Masterclass de confiança zero - do iniciante ao domínio | Taimur Ijlal | Skillshare
Menu
Pesquisar

Velocidade de reprodução


  • 0.5x
  • 1x (Normal)
  • 1.25x
  • 1.5x
  • 2x

Masterclass de confiança zero - do iniciante ao domínio

teacher avatar Taimur Ijlal, Cloud Security expert, teacher, blogger

Assista a este curso e milhares de outros

Tenha acesso ilimitado a todos os cursos
Oferecidos por líderes do setor e profissionais do mercado
Os temas incluem ilustração, design, fotografia e muito mais

Assista a este curso e milhares de outros

Tenha acesso ilimitado a todos os cursos
Oferecidos por líderes do setor e profissionais do mercado
Os temas incluem ilustração, design, fotografia e muito mais

Aulas neste curso

    • 1.

      Apresentação

      13:43

    • 2.

      A necessidade de confiança zero

      11:02

    • 3.

      Confiança zero - uma breve história

      9:41

    • 4.

      Prós e Contras de Confiança Zero

      10:23

    • 5.

      Princípios básicos de Confiança Zero

      17:37

    • 6.

      Padrão do NIST

      19:13

    • 7.

      Cenários do NIST - 1

      17:25

    • 8.

      Cenários do NIST - 2

      8:50

    • 9.

      Ameaças a confiança zero

      12:00

    • 10.

      Estudo de caso 1

      16:52

    • 11.

      Estudo de caso 2

      3:53

    • 12.

      Falta de suporte

      9:08

    • 13.

      Implementando confiança zero

      11:34

    • 14.

      Modelos de maturidade de confiança zero

      12:09

    • 15.

      Resumo

      2:21

  • --
  • Nível iniciante
  • Nível intermediário
  • Nível avançado
  • Todos os níveis

Gerado pela comunidade

O nível é determinado pela opinião da maioria dos estudantes que avaliaram este curso. Mostramos a recomendação do professor até que sejam coletadas as respostas de pelo menos 5 estudantes.

36

Estudantes

1

Projetos

Sobre este curso

O Zero Trust é um dos conceitos mais rápidos emergentes na arquitetura de rede moderna. Este curso abrangente foi projetado para fornecer um profundo entendimento da arquitetura de Confiança Zero e sua implementação em organizações modernas do zero. Os alunos aprenderão os princípios, componentes e as melhores práticas para projetar e implantar um modelo de segurança de Confiança Zero para proteger efetivamente os recursos e minimizar os riscos com base no padrão SP 800-207 do NIST

O que você vai aprender

  • Os princípios e componentes fundamentais da arquitetura de Confiança Zero

  • A importância do Confiança Zero na rede moderna e seus benefícios e desafios

  • Componentes principais, como ponto de decisão de diretiva (PDP), ponto de execução de políticas (PEP) e proxies de confiança zero

  • Orientações do NIST SP 800-207 para implementar uma arquitetura de Confiança Zero

  • Avaliar e melhorar a maturidade de Confiança Zero em uma organização

  • Aplicações práticas e estudos de casos de implementações de Zero Trust no mundo real

Esboço de cursos

1. Introdução ao Confiança Zero

  • O que é a Confiança Zero ?

  • Por que a Confiança Zero é importante?

2. O padrão do NIST para Confiança Zero

  • Princípios principais do padrão de Confiança zero conforme o NIST SP 800-207

  • Diferentes implantações da Arquitetura de Confiança Zero conforme o NIST SP 800-207

  • Estudos de caso mostrando a implementação de arquitetura de Confiança Zero

3. Roteiro para Confiança zero

  • Implementando a Confiança Zero em uma empresa

  • Desafios principais para superar

  • Como avaliar a maturidade de uma implantação de Confiança Zero

Quem deve fazer este curso

Este curso foi projetado para qualquer pessoa interessada em melhorar a segurança de seus sistemas e aplicativos, incluindo:

  • CISOs

  • Profissionais de risco

  • Profissionais de segurança na nuvem

  • Arquitetos de segurança

  • Qualquer pessoa interessada em aprender sobre Confiança Zero

Pré-requisitos

Este curso pressupõe uma compreensão básica de sistemas de computador e software, mas nenhum conhecimento prévio do Zero Trust é necessário.

Conheça seu professor

Teacher Profile Image

Taimur Ijlal

Cloud Security expert, teacher, blogger

Professor
Level: All Levels

Nota do curso

As expectativas foram atingidas?
    Superou!
  • 0%
  • Sim
  • 0%
  • Um pouco
  • 0%
  • Não
  • 0%

Por que fazer parte da Skillshare?

Faça cursos premiados Skillshare Original

Cada curso possui aulas curtas e projetos práticos

Sua assinatura apoia os professores da Skillshare

Aprenda em qualquer lugar

Faça cursos em qualquer lugar com o aplicativo da Skillshare. Assista no avião, no metrô ou em qualquer lugar que funcione melhor para você, por streaming ou download.

