. Não se apaixone por produtos, certo? Portanto, a confiança zero é
baseada em princípios. E esses princípios você
precisa transformar em um
plano de ação adequado, baseado em medidas concretas que
você deve tomar, certo? Lembre-se de que é uma jornada. Não pense que você vai
ser perfeito no primeiro dia. E, lentamente,
implementou o Zero Trust. Então, em vez
de ser um destino, a
transição para a confiança zero
deve ser vista como uma jornada em
que todos participam dela. E você está constantemente
desafiando o modelo, procurando como
torná-lo mais eficiente. Mas depois de fazer isso, você
definitivamente não vai querer
voltar ao modelo tradicional de segurança
perimetral, ok? Lembra disso? Tem que ser iterativo passo a passo. Você
vai melhorá-lo. Então, parabéns
pessoal,
muito obrigado por fazerem
esse curso e por me
ouvirem falar
por 2 horas ou algo assim. Muito obrigado por isso. Se você achou este curso útil, deixe uma
avaliação que realmente ajudaria. Espero que isso
me dê algum feedback. Então você pode se conectar comigo. No LinkedIn, eu tenho um canal
no YouTube ou algo parecido. E então, no meio,
isso realmente
ajudaria a lembrar o projeto
que você precisa fazer. Faça esse projeto e
o estudo de caso, me
dê algum feedback. Eu adoraria que
ele ficasse em contato com todas as minhas pessoas que frequentam meus
cursos, me
dessem um feedback concreto
e saíssem, ficassem em contato. Muito obrigado pessoal, e nos vemos no próximo curso. Tenha cuidado e boa sorte em
sua jornada de Zero Trust.