Transcrições

1. Apresentação: Oi, olá pessoal. Meu nome é Pamela is long e sou a criadora deste curso, que é a masterclass do Zero Trust, sobre como implementar a arquitetura de confiança zero usando esta publicação especial, 800 a 07. Agora, esse é um tópico pelo qual sou muito apaixonado. Filosofia de segurança de confiança zero. É um conjunto de princípios que se você aplicá-los e adotá-los juntos, eles podem provocar uma grande mudança e gritar sua empresa aborda segurança e como ela a implementa. E os resultados podem ser muito, muito benéficos, tanto para equipes de segurança quanto para empresas. Mas o problema do Zero Trust é que seu escopo é muito amplo e pode se tornar muito avassalador. Então é por isso que eu fiz esse curso. Então, minhas promessas, seja você uma pequena startup ou talvez um discurso da Fortune 500, foram criadas especialmente para ajudá-lo a implementar a confiança zero. E é baseado no meu próprio entendimento, anos de experiência na implementação desse modelo de segurança específico. Eu sei como o Zero Trust funciona e como implementá-lo na prática. Esse é o objetivo de fazer este curso para compartilhar esse conhecimento com você, para ajudá-lo em sua jornada de Zero Trust. Também sobre mim, meu nome, renovações ou lei de temporizadores. Tenho mais de 20 anos de experiência em risco tecnológico. Também sou autor, blogueiro e instrutor. Também sou coach de carreira em segurança cibernética. Eu tenho um canal no YouTube chamado Cloud Security Guy. Quando falo sobre coisas como segurança na nuvem, IA em geral, conselhos de carreira. Ok. Então, atualmente, estou baseado em Londres. E, basicamente, minha carreira ao longo da minha jornada, como tem sido Ivan, como vários prêmios dentro dos legados do ano no setor. A melhor equipe de segurança, esse tipo de prêmio vem do reconhecimento do setor. Mas nos últimos dois anos, eu me concentro mais em ensinar e escrever e retribuir à comunidade o máximo que posso. Publiquei dois livros. Um é sobre convênios de inteligência artificial em segurança cibernética, o outro é sobre segurança na nuvem, como fazer sua carreira. Ambos estão disponíveis na Amazon. Então isso é só para te mostrar o meu, como o que eu fiz. Você deveria me ouvir ou não, mas eles têm essas credenciais ou não. Então, agora, quando eu falo sobre Zero Trust, que é um tópico do nosso curso. Agora, a questão é que a segurança corporativa é difícil, certo? Isso ocorre porque as infraestruturas de ID e aplicativos são muito, muito complexas. Eles podem ser muito amplos e os usuários os acessam muito rapidamente. E, claro, da forma como as pessoas são atacantes, sempre tentando entrar no ambiente, a maioria das redes corporativas é muito, muito aberta quando implementada. Se você já ouviu o conceito de menor privilégio, que é dar acesso apenas às pessoas que precisam dele. A maioria das empresas, eu diria que a grande maioria das empresas aplica esse princípio. Eles se aplicam e o aplicam quando se trata de aplicativos. Eles o aplicam quando se trata de banco de dados, servidores, qualquer coisa. Mas quando se trata da arquitetura, quando se trata do design de suas redes, eles não a aplicam. E o que acontece é que eles os deixam incrivelmente abertos a ataques. E isso vale tanto para redes internas quanto para redes públicas, certo? Você tem VPNs completamente expostas a todas as pessoas na Internet. E você nunca projetaria um sistema como esse. Mas, vamos lá, a forma como a segurança e a rede tradicionais funcionaram , continuaram, esse modelo continuou. Então é aqui que entra a confiança zero, que é o assunto deste curso. E traz uma abordagem moderna à segurança. E isso reforça o princípio do menor privilégio para redes e aplicativos : falaremos sobre como isso é para usuários não autorizados. Se você implementar o zero-trust, eles não terão acesso a nenhum recurso corporativo e os usuários autorizados terão apenas o acesso mínimo necessário. E se você implementar a confiança zero corretamente, você terá uma métrica mais segura, mais segura e mais resiliente. Isso foi uma melhoria na eficiência e eficácia. Porque você quer, você está aplicando automaticamente políticas dinâmicas e falaremos sobre elas. Ok? Então, é sobre isso que eu queria dar um pano de fundo. É uma tendência muito importante e altamente visível, você sabe, na indústria de segurança da informação. E acho que se tornou um chavão de marketing. Muitos fornecedores o estão usando para comercializar seus aplicativos, mas é um padrão muito válido. Não é um produto, é uma filosofia uma abordagem e um conjunto de princípios orientadores. E falaremos sobre isso. E isso significa que há muitas, muitas maneiras de interpretar a confiança zero porque cada empresa é diferente, certo? Mas existem alguns princípios muito fundamentais e universais toda arquitetura de confiança zero deve seguir. Então esse é o objetivo principal deste curso que eu vou ser. Por que você não usou essas diretrizes e recomendações confiança zero com base na minha experiência trabalhando com muitas, muitas empresas de diferentes tamanhos e maturidades ao longo de sua jornada. E pessoal muito, muito importante, essa é uma jornada. Isso não é uma coisa única e você esquece, mas uma iniciativa contínua e em evolução. É por isso que fiz este curso para fornecer essas recomendações e ser um guia para você nessa jornada. Então, vamos comercializar como se eles geralmente fossem. A definição de Zero Trust é que é uma estrutura de segurança que registra todos os usuários, seja dentro ou fora da rede. Haverá a primeira configuração e posturas de segurança autenticadas, autorizadas e continuamente validadas e antes de serem concedidas ou mantidas o acesso. Para aplicativos e dados. Agora, se você ler sobre, se você ler esta definição e isso for uma reação, eu não te culpo. Você pode estar pensando: qual é o problema? É a mesma coisa que ouvi 1 milhão de vezes a votação. Isso provavelmente é algo que já está fazendo. Então você pode estar pensando, ok, como é que ele e eu já fazemos isso. Mas é aí que entra a outra parte da confiança zero, que é usada pelo Zero Trust, que não existe uma borda de rede tradicional. As redes podem ser locais na nuvem, nuvem Oracle ou em uma combinação. O que é híbrido com recursos em qualquer lugar e trabalhadores em qualquer local. Ok, então é aqui que Zero Trust difere um pouco do tradicional. Ele presume que tudo é potencialmente malicioso por natureza. É aqui que entra toda a diferenciação semelhante. Como um modelo Zero Trust difere de outros modelos de segurança e do modelo tradicional de perímetro de rede. Então, o que o Zero Trust não é como o seu, não é como um produto que eu disse antes, mas fornece orientação para as empresas sobre como mitigar continuamente e como usar as novas soluções já existentes para protegê-lo. Você pode usar sua empresa. Você pode ter uma linha de base de segurança muito forte. Talvez você precise apenas de pequenos refinamentos para uma implantação bem-sucedida do zero-trust, ou talvez não tenha nada e precise criar esses elementos do zero, ok? Ter implementado esse modelo. Portanto, não importa onde esteja o ponto de partida. Só para ficar bem claro, confiança zero geralmente leva tempo. Pode ser um projeto de vários anos, como várias partes interessadas, que exige muito investimento de tempo e dinheiro. Mas os benefícios, eles realmente vêm e você realmente os vê. Se algo acontecer, algum compromisso acontece. Você pode ver o modelo Zero Trust entrar em ação. E isso impediu que esse compromisso avançasse. Mas eu estava falando sobre essas coisas, o pano de fundo, se você olhar para isso em 2020, tivemos uma espécie de evento que mudou o mundo , como se você já estivesse ciente disso. E o que aconteceu foi que todas as empresas forçaram a adotar o controle remoto, implementar VPNs e trazer seu próprio dispositivo. E você pode realmente ver a importância da confiança zero porque os funcionários estão usando uma VPN remota e, portanto, são violados. Mais e mais VPNs estão sendo violadas ou sobrecarregadas. E as transformações digitais estão acontecendo como qualquer outra empresa estava entrando na organela digital, na transformação digital, indo para a nuvem. Então, implementando uma AT de confiança zero versus a exigência verificar e proteger tudo o que está conectando a integridade do dispositivo, a integridade da segurança do dispositivo em vigor, menor privilégio e a captura, analise todos os registros ao ambiente do tipo veteranos, certo? E governos e empresas em todo o mundo. Eles reconheceram a importância do Zero Trust por causa desse evento. E eles aceleraram a adoção de uma estratégia de confiança zero por meio do apoio. Gostar. Esse é o objetivo principal para mim. Eu li e fiz muitas pesquisas e ajudei muitas pessoas a fazer implantações e a ver o cenário de ameaças. Então esse é o motivo pelo qual este curso mostra por que a necessidade do Zero Trust existe, ok? Então é aqui que o diferenciado entra em confiança zero, que eu chamo de conceitos. Existem certos conceitos de Zero Trust. Agora, talvez você esteja lendo algo no Zero Trust que pode ser um pouco diferente disso. Mas lembre-se, confie zero nesses princípios, eles evoluem e mudam. Mas, em um sentido geral, eles sempre serão assim, só que esses são os que eles podem desviar minha mudança. Em vez de cinco, eles podem ser três ou quatro. Mas esses são os princípios universais. A rede sempre é considerada hostil, ok, então não há nada confiável lá. E ameaças externas e internas existem em uma rede o tempo todo. Ok? Então, só porque você está na rede, não basta confiar em você. E cada fluxo de rede do usuário do dispositivo é autenticado e autorizado. As políticas devem ser dinâmicas e, em seguida , calculá-las rapidamente a partir do maior número possível de fontes de dados. Então você pode estar pensando, sim, tudo isso parece muito bom. Como você realmente o implementa? Então, é sobre isso que vou falar em detalhes no curso. Mas lembre-se, em poucas palavras, é zero. A confiança é um conjunto de princípios em evolução. E lentamente, ele afasta o ambiente do perímetro estático baseado em rede para se concentrar nos ativos dos usuários. E pressupõe que não há confiança implícita. Ok? E só porque eles são os melhores, esteja você na rede ou na rede, e você faz a autorização com base em várias coisas, várias políticas, várias fontes de informações sobre ameaças, certo? Então, como eu disse, é uma resposta a muitas tendências que aconteceram, como usuários remotos trazendo seu próprio dispositivo, ativos baseados em nuvem que não estão sob seu controle, certo? Então é isso que ajuda a zero-trust a vender para sua localização. A localização da rede não é mais vista como um V de confiança nela. E lembre-se, não é como uma arquitetura única, não é um único produto. São esses princípios que ajudarão você a melhorar. E fazer a transição para zero toneladas é como uma jornada de vários anos que realmente o ajudará. Você não pode simplesmente substituir sua tecnologia e dizer: Ok, eu implementei um produto que diz confiança zero. Agora eu não tenho confiança, não, não funciona assim. É por isso que muitas organizações falham na estratégia Zero Trust ou não obtêm todos os benefícios. Então, se você é uma empresa, falarei sobre isso mais tarde, quando falarmos sobre a implementação prática da confiança zero. Você deve tentar implementar, de forma lenta e lenta, princípios de confiança zero, mudanças de processo e soluções tecnológicas que protejam seus dados, certo? E analisaremos vários casos de uso. Atualmente , a maioria das empresas está operando em um modelo híbrido, como um modelo baseado em parâmetros, e continuam investindo em TI. Então, a confiança zero pode realmente ajudá-lo aqui. Então esse é o objetivo desse curso, pessoal. E quais são os problemas? Quais são os desafios? Eu me vi e vi outras pessoas também encontrando quando se trata de confiança zero, em primeiro lugar, o material é muito vago. Eles dizem o que o Zero Trust é incrível. Zero Trust é como você realmente o implementa? Não há conselhos práticos, ou pior ainda, Zero Trust é incrível. Por favor, dê-nos uma quantia X de milhões de dólares e implemente um produto e você não terá confiança, não, não funciona assim. Nenhuma solução única pode implementar magicamente a confiança zero. Então, esse é um desafio que eu já vi em todos os aspectos. Esse material é muito vago ou o que ele chamou de conselhos práticos, como implementá-lo e muito focado em produtos. Esse é o objetivo deste curso: ajudá-lo a dar conselhos práticos sobre como implementar a confiança zero com base em minhas próprias experiências e em meus próprios conselhos de implementação. Então, o que esse curso cobrirá? Espero que você entenda agora por que você deve aprender Zero Trust. E eu vou te ensinar confiança zero do zero. E eu vou explicar para você como funciona, o que o modelo funciona, quais são os princípios? E entraremos em detalhes e isso lhe dará um mergulho profundo nesses conceitos e em detalhes. E também darei um roteiro para implementação. E como eu disse, conselhos práticos. Então, vamos analisar alguns estudos de caso. Não vou apenas dizer, sim, isso é Zero Trust, por favor, seja implementado. Analisamos algumas empresas e como eu vou fazer uma sozinha e quando pedi que você fizesse, você pode compartilhar seus resultados, ok? Então, para quem é esse curso? Bem, como eu disse, Zero Trust é o futuro. Vai se tornar cada vez mais importante com o passar do tempo. E, como profissional de segurança, como gangorra, você tem a responsabilidade de incentivar e incentivar sua empresa a adotar essa nova abordagem, que ajudará muito sua empresa nessa resiliência e a crescer. Além disso, pode ser que você seja um profissional de risco, um profissional de TI, um auditor de TI. A confiança zero vence o futuro. Quanto mais você o entende, melhor se prepara para auditar e implementar esse modelo, que também o ajudará em sua posição atual, e definitivamente o ajudará em sua posição futura à medida que o setor evolui, e definitivamente o ajudará em sua posição futura à medida que à medida que o setor evolui, medida que o setor avançou nessa direção. Portanto, tudo isso será benéfico apenas para você, e o conhecimento não aplicado será perdido. É por isso que é tão importante sempre ter algum tipo de projeto. Então isso é o que eu fiz. Há um projeto de aula aqui. E qual é o projeto de classe deles? Você vai fazer um estudo de caso. Quero que você faça o estudo de caso deste curso e crie uma arquitetura Zero Trust baseada no padrão. Falaremos sobre isso, é claro, como fazer isso, como fazer isso e quais são as principais características aqui. Espero que tenham entendido agora pessoal, qual é, qual é o objetivo desse curso? Espero que você tenha uma boa ideia que trata esse curso. Por que você deve aprender Zero Trust e quais são os principais benefícios disso? Como eu disse, o objetivo principal deste curso é fornecer conselhos práticos. Estou muito feliz que você esteja fazendo essa jornada comigo. Então, vamos começar e nos vemos na próxima lição. Obrigado por escolher este curso. E espero que seja benéfico para você. Se você tiver algum comentário, vá em frente e compartilhe comigo. Muito obrigado e nos vemos na próxima aula. 2. A necessidade de Zero Trust: Oi amigos. Bem-vindo a esta lição. Nesta lição, vou me aprofundar um pouco na necessidade de confiança zero. Agora, falamos sobre isso antes em uma lição anterior. Por que Zero Trust era necessário, mas eu realmente queria fazer uma análise mais detalhada de por que precisamos de confiança zero. Agora, o fato é que o cenário de ameaças está mudando continuamente. Mu e Nu são tóxicos ao sair. Ameaças cada vez mais sofisticadas estão surgindo. E, basicamente, seu modelo tradicional de segurança baseado em perímetro não é mais suficiente para proteger contra esses tipos avançados de ataques, certo? E, como basicamente os controles que você colocou, eles poderão se defender por mais tempo. Porque a segurança de que a arquitetura corporativa está mudando e o perímetro simplesmente não existe como antes. Então, vamos dar uma olhada no que estamos falando aqui, certo? Então, a confiança zero, quando falamos sobre Zero Trust, é uma tentativa de resolver algumas das fraquezas do que chamamos arquitetura de segurança mais tradicional. Então, vamos descrever toda a arquitetura de segurança primeiro como algo parecido, a forma mais antiga, como os bons velhos tempos, você sabe, como todas as pessoas sobre as quais falamos nos bons velhos tempos. Então, em uma arquitetura de segurança tradicional, termos gerais, você tem um perímetro rígido definido por bolas de fogo. Talvez você tenha uma VPN para acesso remoto. Você pode ter uma autenticação centralizada, como um login único para o Azure Active Directory e alguns outros produtos. Mas basicamente isso identifica o usuário e concede acesso a você, certo? Então, é assim que geralmente parece. Quero dizer, é claro que não será tão básico porque eu fiz esse diagrama deliberadamente trazido. Obviamente, você terá sub-redes nesses ambientes, terá sub-redes e terá mais firewalls na rede. Mas, de um modo geral, quando um usuário autenticado está dentro do perímetro de segurança, ele tem poucos controles colocados nele porque gosta do que você chama de zona confiável. Então, agora eles podem acessar servidores de arquivos. Podemos nos conectar a outros nós dentro da rede. Eles usam serviços e assim por diante. E como eu disse, as empresas não são estúpidas. Eles são seguranças de lá. E eles estão cientes das deficiências dessa abordagem há algum tempo, certo? Então, eles serão parâmetros dentro da rede, parâmetros dentro dos perímetros. E você provavelmente reautenticará o corpo para o qual ele ligou. Você colocará seus servidores mais confidenciais em uma sub-rede mais privada como essa. E talvez tenhamos autenticação multifatorial. Mas, no geral, a regra geral é : é duro por fora e macio por dentro, e isso permaneceu praticamente a norma no passado, como eu diria, cerca de 20 anos, eu diria. Mas sim, geralmente é descrito como um jardim murado. Então, deveria afastar as pessoas ruins. Mas por dentro você é livre para fazer o que quiser. O que quer que possamos imaginar isso. Existem várias desvantagens, é claro que você pode imaginar, certo? A principal desvantagem é: e se um atacante conseguir atravessar o perímetro? Normalmente, eles têm acesso praticamente irrestrito para explorar, certo? Não estou dizendo que eles se tornarão administradores, mas podem fazer movimentos laterais. Eles podem atacar máquinas dentro do perímetro. E eles podem, é claro, tentar elevar seus privilégios sem tanta chance de serem detectados. E geralmente há pouca atenção dada ao comportamento de um indivíduo. Identidade autenticada. O usuário está autenticado. Eles podem fazer coisas que são praticamente incomuns e podem não ser detectados. Você tem produtos que podem ser semelhantes aos produtos comportamentais existentes, mas geralmente, a falta geral de controle de acesso granular. Ele permite que os usuários, você seja mal-intencionado, talvez não seja malicioso, permitam o acesso a dados e serviços. Eles não precisam. Quando você muda, especialmente quando você muda para uma nuvem e um híbrido, talvez como um BYOD ou parceiros de trabalho remoto, todas essas coisas surgem. Então é sobre isso que eu queria falar. Desculpe. À medida que você se torna cada vez mais complexo, as infraestruturas de uma empresa típica se tornam cada vez mais complexas, infelizmente. Agora, hoje em dia, devido a todas as tendências que estão surgindo em uma única empresa, você pode ter várias redes, várias filiais. Você pode ter comprado empresas que têm suas próprias redes. Você pode ter escritórios remotos. Você pode ter um indivíduo remoto ou móvel. Você pode ter infraestrutura de serviços em nuvem como serviço, software como serviço. Essa complexidade é superada. O método legado de segurança de rede de base perimetral porque não há um parâmetro único ou facilmente identificável para a empresa. Segurança de rede de base perimetral. Também é insuficiente porque uma vez que o atacante, que é o perímetro, como eu disse, seu movimento lateral está praticamente parado. Você pode muito bem se movimentar e tentar encontrar. E se você for um bom hacker, não conseguirá acionar nenhum alarme de segurança, ok? É claro. Então, esta é a paisagem atual, essa é a quantidade de caminhões que você tem sua rede interna e você terá usuários remotos. Serviços em nuvem, você esconde os serviços de infraestrutura que você tem BYOD, basicamente o aumento do trabalho remoto. Vamos dar uma olhada nessas tendências. Você tem trabalhado cada vez mais remotamente com a compensação ecológica de equipes remotas distribuídas. Você precisa de um modelo de segurança que possa se adaptar a diferentes ambientes, certo? E isso pode proteger os dados independentemente da localização do usuário. E, claro, você tem a opção de nuvem. Portanto, as empresas estão adotando cada vez mais a nuvem e o perímetro tradicional desaparece. Portanto, o zero-trust fornecerá uma estrutura para proteger dados e aplicativos na nuvem , independentemente de sua localização. Além disso, muitas organizações estão permitindo que as empresas tragam seus próprios dispositivos pessoais para o trabalho. E, claro, isso traz riscos adicionais de segurança. Além disso, a confiança zero ajudará a mitigar esse risco aplicando políticas e políticas de segurança. E controle de acesso com base no dispositivo e nos contextos do usuário. E, claro, ameaças internas são, nem todas as ameaças vêm de fora. Ameaças internas podem representar um risco significativo. E a confiança zero ajuda a minimizar a distância aplicando o menor acesso privilegiado à rede. Na arquitetura em si. Os usuários só têm acesso aos recursos de que precisam. Dentro da própria rede. Normalmente, concede privilégios feitos no nível do banco de dados, do aplicativo ou do servidor, mas não na própria arquitetura de rede. E muitos comentários regulatórios também são publicados. Eles dizem que você precisa ter esse tipo de modelo que existe. E falaremos mais sobre isso na próxima lição. E, claro, com melhor visibilidade e controle dentro dessa rede, fica muito difícil ter essa visibilidade. Zero Trust fornece a você essa visibilidade do comportamento do usuário e da postura geral. E isso permite que você obtenha mais, permite detectar e responder às ameaças à segurança com mais eficiência. Ok? Então é sobre isso que eu queria falar. confiança zero será um cuidado famoso para proteger sua infraestrutura e dados para as transformações digitais modernas de hoje, certo? Depois de todos esses desafios que estão surgindo, você precisa proteger trabalhadores remotos, ransomware de nuvem híbrida e só Deus sabe o que todas essas coisas podem fazer. A confiança zero pode ajudar você a mitigá-la. Ok. Por que o perímetro é muito simples , você pode estar dizendo não, não, eu tenho várias sub-redes e tudo mais, certo? E mesmo que o modelo perimetral ainda seja muito bom, não estou dizendo que tenha sumido. É, de longe, o modelo mais popular. O bebê confia nele: tem falhas, escreve ataques complexos e redes de fim de semana semelhantes a células. E eles acontecem todos os dias, certo? O atacante pode se transformar como um engenheiro social em uma pessoa dentro da rede, obter acesso remoto e começar a se mover lateralmente. E os firewalls perimetrais são bons, mas não impedem essas coisas. E mesmo que você tenha um firewall, sempre há exceções, certo? Você tem exceções de firewall. Essas exceções são rigorosamente controladas, mas seu desenvolvedor web pode querer acesso SSH, acesso somente leitura e acesso à produção. Ou talvez seus usuários corporativos precisem acessar isso. Cobre o banco de dados para executar algumas consultas, Cobre o banco de dados para executar algumas consultas sua taxa de dados de aprendizado de máquina que seus cientistas de dados de aprendizado de máquina possam precisar acessar. E o que acontece, você pode configurar essas exceções de firewall, permitindo o tráfego desse endereço IP individual para o servidor específico, certo? O que acontece? Então, quanto mais exceções são criadas, mais caminhos são criados, certo? Essas são exceções muito estáticas, como origem e destino, e permitem esse IP, certo? Então, o que acontece se você disser: Como você chama isso? Um atacante e você quiser Trump tentaria comprometer esse ambiente. Você pode tentar atacar diretamente a camada de aplicação, certo? E quando estiver lá, talvez você tenha, por causa dessas portas de firewall abertas, um caminho direto. Ou você pode ser mais inteligente. Você pode simplesmente pedir a um engenheiro social que as pessoas que têm acesso, como o gráfico ocular, como o administrador do banco de dados, forneçam links maliciosos enviem e-mails de phishing. E um deles pode ser ingênuo o suficiente para clicar no link, permitindo que o atacante instale malware. malware então fornecerá ao atacante uma sessão na máquina nula de funcionários comprometidos. Agora, você pode dizer não, não, não, o acesso é muito restrito. Ok. Portanto, o acesso é restrito. Mas talvez ele consiga se mover lateralmente dentro desse servidor de produção até ver alguém que possa comprometer, certo? Então você o examina cuidadosamente, pessoal. Você vê que é muito óbvio que esse modelo de perímetro de rede não é suficiente. Ignorar é muito fácil com malware, ataques de dia zero e firewalls. Os firewalls que você tem entre as sub-redes são as zonas. Eles não consideram nada mais. Talvez eles vão para a origem e o destino e tomem essas decisões. E bem, os parâmetros ainda fornecem valor em segurança de rede Você não pode confiar neles como o principal controle pelo qual você analisa seus padrões de segurança de rede. Então, o primeiro set será: o que você faz agora? Então, o que você pode fazer agora? Porque esses são todos esses problemas que surgem com a confiança deles, que os usuários estão dando peso. Então é aqui que entra a confiança zero e ajuda a impedir esse tipo de ataque, esse tipo de movimento lateral, implementando vários princípios e controles importantes. E falaremos sobre a maior parte disso é o menor privilégio. Você, dentro da rede de uso, terá apenas o nível mínimo de acesso. Portanto, mesmo que um chefe atacante possa se comprometer, isso realmente limitará sua capacidade de se mover lateralmente. Porque ter acesso a uma ou outra conta não concede automaticamente acesso a outros recursos confidenciais. E falaremos mais sobre isso, mas algo chamado microssegmentação. Em uma arquitetura de confiança zero, Netflix é dividida em segmentos cada vez menores, cada um com seu próprio conjunto de controles de acesso e política de segurança. Essa segmentação torna muito difícil para um atacante se mover lateralmente dentro da rede, pois os ramus contornam várias barreiras de segurança, certo? E você tem contextos sobre controles. O Zero Trust levará em consideração muitos contextos. Sejam usuários provenientes de qual é a função dele, qual é seu destino e tudo mais, certo? Então, esses são os, é sobre isso que eu queria falar com vocês. Então, quais são as principais conclusões desta lição? O perímetro elétrico tradicional não é suficiente. E as tendências modernas estão mudando a forma como os usuários acessam as redes. E os atacantes podem facilmente comprometer o pedômetro e se mover lateralmente, passar internamente para outras redes, certo? E é aí que entra a confiança zero, não linear. Na próxima lição, falaremos sobre confiança zero e promoção da história. O modelo Zero Trust está evoluindo. Não veio no vácuo, certo? Não apareceu repentinamente do nada. caso, houve uma evolução e uma importância cada vez maior desse modelo. É sobre isso que falaremos. Espero que você tenha gostado agora, minha confiança zero é muito importante. Então, vamos passar para a próxima lição. Obrigada. 3. Zero Trust - uma breve história: Olá a todos, bem-vindos a esta lição. Agora, na lição anterior falamos sobre a necessidade de confiança zero, certo? Por que você precisa disso e por que é tão importante agora, neste artigo, antes de mergulharmos profundamente na confiança zero e em como ela funciona, quero dar uma breve visão geral sobre a história e a evolução da confiança zero, como esse conceito evoluiu nos setores e em alguns dos principais players, alguns dos principais eventos e os principais players que o impulsionaram. Dessa forma, você realmente apreciará o quanto esse modelo evoluiu. Olá, muita importância , agora está certo? Então, uma coisa que eu quero deixar bem clara sobre o Zero Trust não é um conceito totalmente novo, mas ele se tornou cada vez mais importante nos últimos anos, certo? E o termo Zero Trust foi cunhado pela primeira vez por John. John pode depurar, espero ter dito esse nome, escrever uma fórmula para um serviço desse tipo de análise em 2010, certo? Mas os princípios fundamentais do Zero Trust, como falamos sobre o menor privilégio, a segmentação da Netflix. Isso pode ser atribuído às melhores práticas de segurança anteriores, certo? Até mesmo, nem mesmo a segurança, os princípios e conceitos fundamentais do Zero Trust. E eles foram aplicados há muito tempo em organizações militares e de defesa. Você sabe, como segmentar, como autenticar continuamente, monitorar. No entanto, o que aconteceu nos últimos anos a adoção generalizada da computação em nuvem, aumento do trabalho remoto e a crescente sofisticação dos ataques cibernéticos. Eles destacaram as limitações tradicionais disso. Falamos sobre o modelo de parâmetros, certo? E esses desenvolvimentos tornaram a confiança zero mais relevante e necessária nos complexos ambientes de TI atuais, certo? Os ambientes de TI estão se tornando cada vez mais complexos. Portanto, você precisa de um modelo que possa realmente se adaptar às mudanças. Como resultado, o conceito Zero Trust evoluiu na última década. Novas tecnologias surgiram e metodologias foram desenvolvidas para ajudar as organizações a implementar uma arquitetura de confiança zero. E os princípios fundamentais permaneceram os mesmos. A implementação e a compreensão da confiança zero amadureceram, ela amadureceu. Está se tornando cada vez mais abrangente. Motor era assim, o que é incrível, honestamente. Não é como um padrão estático ou um modelo estático. Ele continua evoluindo e Kilby se tornando cada vez mais refinado com o tempo, certo? Então, quando você fala sobre a história da confiança zero em 2010, falamos sobre John, analistas da Forrester, quando ele introduziu o termo Zero Trust. Em seguida, há um artigo muito influente, não muito nos concentramos na introdução do modelo Zero Trust de segurança da informação. Escreva. Este artigo capturou ideias que vêm discutindo as indústrias há muitos anos, certo? E esse documento é para nós documentarmos. Ele descreveu uma mudança de um perímetro quente para uma abordagem que exigia entender e respeitar os elementos da rede antes que eles pudessem obter algo como um nível de confiança e acesso. Então, com o passar do tempo, esse modelo evoluiu, mas podemos rastreá-lo até 2010. Honestamente falando corretamente, van, o que é incrível. Foi uma perna muito longa. Já faz quase 13 anos, há mais de uma década. Mas isso é basicamente tudo, como você pode dizer, a história iniciada e a conversa sobre Zero Trust. Então, isso foi como a coisa pioneira que realmente deu início a tudo. Ainda é um artigo incrível. E nessa época, é claro, o Google também se tornou sua iniciativa interna de além da cópia. Eu o vinculo aqui também, que implementou como funcionários a versão Zero Trust. E implementou elementos fundamentais de confiança zero que efetivamente removeram, como os limites da rede corporativa e o Google, influenciaram fortemente o setor. Eles lançaram uma série de artigos documentando toda a implementação interna inovadora, certo? O objetivo principal do Beyond Corpse era permitir o acesso seguro aos recursos e aplicativos do Google sem depender dessas VPNs tradicionais. Em vez disso, nossa segmentação de rede se concentrou, como falamos anteriormente, verificar a identidade do usuário, a postura de segurança do dispositivo e o contexto de acesso antes de conceder qualquer acesso dentro de uma rede. Isso inspirou muitas, muitas empresas a adotarem um modelo de confiança zero similar. A segurança e algumas das tecnologias subjacentes desenvolvidas para a Beyond Cop. Eles foram disponibilizados como parte das ofertas de segurança baseadas em nuvem do Google. Na nuvem. Espaço de trabalho do Google, Google Cloud Platform, todas essas coisas. Então, esse foi outro marco importante que começou. Outra coisa importante que aconteceu, que é sempre como a Iniciativa, que é o Instituto Nacional de Padrões e Tecnologia. Eles lançaram uma publicação especial em 2020, certo? A arquitetura de confiança zero. Foi uma publicação especial lançada por eles em, eu acho que 2020. E este documento basicamente fornece diretrizes e melhores práticas para projetar e implementar arquiteturas de confiança zero. Isso é o que vou usar como base. Eu realmente quero que você entenda a publicação de arquitetura de confiança zero do Instituto Nacional de Padrões e Tecnologia. Porque, antes de tudo, é um documento gratuito e é absolutamente incrível. É um mergulho muito profundo no que você precisa fazer. E o objetivo é ajudar as empresas a entender melhor os princípios do Zero Trust. Quais são os principais componentes? Como aplicá-las para melhorar sua postura de segurança cibernética. E algumas das principais áreas que se recuperaram. Entraremos em mais detalhes, mas princípios e conceitos do Zero Trust. O documento explica os fundamentos da confiança zero, como o menor privilégio, a segmentação da Netflix, o monitoramento contínuo componentes da arquitetura Zero Trust. A publicação fornece uma visão geral dos principais componentes que compõem uma arquitetura de confiança zero, como mecanismos de políticas, administradores de políticas, fontes de dados, modelos e cenários de ameaças. Ele discute vários modelos e cenários de ameaças que podem ser abordados implementação de uma arquitetura de confiança zero. Além disso, ele fornece detalhes sobre os modelos de implantação. Portanto, o documento apresenta os diferentes tipos de implantações. Como eu disse, o Zero Trust não é uma solução única para todos. Cada empresa é diferente, certo? Cada empresa pode ter um modelo diferente e ele detalha como implementar a confiança zero em diferentes tipos de arquiteturas. Você pode ter uma única nuvem, você pode ter uma multinuvem, você pode ter um ambiente híbrido. Você pode ter uma empresa com filiais separadas, certo? Mas, em resumo, entre o SP 800 a 078, é um guia muito abrangente e excelente para empresas que desejam adotar a confiança zero e criar um ambiente mais robusto, adaptável e seguro. E a melhor coisa sobre isso é grátis. Isso não é algo que você precise pagar por um par de renderizações ou pagar a alguém é totalmente gratuito, qualquer pessoa pode acessá-lo. E isso é que o documento em si pode ser um pouco complexo às vezes, é por isso que fiz este curso ajudar as pessoas a entenderem do zero. Então é isso que estou tentando fazer para realmente garantir que você tenha certeza de que Zero Trust e Javier Beach DID. E só para dar uma ideia da importância dessa publicação, se tivéssemos algo chamado ordem executiva da Casa Branca, Ordem Executiva 14028, ela se chamava melhorar a segurança cibernética do país. Foi assinado pelo presidente Joe Biden em 24 de maio, acho que Metro 2021. Então, uma ordem executiva muito recente, o objetivo principal era fortalecer a postura de segurança cibernética dos Estados Unidos abordando várias deficiências e vulnerabilidades nas defesas cibernéticas da empresa. Foi emitido em resposta porque eles têm muitos incidentes cibernéticos de alto perfil. E eles realmente perceberam que você precisa de uma abordagem mais robusta e coordenada da segurança cibernética. E eles queriam modernizar a segurança cibernética do governo. A ordem determinou que as agências federais adotassem tecnologias avançadas de segurança e fatores léxicos, migrassem para a nuvem e, claro , implementassem uma arquitetura de confiança zero. Então, eles mencionaram especificamente, aderiram a ela e ela foi usada como uma etapa necessária para a implementação do Zero Trust. Eles falaram sobre outras coisas como a segurança da cadeia de suprimentos de software porque tivemos ataques como software fornecendo um registro para J e todas essas outras coisas. Qual é o pedido? Basicamente, ele direciona o desenvolvimento de novos padrões para proteger a cadeia de suprimentos de software e lidar com isso. Além disso, eles também falaram sobre o desenvolvimento de uma força de trabalho nacional de cibersegurança. Você tem pessoas mais habilidosas, mas só para se ter uma ideia, mas é muito essa ordem executiva 14028. Você pode acessá-lo. É um esforço muito abrangente para impulsionar a postura de segurança cibernética do país e abordar a evolução do cenário de ameaças. Ele enfatiza a colaboração entre os setores público e privado e como modernizar sua infraestrutura de segurança de serviços e aprimorar a capacidade do país de prevenir, detectar e responder às ameaças cibernéticas. O ponto em que estamos nos concentrando, é claro, é esse, que é a ordem em que ele menciona isso especificamente, que é acompanhar a dinâmica e cada vez mais sofisticada de hoje. Então eu entrei no ambiente. Eles disseram que o governo federal deve adotar as melhores práticas de segurança e avançar em direção a uma arquitetura de confiança zero. E como você faz isso? Lá? O ponto principal é que eles querem que as agências sigam o nist 800 a 07 como uma etapa necessária para a implementação do Zero Trust. Então, só para mostrar o quanto o Zero Trust se tornou importante. Isso é apenas para lhe dar uma ideia como uma confiança zero começou a partir do relatório da Forrester sobre o qual para o Google e em diante , boa divulgação. E agora esse n, é claro, teremos mais e mais lançamentos. Claro, certo? Então, isso é o que eu queria discutir sobre os caras nesta lição. Quais são as principais conclusões? Zero Trust não é um conceito novo. Não vem do vácuo. Não apareceu de repente. E é impulsionado pela mudança do cenário porque está mudando. E os governos que estão adotando isso e as agências de auditoria poderiam fazer o mesmo, certo, por causa dessa e de outras melhores práticas. Então, agora espero que você tenha apreciado todo o histórico. Foi uma breve aula de história. Agora vamos começar. Na próxima lição, falaremos sobre as vantagens e desvantagens da confiança zero. Não quero continuar dizendo que a confiança zero é incrível e que não há nenhuma desvantagem. Saiba que, como tudo, existem prós e contras. Então, falaremos sobre isso na próxima lição. Obrigada. 4. Prós e contras de Zero Trust: Ok, bem-vindo a esta aula. Agora, nesta lição em particular, o que eu quero abordar é confiança zero e quais são os prós e os contras? Porque eu não quero que esse seja um curso em que eu esteja apenas começando quão incrível Zero Trust é um novo conceito que todos conhecem, como tudo. Eles têm vantagens e desvantagens. E eu quero usar as desvantagens também junto com os benefícios, é claro, certo? Quais são os desafios? Quais são algumas das expectativas realistas que temos? Porque muitas pessoas acham que a confiança zero é como um interruptor. Você pode simplesmente clicar e tudo está seguro. E, novamente, você pode recuar se não gostar. Não, não funciona assim. Então, é muito, muito, já vi muitas pessoas que têm essa expectativa do que é o Zero Trust e não conseguem implementá-lo. E, portanto, eles voltam atrás e você precisa iniciar projetos de confiança zero com expectativas adequadas e adequadas em mente. Então, esse é todo o propósito dessa lição em particular. Então, do que estou falando aqui? Então, agora, acho que entendemos a taxa de confiança zero. Espero que você tenha obtido esse entendimento. Em primeiro lugar, é uma mentalidade ou uma disciplina, mas você precisa entender, certo? Falamos sobre o que não é no próximo slide, mas é uma mentalidade. Como eu disse, é um conjunto de princípios em evolução que transfere suas diferenças de estáticas para baseadas em rede para focar em usuários, ativos e recursos, certo? Ela pressupõe que não há confiança implícita. Por padrão, ninguém confia na taxa de usuários e contas com base apenas em onde eles estão. E não importa onde você esteja. Seu local ou na Internet é baseado na propriedade de ativos corporativos, quer você tenha um laptop corporativo ou um laptop pessoal, certo? E, como autenticação e autorização, se você é um usuário em um dispositivo e elas são executadas antes de uma sessão ser estabelecida. É uma resposta a tendências como o trabalho remoto de ativos BYOD baseados na nuvem, certo? Então, isso é apenas um resumo do que falamos. Essa localização da rede de carga não importa mais. Sua rede, qual dispositivo você possui, não importa mais. E não é como uma arquitetura única, mas faz um conjunto de princípios que estão evoluindo com o tempo. E mostrei a história e como você precisa implementar de forma incremental para realmente ver os benefícios surgirem. Agora, vamos voltar ao que não é. E isso é muito, muito importante porque muitas vezes as pessoas têm essa suposição errada sobre confiança zero. Então, o que é Zero Trust não é, antes de tudo, não é um produto para agradar a ninguém, nenhum fornecedor que venha até você dizendo por favor, compre um produto de $1.000.000. E depois de ativá-lo, você terá segurança de confiança zero, que é completamente falsa. Não funciona assim, ajudará você a implementar zero tos. Absolutamente. Absolutamente. Existem muitos produtos que são desenvolvidos pensando no Zero Trust, mas não existe um único produto mágico com implante de urina. E então você terá a certificação Zero Trust. E muitas pessoas não sabem que muitas ferramentas de TI e segurança, como elas, podem já estar apoiando a confiança zero. Você só precisa configurá-los de uma maneira específica, certo? Você tem que olhar para eles do ponto de vista da confiança zero. Mas a identidade na capa e se eles podem aplicar políticas orientadas pelo contexto. Como se muitos fornecedores estivessem revisando os produtos para torná-los alinhados com as especificações do Zero Trust. Como eu disse, é uma mudança fundamental na forma como você aborda a segurança da informação. Então, o setor está mudando e é como se você realmente precisasse olhar para isso. Então, outra coisa não é uma certificação, por favor, você tem que entender que não há certificação. Pode ser lançado e você pode implementar isso, mas não é como PCI, DSS, ISO. Você pode dizer que eu conheço a certificação Zero-Trust, por favor. Aí está meu certificado. Não, não funciona assim. Como eu disse, é um conjunto de princípios em evolução. Então, duas coisas: você tem que estar muito triste. Não é um produto, não é uma certificação. Outra coisa muito, muito importante não é uma solução mágica, não é uma solução mágica para todos os desafios de segurança cibernética. Por favor. Muito, muito importante aqui, pessoal, não é uma solução mágica que você pode simplesmente implementar e dizer, ok, uma certificação diferente de zero e nem tudo foi resolvido. Não, com certeza vai te ajudar. Vai fazer uso da segurança, certo? Mas você precisa entender que não é uma tarefa única, nem uma solução única e única que você pode simplesmente comprar, instalar e concluir tudo , certo? Outra coisa sobre a qual falei antes, é claro, não é estática. Ela continua evoluindo, a indústria continua evoluindo. Vocês são táxons saindo. E com base nisso, essa é a beleza da confiança zero, certo? Portanto, mais e mais refinamentos precisam ser feitos. Esses fusos horários estão definindo. Então lembre-se desse caso, tão importante, que não é uma única tecnologia, produto ou serviço que você pode simplesmente implementar e esquecer, certo? Não é e não é uma tarefa única. Portanto, tenha essas coisas em mente, muito, muito importantes, por favor, antes de começar, se você tem essas coisas em mente quando estiver estudando Zero Trust, acredite em mim, você ficará desapontado. E você dirá: Ei cara, por que eu implementei isso? Eu deveria voltar porque você não começou com o objetivo adequado em mente. Então, isso está definindo as expectativas de forma realista. Agora, quais são os benefícios? Os benefícios são enormes, na verdade. Então, antes de tudo, maior segurança, sim, com certeza. Isso ajudará sua organização a ter mais sucesso em impedir e limitar os incidentes de segurança. E, ao contrário de dizer seus modelos de segurança baseados em perímetro que são muito ineficazes agora, você pode realmente entender melhor sua arquitetura de segurança pois ela fornece uma abordagem mais estruturada nessa falha para implementar a segurança cibernética. E um benefício colateral. Isso também facilita um maior grau de compreensão de seus ativos e recursos corporativos porque, para implementar a confiança zero, como veremos mais adiante, você precisará obter nossa visibilidade em seu ambiente. O que você tem, o que você não tem, ok? E isso lhe dá uma ótima visibilidade na rede corporativa. Você sabe quem são os usuários, dispositivos e serviços autorizados e oferece uma melhor percepção da situação. E mais tarde naquela encosta, mais ou menos. E, especialmente como força de trabalho de um grupo híbrido, modelos de trabalho ímpios, a confiança zero pode permitir que os funcionários acessem com segurança a rede e os recursos corporativos, estejam eles no local ou fora dela. Essa nova maneira de fazer as coisas aborda muitas das lacunas que existem. No módulo anterior. Falamos sobre o movimento lateral dos atacantes. Então, se um atacante, seja interno ou externo, conseguir entrar, será continuamente confrontado com várias verificações que veremos quando falarmos sobre o nist mais detalhes. De forma contínua, serão ganhos freios e contrapesos para impedir que obtenham mais acesso, ele serão ganhos freios e contrapesos para impedir que obtenham De forma contínua, serão ganhos freios e contrapesos para impedir que obtenham mais acesso, terá que se reautenticar, melhorar sua identidade constantemente para cada recurso. Ok? Então, como o zero-trust usa entidades de análise comportamental , seja como seu modelo tradicional baseado em firewall ou controle de acesso, ele usa apenas um conjunto de credenciais, certo? Portanto, parâmetros do usuário, como hora do dia, padrão de acesso, localização, tamanho da transferência de dados e muitos outros dados. Não é avaliado, mas o zero-trust avalia isso para determinar se a entidade que está tentando acessar está fazendo isso de maneira segura e aceitável. Se alguém, um dispositivo ou um usuário começar a tentar acessar, isso geralmente não acontece em outros horários do dia. Não estão funcionando. Esses comportamentos acionarão um alerta e possivelmente alterarão a política. Portanto, ele oferece uma excelente tomada de decisão baseada em riscos e fornece a implementação adequada. Então, você pode realmente remover completamente o perímetro externo. E os trabalhadores remotos não precisam se conectar ao acesso à VPN. Eles podem simplesmente ter acesso somente aos recursos necessários. E você pode até mesmo remover completamente a VPN. Embora isso geralmente seja feito a partir do que eu vi em ambientes de nuvem e onde o Zero Trust se tornou muito mais maduro. Ok. Então, isso pode ser feito. Só estou dizendo que não faça isso, não entre na primeira tentativa. Mas depois de implementar confiança zero e continuar a melhorá-la, você pode realmente fazer isso. Ok, desculpe. E, claro, quais são os desafios? Portanto, a confiança zero tem seus desafios. Não é como eu disse, uma coisa única. Isso é um afastamento radical da arquitetura tradicional. Portanto, isso tem um custo e um esforço. No entanto, quero dizer, leva algum tempo para que seus administradores de segurança e sua equipe de segurança se adaptem a isso. A implementação real e geralmente requer um investimento significativo. Talvez você precise comprar novos controles, treinamento e custos de suporte. A integração da arquitetura de confiança zero é complexa. E mantê-lo também pode ser complexo. Se você não sabe o que está fazendo, porque é um modelo totalmente diferente de grunhido de acesso. E muitos outros lugares onde você precisa monitorar. Teremos que implementar seus controles. Vantagens. Já falei com você sobre quais vantagens podem compensar as dificuldades, a complexidade e análise comportamental que leva algum tempo para implementá-la, e não é fácil dividi-la. E, claro, quando você altera a arquitetura e uma grande mudança arquitetônica, isso causará um equilíbrio entre manter a empresa funcionando e tradução para uma nova arquitetura. Então você precisa. Falaremos sobre isso mais tarde, quando você falar sobre implementação. A mudança para uma arquitetura de confiança zero. Isso exige um planejamento cuidadoso , controle de mudanças, muito tempo e esforço. E, como eu disse, os benefícios não são imediatamente aparentes. Reserve um tempo e, em seguida, você verá os benefícios que surgirão. Portanto, não seja realista nem os desafios. Observe que os benefícios conhecem os contras para que você saiba no que está se metendo. Por favor, não se limite ao hype. Sim, o Zero Trust resolverá tudo. Deixe-me seguir em frente e começar cegamente a implementar a confiança zero. Assim. O projeto falhará e eles realmente terão mais dificuldades mais tarde. Ok, então chegamos ao final desta lição e guia sobre quais são as principais conclusões. Mais importante ainda, Zero Trust é uma mentalidade. Não é um produto, não é uma certificação. Existem vantagens, desvantagens e desafios. As vantagens que sempre aceitaremos serão mais do que as desvantagens. Absolutamente. Desde que você tenha implementado corretamente. E, como eu disse, Zero Trust precisa ser tratado como um projeto. Você precisa investir tempo, investir dinheiro, recursos investidos. Precisamos ter certeza de que o que você está tentando implementar está claro desde o início: você tem apoio gerencial, você faz todas essas coisas. Absolutamente. Você verá os benefícios da confiança zero saindo, certo? Agora. Espero que você tenha obtido um entendimento de alto nível. Agora, vamos abordar mais, na próxima lição, mais princípios básicos como isso realmente calcula a confiança? E então vamos passar para o novo padrão e fazer estudos de caso. Ok, então agora eu espero que você tenha melhorado a base agora. Então, vamos mergulhar mais profundamente agora. Obrigado, pessoal, e nos vemos na próxima aula. 5. Princípios básicos de Zero Trust: Oi amigos. Ok, então essa é uma lição muito, muito, muito importante. E com isso vamos fazer um mergulho mais profundo. E vamos analisar os princípios fundamentais do Zero Trust e como os elétrons realmente calculam o transporte? Onde entra a parte da confiança? Portanto, já entendemos a bandeira de confiança zero. É uma estrutura de segurança. Você presume que nada é, nenhum usuário, dispositivo ou sistema é inerentemente confiável, certo? Não há confiança implícita, independentemente de onde você esteja dentro ou fora. E é diferente de acordo com certos princípios básicos, certo? Então, vamos falar sobre isso e vamos falar sobre confiança. Então, em vez de sua maneira estática de gostar de como você faz isso atualmente, confie zero como uma forma de decidir quem é confiável e quem não é. E você pode ver como ele analisa continuamente esses fatores. E, na verdade, muda suas políticas e permissões em tempo real. Portanto, ele é capaz de estabelecer essas sessões de confiança dinamicamente. Portanto, as decisões de acesso são tomadas caso a caso. Não é como se você simplesmente desse a um cara acesso à matriz e à permissão simétrica, simétrica, então baseada em arquivos, e pronto. Não, na verdade, ele pode ser visto dinamicamente, e é assim que essa é a diferença entre a confiança zero e os outros modelos. Então, vamos dar uma olhada no que estamos falando aqui. Então, falei sobre a taxa de confiança zero e os princípios. Portanto, a confiança zero consiste em certos princípios fundamentais. Essas são as metas ideais a serem alcançadas. Como eu disse antes, não é como se você estalasse um dedo e, de repente todos os princípios do Zero Trust fossem implementados. Não, não funciona assim, certo? Portanto, ele fornece uma coleção de ideias e conceitos projetados para implementá-lo, certo? E depois de fazer isso, você pode dizer, ok, agora temos essa maturidade em confiança zero e vamos falar sobre isso. Então, esses são os objetivos ideais a serem alcançados. E mais uma coisa que é muito importante, pessoal, como falaremos sobre nist e outras coisas: os nomes às vezes vendo esses princípios no back-end, eles permanecem os mesmos. Mas os conceitos, só os nomes mudam, mas os conceitos permanecerão os mesmos. Portanto, não se confunda porque não existe uma lista de curtidas padrão. Certamente temos algumas coisas do Nist e certas coisas de outras. Tentei resumir todos eles em um único local para facilitar as coisas para você. Então, vamos falar sobre isso agora, vamos falar sobre quais são os princípios do Zero Trust. Portanto, este é um modelo recente que saiu do Fórum Econômico Mundial, que é um modelo de confiança zero em segurança cibernética. E é dado certos princípios, certo, estabelecidos sem confiança por padrão. Garanta a visibilidade. Aplique confiança para uma verificação dinâmica e contínua. Use o mínimo de privilégios, garanta a melhor experiência possível para o usuário final. Então, um princípio que você sempre verá é que nunca confie, sempre verifique o princípio mais, o mais comum. Mas é baseado em uma lista mais ampla de princípios, certo? E geralmente eles o tiram do ninho. O Instituto Nacional de Padrões e Tecnologia é a publicação especial SP 800 a 07. E cada organização que ela pode filmar, analise cada um desses princípios e veja o que é viável implementar no que ela é. Mas esses são alguns dos princípios mais comuns sobre os quais falamos sempre que falamos sobre a implementação da confiança zero. Quando falamos verificar tudo explicitamente, quando falamos que não há nada como não existir confiança por padrão, você sempre precisa autenticar e autorizar usuários antes de conceder acesso a eles , independentemente de sua localização ou do que foi feito anteriormente, nível de confiança anterior, certo. Você pode fazer isso impondo acesso ao menor privilégio do MFA. E você está assumindo uma violação, sempre é como se você estivesse assumindo que está operando sob a suposição de que sua rede já foi comprometida. E essa mentalidade incentiva medidas de segurança proativas mesmo que não haja nenhum seno visível de uma violação. E isso foi algo como o menor privilégio. Isso já está lá, certo? Então, muitas organizações já aplicaram isso, limitando o acesso de usuários e sistemas ao nível mínimo de permissões necessário para realizar a tarefa. E isso ajudará você a reduzir os possíveis danos causados pelo comprometimento das credenciais. Mas você quer ter certeza de que os usuários não estão, a produtividade não seja comprometida ao mesmo tempo. Uma coisa que está trancada aí e que é muito importante, essa microssegmentação, da qual falei, que é muito importante. microssegmentação significa que você divide a rede em segmentos isolados menores para limitar seu movimento lateral, certo? Na verdade, sei que pode ter menor privilégio, mas sim, acho que é mais importante discutir isso separadamente. Mas, pela segmentação da Microsoft, o que você faz é compartimentar seus recursos. Então, o que acontece devido à capacidade desse atacante de se mover de uma parte da rede para outra é significativamente reduzido. E você já falou sobre confiança vazia com verificação dinâmica e contínua, certo? Ele se trata de monitoramento e análise contínuos. O que está acontecendo é que os usuários são monitorados e analisados regularmente. Esse é o comportamento de Tim para responder a possíveis ameaças à segurança. Então, o que o mecanismo Zero Trust faz é coletar e analisar continuamente dados para ajudá-lo, como responder a alertas. E, geralmente, como isso funciona? Ele se integra com suas outras ferramentas de segurança, solução SIM e seu login único. Então, essa é uma maneira holística de fazer isso, certo? E então, basicamente, esses são os diferentes modelos que existem. Seguindo esses princípios básicos, você pode realmente implementar a confiança zero em sua totalidade e reduzir o risco de violações de segurança. E você pode proteger seus dados confidenciais, que estão lá. Então eu tomei, tomei a liberdade de adotar esses princípios e torná-los simples assim, certo? Então, esses também são os princípios sobre os quais falamos anteriormente, que a rede sempre é considerada hostil. Sim, supondo que isso já viole a ideia de ameaças externas e internas. Portanto, não há confiança implícita concedida a ninguém. Porque basicamente tudo pode ser comprometido, certo? Onde você está com um advogado não é suficiente para decidir confiar. E cada usuário de dispositivo e fluxo de rede precisa ser autenticado e autorizado. Não importa na nuvem ou no local. E coisas assim. E as políticas devem ser dinâmicas e calculadas a partir do maior número possível de fontes . Então, esses estão lá. E, claro, uma coisa que não é mencionada como microssegmentação, e acho que existe no menor privilégio do usuário. Mas esse conceito também precisa estar morto. Mas, como eu disse, o Zero Trust não é uma arquitetura única. É um conjunto de princípios orientadores e pode evoluir com o tempo. Ok, então é uma jornada. Não é como no primeiro dia. Você terá todos esses princípios implementados, certo? Então, isso é real, o que falamos sobre isso é falar sobre a abordagem normal versus uma abordagem de confiança zero. Então, falamos que Zero Trust é um afastamento muito significativo de sua segurança simétrica tradicional. A segurança de rede tradicional é confiança, mas verifique. Ele pressupõe que os usuários dentro do seu perímetro estejam seguros e isso colocará você em risco de agentes internos maliciosos que roubaram credenciais legítimas, ou talvez de invasores que tenham se desenvolvido socialmente por meio da pesca e da invasão de contas de alguém, certo? E o que acontece é que, com essas contas comprometidas, elas têm um amplo acesso na rede. Então, esse modelo praticamente se tornou obsoleto quando a nuvem entrou, quando a simulação remota chegou, como em 2020, você pode salvá-lo Valley. Esse modelo realmente não funciona mais. Então é disso que estamos falando com Zero Trust. Nunca confie, sempre verifique. Uma confiança zero pressupõe que não há confiança inerente e exige verificação e autorização contínuas , certo? Já com a anterior, ela permitiu um certo nível de confiança, certo? Realmente depende de como você implementa a confiança zero, depende de suas necessidades específicas e tudo mais. Mas, em poucas palavras, falamos repetidamente nada é confiável inerentemente, seja por dentro ou por fora, certo? Porque você está assumindo que uma violação já existe. Então, isso é muito, muito importante. E então você explica que implementa os princípios de confiança zero de privilégio mínimo, microssegmentação e monitoramento contínuo. Mas como fazemos isso, certo? Então, como chegamos agora? Estamos vendo que nunca confie, sempre verifique e como verificamos isso e, em seguida, como podemos confiar, ok. Como sabemos que algo é seguro? Então, é assim que a partida entra. Portanto, gerenciar a confiança talvez seja o aspecto mais difícil de realmente implementar a escolha de confiança zero. Como até mesmo dentro de suas métricas normais, escolher quais pessoas religiosas em dispositivos são permitidas na rede. É um processo muito demorado, certo? E você continua atualizando suas permissões e isso afeta diretamente a postura de segurança. Normalmente, sejamos realistas. A forma como isso geralmente é feita é deixada como um esforço manual para engenheiros de segurança e a equipe de gerenciamento de identidade e acesso. A nuvem pode ter políticas gerenciadas. Você sabe, se você está implementando algo na AWS, pode ter políticas gerenciadas. Mas essas políticas fornecem apenas um isolamento muito básico, como o superusuário admin. E devido à dificuldade em defini-las ou mantê-las, a solicitação de alteração dessas políticas geralmente é uma métrica com resistência. E você não sabe qual será o impacto, certo? Portanto, isso geralmente leva os administradores a manter essas políticas, não a alterá-las, e eles ficam sobrecarregados com cada vez mais solicitações. Portanto, esse é um problema comum. As políticas não são realmente dinâmicas o suficiente para responder às ameaças que estão surgindo. Uma organização madura terá algum peso no processo de auditoria. Você pode estar fazendo uma certificação trimestral, mas com que frequência você vai fazer isso? É muito entediante fazer isso. Você sabe o quanto para um ser humano, você pode ter milhares e milhares de políticas. Quanto dano um administrador desonesto poderia causar em uma rede antes que uma auditoria fosse descoberta, mitigá-la, certo? Portanto, uma maneira mais útil seria pensar comer isso e repensar toda a relação de confiança. Reconhecer que a confiança em uma rede está mudando e se baseia nas ações anteriores e atuais, certo? É assim que começamos a nos afastar desse método antigo e adotar uma abordagem de confiança zero. Então, essa é uma nova maneira. Em vez de definir decisões de política binária que você fornece a usuários específicos, rede de confiança zero monitorará continuamente as ações de um ator em uma rede e haverá uma pontuação de risco que é atualizada continuamente. Esse código pode então ser usado para definir políticas na rede com base na severidade de quanta confiança existe, certo? Portanto, em uma arquitetura de confiança zero, confiança não é calculada como uma única métrica, como uma pontuação única, mas há uma combinação de fatores e analisaremos aqueles que contribuem para a tomada de decisão. Então você decide se é permitido ou não, certo? E essas podem ser muitas coisas contextos de identidade de usuários e dispositivos, comportamento. Mas tudo isso o Zero Trust está analisando e pode determinar o nível de acesso. Há muitas coisas que podem entrar em jogo. Sua identidade de usuário, certo? Quem é o usuário, se ele está usando uma autenticação forte, como MFA, identidade do dispositivo. Se o dispositivo é como gerenciar ou como um dispositivo pessoal. Qual é a postura de segurança, qual é o contexto do nível de correção? Qual é o papel do usuário na organização, o local que chega no momento certo. Está vindo de um comportamento público de Wi-Fi ou VPN. Talvez eles usem o comportamento do usuário a partir do histórico. Pode estar mostrando algumas anomalias e, em seguida, os riscos podem ser alterados, certo? Então, quando você precisar monitorar a avaliação de riscos, avaliar a pontuação de risco e qual acesso sua concessão, e qual acesso sua qual é o impacto potencial. Então, do que estou falando caso a caso. Este é o mecanismo de confiança zero que analisa isso e como ele seria implementado na prática? Então, vamos ver a praticidade disso. Então, é assim que basicamente um interesse zero na geração seria visto de um nível muito, muito alto. Seria obter dados para o usuário, o dispositivo, da sua solução SIM. E existe um mecanismo que calcula uma pontuação de risco e depois permite ou proíbe considerando esses fatores. Usuário, dispositivo, como eu sou continuamente e adapto, avaliando e interrompendo as permissões. Em tempo real, a arquitetura de confiança zero pode então estabelecer a confiança dinamicamente, como eu disse, o acesso às crianças é feito caso a caso. E para garantir que os usuários e os dispositivos tenham os níveis adequados de confiança, certo? Então, vamos dar um exemplo. Um usuário pode estar visualizando o calendário de um dispositivo pessoal ali mesmo, calendário do escritório, o que pode fornecer uma pontuação de baixo risco. Mas se o mesmo usuário de um dispositivo pessoal tentar alterar as configurações do sistema, isso lhe dará uma pontuação de risco muito maior. E isso seria negado pela bandeira geral do Zero Trust à equipe de segurança. Portanto, mesmo neste exemplo simples, você pode ver o benefício de uma pontuação. Você pode tomar decisões muito inteligentes. E coisas como políticas escolares podem afetar o resultado, como aquarelas e perguntas com base em números variáveis, coisas como atividades históricas, podem melhorar drasticamente a segurança de sua rede, não é nada em comparação com elas podem melhorar drasticamente a segurança de sua rede, não é nada em comparação com as políticas estáticas anteriores com as quais conversamos. Portanto, as sessões que foram aprimoradas aprovadas pelo mecanismo de confiança zero podem ser mais confiáveis do que nas que não foram. Assim, você pode começar a confiar menos na sua autenticação baseada no usuário. Então, agora você pode ver o quão inteligentes os engenheiros de confiança zero forneceram a implementação adequada, certo? E como isso acontece? Por exemplo, digamos que eu coloque mais detalhes. Normalmente, há um conceito de confiança zero de um plano de dados e um plano de controle. Portanto, a distinção, esse conceito de plano de dados e plano de controle, não é um conceito novo para o Zero Trust, vem da segurança de rede e da arquitetura de rede. Mas a ideia básica é que um dispositivo de rede ou um usuário tenha dois domínios lógicos. Há uma clara diferenciação entre os dois. O plano de dados geralmente é o domínio DOM , que gerencia o tráfego. E, geralmente, se for projetado para lidar com altas taxas de tráfego, ele tem uma lógica simples. Normalmente não é tomar decisões inteligentes, certo? O plano de controle, você pode pensar nele como o cérebro da rede. É a camada em que os administradores do sistema estão aplicando a configuração. E é aqui que as decisões políticas estão sendo tomadas. Então, geralmente o avião de controle não é usado para lidar com o tráfego, ok? E o plano de dados, esse é o plano de dados. Esse é o trabalho do plano de dados. Portanto, uma rede de confiança zero define uma separação clara entre o plano de controle e o plano de dados. E o Data Plane geralmente é composto por todos os aplicativos, firewalls e roteadores proxy que processam diretamente toda a rede, certo? E estão sendo, que estão sendo usados para gerenciar todas as conexões. Eles precisam determinar rapidamente se o tráfego deve ser permitido ou não. Ok? Então é aqui que o avião de controle entrará. Portanto, o plano de dados é onde o tráfego está sendo tratado e o mecanismo. O plano de controle é usado para tomar as decisões e as decisões políticas. E geralmente é aqui que seu mecanismo de confiança zero funciona. E como o plano de controle, basicamente o plano de controle tomará as decisões ou mudanças políticas e as empurrará para o plano de dados. Ok, então ele vai dizer clique, aplique esta política, aplique essa política, restrinja esse usuário porque ele tinha uma maior, então permita esse usuário porque ele tem a menor pontuação de risco. Então, como isso faz isso? Mas isso pode ser de várias maneiras. Quero dizer, o mecanismo pelo qual o plano de controle afeta as mudanças no plano de dados é muito importante porque o plano de dados geralmente é o ponto de entrada dos atacantes. E a interface entre ele e o plano de controle deve ser muito segura, muito clara. Porque se isso for comprometido, todo o seu mecanismo de confiança zero estará comprometido. As solicitações de gravação entre o plano de dados e o plano de controle devem ser criptografadas autenticadas usando uma PKI não pública para garantir que o sistema seja confiável. Portanto, é muito, muito crítico. É como a fase do usuário e do kernel entre os sistemas operacionais, certo? É muito, muito isolado para impedir que alguém o acesse. Isso tudo é basicamente a rede de confiança zero que está funcionando. O plano de controle é muito, muito crítico porque é aqui que a confiança está sendo concedida. Devido ao controle abrangente de um comportamento infixo, a segurança dos aviões de controle é fundamental, a confiabilidade. E geralmente alguém muito, muito privilegiado deve estar lá para acessá-lo. E a confiança garantida. O que ele chamou de plano de controle é aquele que está tomando as decisões sobre o plano de dados. E lembre-se, quaisquer que sejam as decisões políticas tomadas, elas são temporárias, certo? As políticas estão mudando. É dinâmico. Então, normalmente você pode fazer isso dois tokens ou certificados vitalícios, mas é assim que geralmente um sistema de confiança zero funciona. Então, quando o plano de controle concede a alguém no plano de dados um sinal de que é de curta duração, não é como se fosse permanente. Então, é assim que, na praticidade, você dá acesso em um mecanismo de confiança zero. Você tem o plano de controle, que não está dentro do mecanismo de confiança zero e que está aplicando políticas dinamicamente ao plano de dados. E as políticas do plano de dados geralmente duram pouco e o plano de controle de dados precisa ser muito, muito seguro para garantir que os ataques não possam subverter, ele não possa acessá-lo. Desculpe, pessoal, isso demorou um pouco mais, mas é aqui que estamos realmente nos aprofundando em como os engenheiros de confiança zero trabalham. E agora, na próxima lição, vamos dar uma olhada na confiança zero do vista do Nist, não de seus conceitos básicos. Então, falamos sobre os princípios do Zero Trust, que não são imutáveis. Nós evoluímos continuamente a taxa. E os nomes podem ser diferentes, mas é sobre os conceitos que temos que falar. E estamos migrando de políticas estáticas para uma abordagem de confiança. E essa é uma abordagem muito melhor do que políticas estáticas. Como se você tivesse falado sobre confiança zero. A confiança não é como uma única pontuação métrica, é uma combinação contínua de fatores. É um processo de tomada de decisão inteligente para conceder ou negar acesso. E isso pode ser sua identidade, contextos e comportamento de usuário e dispositivo. Todas essas coisas estão chegando. E ao avaliar continuamente esses fatores, arquitetura Zero Trust permite que decisões dinâmicas sejam tomadas caso a caso. Muito importante que você conheça o conceito de plano de controle e plano de dados. Esses são essenciais para a compreensão. Lembre-se de que o plano de controle é o cérebro do mecanismo de confiança zero, onde todo o acesso autenticado e autorizado e as decisões estão sendo tomadas. E o plano de dados é basicamente a parte do tráfego da rede DOM em que as decisões políticas estão sendo implementadas e aplicadas. Espero, esse cara, que isso lhe dê uma melhor compreensão da confiança zero, como ela funciona e como tudo está funcionando. Na próxima lição, falaremos sobre o padrão nist e como esse é basicamente o padrão de fato da indústria e onde esses conceitos são implementados com mais detalhes, pessoal. Ok, obrigado e nos vemos na próxima seção. 6. NIST Standard: Oi amigos. Agora, bem-vindo a esta lição na qual vamos nos aprofundar no novo padrão. Acho que essa é facilmente a lição mais importante deste curso, então preciso de toda a sua atenção aqui, por favor. E, na verdade, se você quiser entender a confiança zero em detalhes, esta é a lição em que você mais quer se concentrar. Agora, só para recapitular, falamos sobre como a abordagem Zero Trust tem taxas diferentes. Falamos sobre coisas como a abordagem baseada em confiança na lição anterior e por que é uma abordagem tão melhor do que ter apenas políticas estáticas tomando decisões binárias, sim ou não. E vimos que, em nossa arquitetura Zero Trust, confiança não é calculada como uma única métrica ou um quadrado. Não é sim-não. Em vez disso, a confiança é estabelecida por meio de uma combinação de fatores que contribuem para o processo de tomada de decisão ao conceder ou negar a taxa de acesso. E é sobre isso que vamos falar, como implementar isso em detalhes. Porque se eu te perguntasse, ok, vá em frente e implemente uma arquitetura de confiança zero, como você pegaria esses conceitos sobre os quais falamos e realmente implementaria , é disso que vamos falar, ok? Então, sabemos que agora estamos zero do conceito existente. E, mas e a arquitetura de confiança zero? Muitas pessoas se confundem entre confiança zero e arquitetura de confiança zero. Portanto, a arquitetura de confiança zero é o plano real. Em seguida, acompanhe este plano de segurança cibernética corporativa que usa conceitos e aplicações de Zero Trust que o implementa na rede. Ok? É assim que você vai implementá-lo. E quando uma empresa decide adotar a confiança zero como estratégia principal e gerar uma arquitetura zero, um plano de arquitetura de confiança zero. Esses princípios. Agora você vai implantá-lo e como fazemos isso? Então é aí que entra o padrão nist. Isso é facilmente o mais parecido com o padrão de fato da indústria. Então, vamos falar sobre como realmente implementar esses componentes. Ok? Então, sim, é sobre isso que eu falei anteriormente, que eles não se confundam entre os conceitos de Zero Trust Architecture e Zero Trust. Zero Trust é o conceito que tem um nível muito alto. Esses são os princípios e arquitetura é como você os implementa. É assim que você vai realmente aplicar esses padrões, aplicando-os em sua rede. Suponha que você tenha um ambiente novo e existente e deseje implementar a confiança zero. É assim que você vai realmente implementá-lo. Então, como vamos fazer isso? Então, suponha que a gangorra chegue até você hoje, ou que o chefe de segurança cibernética diga: “Eu quero que você vá em frente e torne nosso ambiente compatível com os princípios do Zero Trust”. Como você vai fazer sobre isso? Para onde você olha? Tipo, por onde você começa? E esse é o desafio que eu também enfrentei, como falei no início do curso, há muita documentação de alto nível presente, nada em detalhes, ou tem mais a ver com produtos. Com este produto, compre esse produto. Você realmente não entra nos detalhes da implementação. É aqui que entra o padrão. 80207, Instituto Nacional de Padrões e Tecnologia da Nestlé. Como uma organização bem conhecida que cria padrões e eles são bastante detalhados. Na maioria das empresas, se você quiser implementar a confiança zero, esse é o padrão. Esse é o padrão abrangente mais neutro em relação ao fornecedor, não para qualquer entidade governamental, mas para qualquer empresa. Então, ele pega todos os conceitos sobre os quais falamos da Forrester Gartner e os implementa. E mostra como implementá-lo. E também mostra como implementá-lo em um ambiente moderno, certo, com um trabalho remoto que prioriza a nuvem que a maioria das empresas precisa alcançar. E, como eu disse, é neutro em relação ao fornecedor, o que é incrível. Portanto, não está promovendo nenhum produto. Ele pode ser usado por uma empresa de qualquer tamanho. A melhor parte é que a semelhança padrão é que ela passou por muitas validações e contribuições de muitos, muitos especialistas, de clientes comerciais, fornecedores, agências governamentais e partes interessadas. É por isso que foi tão exaustivamente testado, e é por isso que muitas empresas privadas , empresas públicas e governos o consideram o padrão de fato, quer você encerre um governo ou não. É sobre isso que queremos falar agora, você pode ir e dar uma olhada. O bom disso é que é totalmente gratuito, certo? No início, fala sobre o que é Zero Trust, quais são os conceitos? Mas eu quero falar em detalhes sobre como é a arquitetura, porque é aí que queremos nos concentrar em como realmente implementá-la. Então, vamos dar uma olhada em como os componentes de confiança zero estarão em uma arquitetura de confiança zero. Então é sobre isso que eu quero falar. Então você pode ver neste diagrama, certo? Você tem muita coisa dentro do ambiente, pode parecer um pouco confuso aqui, mas o que é isso? Mas eu quero que você se concentre no meio, que é uma das melhores partes do documento do Nist. E é uma ênfase em alguns componentes principais que são necessários para implementar uma arquitetura de confiança zero adequada. Esse é o ponto de decisão política e o ponto de aplicação da política. Você pode olhar para ele bem no meio. É o ponto de decisão política e o ponto de aplicação da política. Ter esses dois componentes, o PDP e o PEP, na frente de cada ativo que você tem. E é aqui que cada solicitação, minha esposa, é a maior diferença entre uma arquitetura Zero Trust e uma arquitetura normal. Isso é o que diferenciará seu ambiente, seja uma arquitetura de confiança zero ou uma arquitetura normal. Agora é quando falamos sobre PDP e PEP. Isso pode não necessariamente ser uma solução. Isso pode ser algo que você construiu em casa. São como conceitos abstratos que podem assumir diferentes formas, dependendo das necessidades de sua empresa. Falaremos sobre isso em detalhes. Mas seja qual for a forma como você implementou PDPs ou pontos de decisão política, esses são componentes que avaliam a postura. De alguém que é acústico, algo o sujeito e o objeto. E então toma a decisão de permitir ou não com base em muitos e muitos fatores. Vamos analisar detalhadamente outro algoritmo de confiança, certo? E o próximo é o PEP, o PEP, o ponto de aplicação da política. Esses outros componentes são responsáveis por abrir e fechar a conexão com o recurso. Então, o PEP aceita, age, o que o PDP faz. Um PDP diz permitir, vai permitir. Pdp diz que não permita, vai desacelerar. Ok? Então, essa é uma das coisas críticas. Acho que é a coisa mais importante de uma arquitetura de confiança zero. Agora, os PDPs e os PEP podem ser consolidados distribuídos. O PEP pode ser como um agente em seu computador ou laptop, certo? Ou pode ser um gateway, como um proxy ou um firewall. Mas em todos os casos, o que quer que você tenha implementado PDP ou NPP, eles representam a capacidade à qual, como a arquitetura de confiança zero, está sendo aplicada. Pdp, lembre-se de que é assim que você toma a decisão permitir ou não com base na confiança. E o PEP é como você implementa essa decisão. Ele permite uma proibição e vamos analisá-la com mais detalhes. Eu não quero sobrecarregar você. Então, a primeira coisa é o assunto. O assunto é como se você quisesse acessar algo definido pelo nist. Isso pode ser um usuário, isso pode ser um aplicativo, isso pode ser um dispositivo como um laptop. E pode estar solicitando acesso a um recurso corporativo no momento, isso pode ser um aplicativo, pode ser uma carga de trabalho de documentos de dados, mas está sob o controle do sistema Zero Trust. Então, vou me referir a nós como um recurso, ok? Então, é assim que ele vai ser acessado. Então, o sujeito vai dizer, ei, eu preciso acessar esse recurso. Esse recurso é controlado pelo sistema de confiança zero. Então, o que acontece? Ok? Isso é então, como eu disse, o Zero Trust. Você sempre presume que o assunto está em uma rede não confiável, certo? Você não confia em nada. Está em um sistema não confiável, o assunto está interessado. Portanto, o PEP entra no ponto de aplicação da política. É isso que está controlando o acesso dos sujeitos ao recurso. Não, o PEP é tipo, você pode pensar nele como um dispositivo idiota. Ele não armazena nem toma nenhuma decisão política. Não sabe sobre isso. Essa é a parte do PDP, que é o ponto de decisão política. Agora, analise o ponto de decisão política. O ponto de decisão política é uma entidade lógica, certo? Isso fará com que as decisões sejam compostas por algo como um mecanismo de políticas e um administrador de políticas. E geralmente não precisamos entrar em detalhes, mas apenas para fornecer uma visão geral de alto nível, fornecer uma visão geral de alto nível, o mecanismo de políticas é responsável pela decisão de conceder ou negar acesso. Isso exige muitas informações de outras fontes. Vamos falar sobre isso, o SIM e sua política de acesso a dados ou o login único, suas informações sobre ameaças. E usa um algoritmo confiável para decidir se a decisão será permitida ou não. O mecanismo de políticas toma muitas dessas decisões políticas e, em seguida, entrega ao administrador da política. Escreva, o administrador da política é responsável por, por exemplo, se a conexão será estabelecida ou não estabelecida, ele comunique ao PE o ponto de aplicação da política. Ok. Não gosto de falar muito detalhadamente com o administrador de políticas do mecanismo de políticas apenas para lembrar o conceito do ponto de decisão política. E geralmente isso é suficiente. Honestamente falando, eu acho que às vezes as pessoas ficam confusas sobre isso. Basta lembrar o ponto de decisão política que tomou a decisão e o ponto de aplicação da política, nós implementaremos essa decisão. E está entre o assunto e o recurso corporativo, e aplicará essas decisões. E é assim que implementamos a arquitetura de confiança zero. Ok? O que, se você se lembra, falamos sobre o plano de controle e o plano de dados. Lembre-se de que o sujeito está se comunicando com o recurso em todo o plano de dados. E o plano de dados é separado do plano de controle. Então, isso também afirma que o PDB e o PEP precisam se comunicar um com o outro. Honra como uma rede fora de banda Woody Call. O plano de dados está sendo usado para o tráfego do seu aplicativo, ok? É isso que você está sendo usado para afetar os aplicativos. O plano de controle é onde todas as decisões críticas estão sendo tomadas e isso precisa ser completamente separado. Ninguém deveria ser capaz de acessá-lo. Além de pessoas muito, muito específicas, desculpe, especificamente permitidas. Lembre-se de que o plano de dados é a camada DOM que gerencia o tráfego na rede, ok? E geralmente é capaz de lidar com taxas de tráfego muito, muito altas. E geralmente é como se fosse acionado por hardware. E ninguém ligou. Você pode pensar nisso como um dispositivo idiota quando eles estão apenas iniciando a camada DOM apenas com o tráfego fluindo pelo plano de controle , pode ser, você pode pensar nisso como o cérebro da rede. É aqui que o PDP está confiando, certo? E é aqui que as configurações estão sendo aplicadas e é aqui que as decisões políticas estão sendo tomadas. Mas lembre-se do que eu falei anteriormente na lição anterior. Como o plano de controle é tão crítico, ele não foi projetado para lidar com altas taxas de tráfego, mas se comunica com o plano de dados e o ponto de aplicação da política. É por isso que deve ser altamente seguro. Ninguém deveria ser capaz de subvertê-lo. Se alguém conseguir, o atacante poderá obter acesso ao plano de controle, então ele poderá mudar as decisões e fazer com que modifiquem o algoritmo, certo? Então é aqui que a rede de confiança zero define uma separação clara entre o plano de controle e um plano de dados. Lembre-se de que o plano de dados é onde sua rede é composta por todos os aplicativos, firewalls, proxies e roteadores, certo? Isso não faz parte de todas as conexões. E você precisa determinar se os católicos devem ser autorizados a fazer determinar se os católicos devem ser tudo o que é feito no plano de controle. Espero que isso lhe dê uma ideia. O que significa a morte dele. Agora, esses são os sistemas de suporte. Esses são os elementos adicionais que estão lá, que estão fora do sistema, como o CDM, o mesmo Vamos ver isso da esquerda. Mas, logicamente, eles fazem parte de qualquer sistema de confiança zero, ou seja, ajudam o ponto de decisão política a tomar a decisão, porque, seu algoritmo de confiança, também falaremos sobre o algoritmo. O algoritmo de confiança usa os dados de todos esses sistemas para tomar decisões no zoológico e eles influenciam a forma como as decisões políticas estão sendo tomadas. Isso ocorre porque ele pega informações de todos esses outros sistemas e toma uma decisão. Ok, então vamos examinar a literatura da esquerda para a direita que você tem o sistema CDM certo, que é um sistema contínuo de diagnóstico e mitigação. Isso reúne informações sobre o estado atual do SAS corporativo e aplica essas atualizações ao humor dos componentes de software e de configuração, muitas empresas têm esses sistemas, certo? Basicamente, ele fornece ao PDP as informações sobre o ativo, como se ele está executando o sistema operacional apropriado. Dada a integridade do software que está sendo executado nele, talvez ele tenha alguns sistemas não aprovados, certo? Onde há alguma vulnerabilidade. Isso ajudará o PDP a saber se o dispositivo está em um estado seguro ou não. O outro é como o sistema de conformidade do setor. Isso garante que a empresa esteja em conformidade com qualquer regime regulatório em um PCI DSS, benchmarks CIS, etc. Em seguida, estão os feeds de inteligência de ameaças. O feed de informações sobre ameaças. Acho que todos vocês estão cientes disso. Isso fornece informações de fontes internas e externas. Eles ajudarão o mecanismo de políticas que toma essa decisão ou isso pode ser de terceiros, isso pode ser de código aberto. Podem ser vários serviços que coletam dados de fontes internas ou externas e permitem sobre os novos ataques que eles falem sobre os novos ataques e vulnerabilidades existentes, talvez falhas no software, alimentem o algoritmo de confiança. A seguir, as cargas de atividades. Agora, registros de atividades da rede e do sistema. Essa empresa, assim, agrega todos os registros de atividades que existem, certo? E fornece feedback em tempo real. Isso também pode ser combinado com a mesma solução, não necessariamente, ela precisa ser separada. O que mais existe agora, passamos para a direita, a política de acesso a dados. Essas são as regras e políticas sobre o acesso aos recursos corporativos, certo? Agora, isso pode ser gerado dinamicamente pelo PDP, mas geralmente é um ponto de partida. Ele analisa quem tem permissão de acesso, quem não tem acesso e, em seguida, pode refiná-lo. Mas isso é como um ponto de partida. Você pode ter um PTA, PTA, acho que você já sabe que isso é como os certificados emitidos pela empresa. E geralmente um sistema de confiança zero. Ele fornece esses certificados para isso. Estabeleça a sessão. exemplo, falamos sobre tudo o que tem acesso para fazer com que seja muito curto, com um limite de tempo. Não é como se o mecanismo de confiança zero lhe desse acesso, você o tivesse para sempre. Eu sei que pode ser limitado no tempo. Às vezes, é implementado por meio de certificados. E o que quer que seja. O próximo passo é o gerenciamento de identidade. Isso pode ser um login único. Pode ser como você gerencia todas as suas contas de usuário , consideradas como um único login octo, seja o que for. Mas esse sistema contém informações sobre o usuário, certo? Nome, endereço de e-mail, o que mais existe? Atributos de acesso à função. Qual é o seu nível de risco? Então, geralmente é aqui que você descobre as informações sobre o usuário, certo? De onde vem. E por último, a solução SIM é sólida. O Sim é onde ele coleta informações de segurança. Acho que a maioria de vocês já sabe o que é o ISAM. Isso é sobre os eventos de segurança que existem. Portanto, todas essas informações estão sendo alimentadas pelo sistema de confiança zero. E eu sei que isso pode se tornar um pouco avassalador. Então, eu quero te mostrar de uma forma simples, isso é o que eu quero que você veja, certo? Este é o usuário que acessará algum recurso. O PEP está no meio. E solicitará que o PDP Progress permita o acesso e o PDP educativo às informações do SIM, do GRC, do SSO de gerenciamento de dispositivos móveis, todos esses componentes sobre os quais falamos. E o PDP está no plano de controle enquanto o PEP está no plano de dados, certo? E a comunicação entre os dois tem que ser muito, muito segura. Mas esses dois componentes são realmente o que é necessário para estabelecer uma verdadeira arquitetura de confiança zero. E tem que estar lá na frente do ativo corporativo da área. Todos os pedidos devem passar por isso. O p, p pode ser um firewall, um proxy, algo, um agente. Mas essas são as duas capacidades. Agora você pode implementá-lo da maneira que quiser. Mas esses são os, é assim que você realmente precisa implementá-lo e realmente fazer com que faça sentido. Agora, espero que isso tenha sido útil e que você tenha entendido como realmente vai implementá-lo dentro da arquitetura de confiança zero. Agora, também falamos sobre o algoritmo de confiança, certo? Então, vamos dar uma olhada no algoritmo de confiança. Eu falei sobre isso anteriormente, como o mecanismo de confiança zero decide se algo não permite nada. Então isso é. O algoritmo de confiança é o processo usado pelo PDP para em última instância, conceder ou negar acesso a um recurso. Ele recebe entradas de várias fontes. A perna está indo para o banco de dados de políticas. Ele vai coletar informações sobre a solicitação de acesso, o dados e o histórico do assunto, o banco de dados de ativos, por exemplo. Então, vamos começar no canto superior direito, solicitação de acesso. Esta é a solicitação real que vem do assunto. Ei, eu preciso acessar isso, certo? Mas então essa informação ficará como: qual é a versão do sistema operacional? Qual é o software que está sendo usado, certo? A perna está na lista negra do questionário, na lista branca, à direita, então pode ser o banco de dados de assuntos. Esse é quem é esse cara? Por que ele está solicitando acesso ao recurso? Oh, o que está acontecendo? Essa pessoa tem permissão para ter esse acesso ou não? Você provavelmente pode obter isso, como eu vejo, sua gravação de login único. Todas as solicitações de acesso que estão lá , serão capturadas aqui. Essa discussão com o banco de dados de ativos. Esse é o banco de dados que contém o status do recurso corporativo, como o BYOD, quais outros dispositivos existem. Ok, o próximo passo são comentários muito sociais. Esse é o conjunto de políticas. E eles definem quais são as políticas mínimas necessárias para acessar esses recursos. E por último, falamos sobre a inteligência de ameaças, certo? Inteligência de ameaças ou os campos externo e interno que estão sendo usados lá. Assim, você pode ver o quão poderoso é esse algoritmo de cluster, quanto ele é diferente do seu padrão. Como “sim” e “não”, coisas que você simplesmente permite que você entenda. O cronômetro está acessando isso porque o nome dele está nas listas de controle de acesso. Se estiver lá. Ok, por favor, permita o conhecimento. Mesmo que seja permitido, você ainda terá muitas outras coisas para ver. E é por isso que essa é a verdadeira beleza de uma arquitetura de confiança zero. Então é assim que o nist define os padrões. Examinaremos mais detalhes agora nas seções futuras sobre quais são os diferentes tipos de implantações. E isso fala sobre, mas agora espero que vocês tenham entendido melhor, pessoal. Portanto, a publicação especial do Nist, 800 a 07, é um padrão neutro em relação ao fornecedor no Zero Trust. Passado. Ele detalha como você implementa, na verdade uma arquitetura de confiança zero com , uma arquitetura de confiança zero com esses conceitos sobre os quais falamos anteriormente Ela passou por muitas validações e contribuições de muitos, muitos clientes comerciais, fornecedores, agências governamentais e partes interessadas. E é considerado o padrão de fato para governos e empresas privadas. E detalha a arquitetura Zero Trust e, especificamente, os conceitos do ponto de decisão política, PDP, e os pontos de aplicação de políticas que devem estar presentes na frente de cada recurso. E eles podem ser implementados da maneira que você quiser. Mas lembre-se de que apenas os detalhes de dureza precisam ser implementados dessa forma. Portanto, não pense nisso como um produto, pense nisso como B. Esses são os princípios que precisam estar presentes em qualquer coisa para que ela seja aplicada, certo? E é assim que você realmente implementa e começa a implementar uma arquitetura Zero Trust adequada. Então, espero que agora você esteja entendendo melhor como arquitetura de confiança zero é realmente implementada na prática. E vamos analisar isso mais detalhadamente nos estudos de caso. Agora, na próxima lição, falarei sobre as abordagens do nist, as diferentes variações e cenários. Então, espero que isso, eu sei que isso continuou por um tempo, mas eu realmente queria me aprofundar nos conceitos específicos. Então, vamos dar uma olhada na próxima lição sobre as diferentes abordagens, variações e padrões. Ok, obrigado pessoal e nos vemos na próxima aula. 7. Cenários NIST - 1: Olá amigos, bem-vindos a esta lição. Agora, nesta lição, você abordará abordagens, variações e cenários de confiança zero e, em seguida, de nist . Agora, espero que você tenha entendido, agora aprofundamos um pouco mais na confiança zero e, especialmente, no nist. Como falamos sobre os conceitos do PDP e do PEP e como as coisas funcionam basicamente. Então, espero que agora você tenha certeza de que confiança zero, como um conjunto de princípios, pode se manifestar em muitos tipos diferentes de arquitetura, certo? Quando você realmente começa a implementá-lo, existem muitas, muitas maneiras diferentes, porque essa é a razão pela qual eles o tornaram de alto nível, certo? Isso é como um grande ponto forte do Zero Trust porque coloca o órgão chamado de decisão de como você implementa esses princípios de confiança zero em suas mãos, certo? O arquiteto ou o administrador. E você pode avaliar e priorizar como você implementa esses princípios de uma forma que se adapte à sua empresa. Mas, ao mesmo tempo, por ser de um nível muito alto, os diferentes tipos de variações que podem surgir. Pode ser uma razão pela qual parece haver muito menos clareza aqui, certo? Você não sabe como implementá-lo e como realmente implementar a confiança zero. E esses princípios. Nesses casos, como o Nist deu alguma compreensão de como fazer o PDP e o PEP, como organizar os componentes técnicos porque seremos únicos para cada empresa é diferente, certo? Então, felizmente, este documento detalha, eu acho que três abordagens arquitetônicas diferentes e , portanto, variações e cinco tipos de níveis e cenários de negócios. Para mostrar como implementar a confiança zero em princípio, abordaremos cada uma delas brevemente. E depois da aula. Depois disso, faremos um estudo de caso adequado de uma deficiência na confiança zero. Dessa forma, você começará a ter cada vez mais clareza sobre como o Zero Trust funciona e como você pode implementá-lo. Então, vamos começar. Em primeiro lugar, são as abordagens de Zero Trust que estão no documento agora, elas são abordagens arquitetônicas de alto nível de nível corporativo . É assim que você gostaria de pensar sobre sua estratégia geral de Zero Trust. Então, eles falaram sobre três maneiras de aprimorar os parâmetros de identidade, governança, microssegmentação, microssegmentação, infraestrutura de rede e design de software. Então, vamos dar uma olhada em cada um deles. Agora, melhor governança de identidade nessa abordagem de confiança zero ou estratégia de confiança zero. Ou seja, a maior parte está na sua identidade de usuário, o foco. exemplo, você pensa em outras coisas como a postura e o comportamento do seu dispositivo. Mas eles não são os critérios principais. A principal forma pela qual a decisão política dependerá das permissões e da identidade. Então, como se algo como um único sinal maior parte de sua abordagem de confiança zero seria ruim. Portanto, é como uma política centralizada com um único ou um pequeno número de serviços de provisão de identidade e eles controlarão tudo. Então, você pode pensar nisso a partir do que ele chamou de foco na identidade, como eles são nessa abordagem, nessa estratégia de Zero Trust. A outra é a microssegmentação. Tenho certeza que você deve ter ouvido falar disso. É uma prática de segurança de rede que cria zonas seguras em data centers ou em ambientes de nuvem. O que eles fazem é dividir esse segmento de carga de trabalho em um agrupamento inteligente e você os protege individualmente. Sua microssegmentação é um tópico muito, muito importante e vou me aprofundar nele mais em breve. Mas, se você implementou corretamente, ele estabelece a base para um modelo de confiança zero no qual somente o tráfego autoriza explicitamente e se move entre esses parâmetros que você define. E aplicativos essenciais podem realmente parecer que você está implementando uma confiança zero na rede. Nessa abordagem, você basicamente usa coisas como roteadores e firewall como pontos de aplicação de políticas, o PEP e o gerenciamento desses componentes. Você pode pensar nisso na função de PDP. Portanto, essa é uma abordagem mais descentralizada porque os segmentos da rede podem ser como um conjunto menor em um grande ativo, mas a tomada de decisão é dividida aqui, então são relações mais decentes. último é a infraestrutura de rede e os parâmetros de design de software. Isso também está usando sua rede e infraestrutura de rede para aplicar políticas semelhantes à microssegmentação. Mas aqui você está falando mais sobre como configurar dinamicamente a rede para permitir ou proibir a aprovação de conexões. Já vi mais sobre identidade e microssegmentação. Vou ser honesto. Infraestruturas de rede, perímetros de projeto de software. Eu não vi isso, apenas minha própria experiência pessoal, mas não precisa ser uma das três. Você pode usar uma combinação. Como eu disse, isso é exatamente como a orientação a partir disso. Você pode usar uma combinação de microssegmentação e infraestrutura de rede, ou uma combinação de identidade e microssegmentação totalmente à sua escolha. Mas eu quero falar sobre microssegmentação. Porque, como eu disse, esse é um tópico muito, muito importante, especialmente quando você está pensando em implementar a confiança zero, certo? Então, por que precisamos de microssegmentação? Então, quando falamos sobre dispositivos de segurança de rede, como firewalls de rede, geralmente o tráfego não inspeciona, que é o tráfego de cliente para servidor que causa o perímetro de segurança e para, como permite que o tráfego autorizado seja interrompido por ativos de tráfego dentro do perímetro, como falamos sobre a próstata, que significa que o tráfego leste-oeste carga de trabalho, a carga de trabalho. Portanto, nesse conceito, o tráfego entre servidor pode passar sem inspeção. E para a maioria das empresas, tráfego leste-oeste compõe a maior parte do tráfego do data center e da nuvem, certo? E o perímetro focado. Como você entendeu, seu firewall não terá visibilidade do tráfego leste-oeste. Então, por causa disso, atores maliciosos são capazes de se mover lateralmente, como falamos sobre movimento lateral, certo? Portanto, o TAC da rede rebela os caminhos entre as cargas de trabalho e se você pode permitir ou não. E, geralmente, dentro dos segmentos da sub-rede, você pode viajar para pesquisas capazes acessar outro servidor. Aqui, microssegmentação entra e cria isolamento. E isso realmente investiga se dois endpoints com acesso um ao outro não se acessam. Esta é realmente uma aplicação do princípio menos privilegiado de que falamos para conter movimentos laterais e violações de dados. Ok? Então é assim que vai ficar, certo? Porque você pode estar dizendo, ei, eu sei disso, eu sei sobre isso. É por isso que temos segmentação de rede. Implementamos sub-redes e segmentação de rede quando falamos sobre isso, é como uma prática de segmentação ou isolamento e efeito em sub-redes menores. Ou as sub-redes gostam de impedir a movimentação dos atacantes. A mesma coisa, movimento lateral. Do ponto de vista da segurança. Por exemplo, o que você chama segmentação de rede pode fazer isso por cinco ou perder dois nós dos dedos. Agora, a desvantagem dessa abordagem geralmente está dentro da sub-rede. Novamente, você pode viajar, certo? Então é por isso que, por favor, não me interprete mal. Não estou dizendo que a criação de sub-rede não deveria existir, mas você deve complementar isso com uma estratégia de segmentação e microssegmentação de confiança zero. Então, lembre-se de que, quando você faz isso, geralmente por que as pessoas dividem as coisas em sub-redes? Uma pergunta é desempenho, certo? Quando você divide em sub-redes menores do eLance, isso reduz o escopo dos pacotes e aumenta o desempenho e também a segurança. Você pode aplicar listas de controle de acesso à rede, V terrenos para isolar máquinas. Portanto, no caso de uma violação de dados, eles ainda evitarão que uma ameaça se espalhe para outras redes. Ok? Mas, além disso, vem a microssegmentação, certo? Porque, sejamos honestos, segmentação ou às vezes não corresponde à arquitetura da rede, e rearquitetar a rede ou reconfigurar as linhas e sub-redes para atender à segmentação de comentários é muito difícil e demorado. Então, a microssegmentação vem aqui e se concentra no tráfego leste-oeste. E geralmente é implementado soluções de segurança baseadas em software como um agente ou uma solução de firewall hipérbole. E é capaz de aplicar políticas de segurança no nível individual do servidor, no nível do aplicativo, em vez de no nível da rede. Então, como seria? Essa é a aparência da sua rede com microssegmentação. Portanto, seus firewalls tradicionais podem estar em muitos lugares. Você não precisa removê-los para evitar essas diferenças. Mas a microssegmentação limitará restringirá a comunicação indesejada entre cargas de trabalho e o tráfego leste-oeste. Isso é muito importante, especialmente na nuvem onde você tem uma rotação contínua. Você tem clusters Kubernetes em crescimento. E você não pode ser como atribuir a eles endereços IP, intervalos de IP, certo? A microssegmentação ajudará muito. Isso aborda ataques de rede em que o atacante está dentro do perímetro e como você chama, isso realmente limitará a violação do ataque. E esse modelo, há uma razão pela qual estou fazendo um mergulho profundo, porque está se tornando cada vez mais popular. Ok? Portanto, há uma microssegmentação recente e a confiança zero é que geralmente elas são mencionadas lado a lado, certo? E a melhor coisa sobre isso que você não precisa rearquitetar. Sua equipe de segurança pode isolar cargas de trabalho em um esforço para limitar o efeito do movimento lateral. E geralmente você pode fazer isso por meio de um agente. Muitos produtos estão lá. Eles usam um agente de software e a carga de trabalho em um primeiro isolamento granular, certo? Eles podem aproveitar o firewall embutido do host ou instalar seus controles antigos lá. Ou você pode ter uma microssegmentação baseada em rede que depende talvez do seu firewall, sua rede definida por software. E para usar isso, realmente depende. Tudo o que você pode ter. Se você estiver na nuvem, poderá usar seus recursos nativos da nuvem, como AWS, grupos de segurança e todos os firewalls de firewall. Então, essas coisas estão lá. Agora. Espero que vocês tenham entendido os benefícios agora, pessoal , da microssegmentação, e é por isso que entrei em alguns detalhes aqui. Isso reduz a superfície tributária, certo? Porque isso limitará o raio de explosão mesmo se eles romperem a sub-rede. Isso permitirá, e também permitirá que você isole a rede, isso realmente ajudará você a ajustá-la e, o melhor, proporcionará uma melhor visibilidade de seus ambientes de nuvem híbrida, certo? E como o tráfego será monitorado, o tráfego leste-oeste também está sendo monitorado aqui. Porque o atacante, se ele tentar se mover de leste para oeste, microssegmentação também está parando. tráfego sempre leste-oeste é geralmente considerado como um ponto cego. microssegmentação ajuda você a controlar esse ponto cego lá. E você pode criar alertas de segurança, como se fossem alertas de segurança, que alertarão o administrador do sistema se a microssegmentação estiver sendo violada, certo? Assim, você terá melhor visibilidade de suas cargas de trabalho híbridas e seus ambientes de segurança. E, claro, dividir a rede em zonas de segurança. Pode ser um pouco difícil. Você precisa de um administrador de rede com uma boa compreensão da sua rede. E você precisa de um cara que conheça a rede de dentro para fora. Portanto, é um desafio, mas os benefícios são muitos. Essas foram as estratégias de alto nível. Agora, vamos ver o que isso nos diz. Também nos diz as variações diplóides. São de menor escala. Modelos de pernas para configurar componentes individuais. Quando falamos sobre o PEP, o ponto de aplicação da política, o PDP. O Nist também explica como eles devem implantá-lo. Você pode analisá-lo a partir do agente do dispositivo ou do gateway, com base em onde você está colocando agentes semelhantes em máquinas individuais. Ou talvez você possa vê-lo do enclave. Esse modelo de implantação é como você chama. É semelhante ao baseado em dispositivos e agentes, mas protegerá a falta de recursos, não apenas de dispositivos individuais, certo? Ok. O que mais existe? Você pode consultar o portal de recursos. O portal de recursos é que há apenas um sistema de sinalização que age como um ponto de aplicação da política. E eu tenho todo o tráfego que precisa passar por lá e é algo que está controlando tudo. E, por último, está o sandboxing de aplicativos do dispositivo, que está mais relacionado à virtualização existente. Então, vamos dar uma olhada no que estamos falando aqui. Vai ser melhor. Então é disso que o Nist está falando. O primeiro, que é o agente do dispositivo ou a base do gateway neste modelo, o que você vai fazer, como você vai implementar a confiança zero? Lembre-se do que falamos sobre confiança zero, certo? Arquitetura. Você tem um plano de controle e um plano de dados, e você tem um ponto de aplicação de políticas. Então, o que falamos aqui nesse estilo de implantação, o ponto de aplicação da política, é dividido em dois agentes. Um do lado solicitante. Então, aquele do lado do recurso, que se comunica entre si no momento da solicitação. Então, o que vai acontecer? O agente no sistema solicitante, será ele que encaminhará a solicitação para o gateway. E o gateway do lado dos recursos, o que você vai fazer, ele se comunicará com o PDP, o mecanismo de políticas e o administrador da política para verificar se o algoritmo Kruskal entrará em ação. E geralmente esse tipo de coisa funciona bem na microssegmentação, certo? Então, como isso funcionaria? Vamos dar um exemplo. Você pode ter um usuário com um laptop corporativo, certo? E você quer se conectar a um aplicativo lá. Então, o que vai acontecer? O agente local entrará em ação. Essa solicitação será encaminhada ao administrador da política. O mecanismo de políticas será como se estivesse na nuvem, estivesse no local. E então, o que acontecerá é o mecanismo de políticas avaliará essa solicitação se ela for autorizada, depois a política administrativa, agora há um canal de comunicação, que será aberto entre o dispositivo, o laptop e o gateway para que o tráfego possa acontecer. E fornecerá informações sobre a chave de sessão do IPE, para que temporariamente o tráfego tenha taxa de abertura e uma sessão criptografada seja configurada. Feito isso, esse tráfego será encerrado pelo administrador da política. Talvez ocorra um tempo limite de sessão, talvez uma falha na reautenticação. Mas é assim que um agente de dispositivo ou um modelo baseado em gateway funcionará. E quanto ao vaso enclave? Agora, enclave, isso é muito parecido. Se você olhar da perspectiva do diagrama. Muito parecido, exceto que o gateway aqui está protegendo um recurso, como um grupo de recursos, não apenas um, certo? E você pode dizer que é como um pequeno compromisso, um pouco de curadores. Porque os recursos estão lá, porque um ator ou alguém que tem permissão dentro do enclave, você pode acessar todos os recursos lá, certo? Então, por que quereríamos fazer isso? Então, basicamente, isso geralmente é usado para aqueles sistemas nos quais você não pode colocar essas abordagens granulares lá, certo? Quero dizer, você pode ter, vamos dar um exemplo. Você pode ter um laptop, mas ele deseja acessá-lo como um aplicativo legado ou um datacenter local que não pode ter esses agentes individuais como gateways. Em seguida, você colocaria esse tipo de coisa com um gateway que estaria lá e, em seguida, permitiria que você os acesse. Lembre-se de que, em aplicativos legados, geralmente você não pode colocar esse tipo de arquitetura de confiança zero lá. Essa desvantagem, como eu disse, aqui é a porta de entrada, certo? Porque é uma coleção de recursos, então você não os está protegendo individualmente, como no anterior, certo? Então, talvez não seja tão eficiente quanto o mínimo privilégio, mas pode ser um bom compromisso quando você tem um aplicativo legado. Os protocolos legados estão lá. O que mais existe? Então, o outro é o portal de recursos. Portanto, essa é uma abordagem muito descentralizada em que você tem um sistema atuando como PEP aqui, o Gateway, portal para todos os ativos ou talvez um grande grupo deles. Então, aqui você pode ter flexibilidade porque não precisa de agentes, todos os ativos do cliente, certo? Mas também limita sua visibilidade e controle sobre a postura e as ações do usuário em comparação com as duas abordagens anteriores, certo? Então, aqui está a vantagem, como eu disse, é você não precisa implementar agentes, eles estão lá. E isso pode ser bom para as políticas de BYOD ou, como quando as empresas estão colaborando com parceiros. Portanto, você não precisa garantir que todos os dispositivos tenham o mesmo agente, certo? No entanto, o problema é que, obviamente, você obterá informações limitadas dos dispositivos porque não tem um agente. O modelo só pode escanear e analisar depois de se conectar ao portal PEP, certo? E talvez não seja possível monitorá-los continuamente busca de malwares ou vulnerabilidades não corrigidas, certo? Portanto, lembre-se de que a principal diferença aqui é que não há agente, o agente local está lá. Você não obtém a visibilidade total quando pode alcançá-la. Então você pode estar corrigindo outros controles, talvez para mitigar isso. Mas geralmente os ativos ficam invisíveis para a empresa até que eles se conectem ao portal. Então, tenha isso em mente. Mas lembre-se, porque o portal também se torna como um único ponto de falha aqui. Portanto, você precisa garantir que ninguém consiga fazer DDoS, ninguém deve ser capaz de comprometê-lo. Ok. O que mais existe? Então, falamos sobre essas três abordagens. O último é um sandbox de aplicativos. Parece que é bem simples. Basicamente. Estamos usando a virtualização aqui, como máquinas virtuais ou contêineres, para isolar o aplicativo do ativo em que ele está sendo executado. O tipo do modelo de implantação do gateway do agente. Então, todo mundo aqui está rodando em compartimentalize, como se fossem máquinas virtuais, contêineres. Mas a coisa é como neste exemplo do qual você está falando. Então, esse pode ser um apetite confiável e está se comunicando com o PEP para solicitar acesso aos recursos, mas todo o resto na sandbox, o PEP recusará, certo? Então, isso pode estar na nuvem e isso pode ser como no local. A principal vantagem dessa variante é que os aplicativos individuais são segmentados do restante do ativo. Se o ativo não puder ser escaneado em busca vulnerabilidades ou outras coisas, os aplicativos de sandbox o protegerão de um ataque aqui. Obviamente, a desvantagem que você precisa manter todos os aplicativos de sandbox e talvez não tenha visibilidade total por causa disso dos outros ativos, certo? Você precisa garantir que todos os aplicativos de sandbox estejam seguros. Então essas foram algumas das variações, pessoal, só para voltar atrás. Sim, esses são baseados em dispositivos e você tem base de enclave, tem base em recursos e sandbox de aplicativos. Então, essas são as diferentes variações e isso deu, lembre-se de que você não está restrito a elas. Você pode estar procurando, mas elas são baseadas nas melhores práticas e no padrão do setor fornecido. Além disso, também temos os cenários de confiança zero, e falarei mais sobre isso na próxima lição , porque essa lição já se tornou muito grande Não quero sobrecarregar você com muitas informações. Então, nos vemos na próxima aula. Continuaremos com os cenários de confiança zero. Ok, pessoal. Obrigada. E eu vou ver na próxima lição. 8. Cenários NIST - 2: Olá pessoal, bem-vindos a esta continuação da lição anterior. E agora vamos falar sobre isso, ele falou sobre as variações diplóides, certo? Falamos sobre as arquiteturas de alto nível. Agora, vamos falar sobre cenários. Portanto, esses cenários são como exemplos estratégicos de nível de negócios, exemplos de empresas específicas. E eles ajudarão você a entender o que significa confiança zero em termos práticos, como quando você os está implementando. Então, podemos falar sobre talvez você seja um escritório corporativo com filiais. Você tem uma única instalação primária e precisa acesso a instalações secundárias ou coisas remotas. Então, como implementamos a confiança zero em tal arquitetura? Onde você colocaria o, o que ele chamou de PDP. Pdp tudo o que você pode ter de uma nuvem multinuvem para empresa em nuvem. Como você aceitaria isso? Talvez você tenha empreiteiros agora com acesso para desempregados. Talvez você tenha uma colaboração acontecendo em várias zonas, certo? Talvez você tenha. Porque, por um momento, organizações femininas, elas precisam ter acesso a fontes específicas que controlam outra organização parceira, certo? Mas o parceiro não precisa confiar em nada. Então, como você implementaria lá? Tudo o que você pode ter é uma empresa com serviços públicos voltados para o cliente. Portanto, você precisa dar acesso aos usuários e totalmente além do controle da empresa. Portanto, há muitos, muitos exemplos lá. Vamos dar uma olhada em alguns deles para entrar em detalhes. Então, vamos dar uma olhada na primeira, que é uma empresa com instalações de satélite. Qualquer ambiente corporativo. Quero dizer, não importa o que seja, que tipo de arquitetura você pode colocar nos princípios do Zero Trust. Eles, na maioria das empresas, já têm algum aspecto de confiança zero, certo? Mas eles estão a caminho da implementação implementando as melhores práticas. Se você vai mentir quando falamos sobre cenários de implantação e casos de uso. Então, na maioria das vezes, você pode realmente depositar fundos secretos com facilidade. Portanto, a confiança zero geralmente é criada para organizações distribuídas geograficamente. Você tem usuários remotos para que qualquer pessoa possa se beneficiar. Mas vamos dar uma olhada no exemplo do primeiro exemplo deles aqui, que é empresa, quais instalações satélites. Esse é o cenário mais comum. Você tem um escritório corporativo com sede e vários locais geograficamente dispersos lá. E eles não são como se não pudessem ser unidos pela própria rede física da empresa, certo? Você pode estar entrando pela Internet. E os funcionários do local remoto podem não ter redes locais próprias completas da empresa, mas ele ainda assim precisa acessar os recursos da empresa. Então, como você, talvez esteja conectado ao MPLS e a todas essas conexões. E como você implementaria a confiança zero, certo? Você pode fazer com que os funcionários estejam trabalhando remotamente, trabalhando remotamente. Eles podem ter trazido meus próprios dispositivos. E funcionários em. Talvez sua empresa queira dar algum acesso a esses recursos como empregar, calendário e e-mail. Mas você não quer, eles não querem que usuários remotos acessem recursos confidenciais como, sei lá, o banco de dados de RH ou algo parecido, certo. Então, neste caso, o ponto de aplicação da política ou o PDP. Especificamente, o Pdp é que você pode colocá-lo no serviço de nuvem, certo? Por causa da nuvem, porque você tem tantos usuários remotos acessando ela, certo? A nuvem realmente faria sentido aqui. Os usuários remotos não precisariam depender da infraestrutura corporativa para acessar os recursos. Então, você pode colocar um agente nos ativos de seus usuários finais, certo? Dessa forma. Como você não quer colocar o ponto de decisão política sobre o PDP na rede local da empresa aqui, isso não seria uma boa ideia, falando honestamente. Então esse foi o primeiro exemplo. Por que você pode ter uma empresa multinuvem para nuvem? Isso está se tornando muito, muito comum com a confiança zero como acontece com a utilização de vários provedores de nuvem, certo? Ambiente multinuvem. E nesse caso, na empresa, você pode ter uma rede local, mas pode estar usando dois ou mais provedores de serviços de nuvem para hospedar aplicativos ou seus dados. E, às vezes, o aplicativo é hospedado em um serviço de nuvem separado da fonte de dados. Os dados estão em outro lugar. Portanto, o aplicativo pode estar hospedado no provedor ventral e as fontes de dados em outro provedor de nuvem. Eu já vi isso. Já vi aplicativos usando talvez você tenha o aplicativo e o banco de dados esteja no MongoDB Cloud, coisa completamente separada. Então, é muito, muito possível lá. Então, lembre-se do que a Zero Trust diz, disse que a Zero Trust disse que não deveria haver diferença entre seus ativos corporativos ou ativos próprios da sua empresa , como se esses seus ativos corporativos ou ativos próprios da sua empresa, como se esses fossem seus ativos pessoais que pertencem a alguém, talvez aqueles de propriedade do provedor, certo? Você ainda precisa aplicar o zero-trust. Portanto, o Zero Trust aqui em uma multinuvem seria colocar o PEP, o ponto de aplicação da política no ponto de acesso cada aplicativo, de cada provedor de nuvem. Portanto, podem ser serviços localizados na nuvem ou em um terceiro provedor de nuvem. E o cliente gostaria que um agente local fosse instalado acessando o PEP. Dessa forma, a empresa ainda pode acessar recursos gerenciados que estão hospedados fora da empresa. E o único desafio é porque os diferentes provedores de nuvem podem ter maneiras diferentes de implementar a funcionalidade. Portanto, como arquiteto corporativo, se você estiver implementando a confiança zero, precisará saber como implementar a arquitetura de confiança zero com cada provedor de nuvem. Cada um deles pode ter uma maneira diferente, mas porque aqui o melhor uso seria ter algum tipo de agente instalado em seu ativo, que controla o acesso aqui. Ok, o que mais tem? Outro cenário comum é aquele em que uma empresa que pode ter visitantes no local é prestadora de serviços contratada e precisa de acesso limitado aos recursos da empresa, certo? Então, talvez você tenha seus próprios serviços de aplicativos odontológicos, bancos de dados e eles possam ser contratados por outros prestadores de serviços. Eles podem estar no local para fornecer serviços, certo? Eles ainda precisam de conectividade de rede e você permitiria essa célula aqui, a Zero Trust. Por exemplo, precisaria fornecer acesso e impedir o acesso a outra coisa, certo? Então, como você faria isso? Então, nesse caso, nesse caso, os visitantes podem ter acessos semelhantes, talvez possam ter acesso à Internet, mas não podem acessar recursos corporativos. Você não quer que eles mexam, certo? Então, nesse caso, nos pontos de aplicação de políticas ou no PDP, você pode estar hospedado na rede ou na nuvem, certo? E, novamente, seus ativos corporativos poderiam ter agente instalado para acessar os recursos que o portal e o PDP garantiriam que quaisquer ativos que não precisassem instalar agentes não pudessem acessar os recursos locais, mas pudessem acessar como os outros recursos provisórios. Então, novamente, isso é apenas uma orientação a partir disso. Como eu disse, você pode ter um comentário diferente, completamente diferente e querer instalá-lo de forma diferente. E o último que vamos discutir, que é o quarto caso de uso. Nós apenas colaboramos entre empresas. O que isso significa? Talvez você tenha um projeto e funcionários da empresa, uma empresa, esteja certo. Portanto, pode haver agências diferentes ou, como uma agência privada, acessando uma empresa pública. Eles podem ter o banco de dados, mas você quer permitir o acesso dos funcionários do BI corporativo, certo? Assim, eles podem divulgar uma configuração, como contas para funcionários da empresa B2, acessar e negar o acesso a todos os recursos. Mas isso pode se tornar muito difícil de gerenciar, certo? Portanto, faria mais sentido que talvez você pudesse estabelecê-los para criar uma identidade local, fornecer um único login, certo. E o PEP pode, o plano de aplicação de políticas pode entrar em ação quando a governança de identidade acontece? Portanto, isso pode ser semelhante ao exemplo do caso de uso quando falamos sobre a placa única em sua mesa. Pode estar na nuvem, como o Azure AD Okta, ou algo parecido. Portanto, você ainda pode inserir suas outras regras que existem, como bolas de fogo e acesso. Mas, ao inserir a decisão política no login único, você pode realmente ter um controle centralizado lá e sem a necessidade. Porque, geralmente, nesses casos , pode ser difícil instalar agentes porque você não os controla, certo? Portanto, aqui, o login único ou um provedor de identidade baseado em nuvem pode ser um caso de uso mais vertical e viável. Então eu espero que você tenha entendido que ele morre. Isso pode ser uma grande quantidade de informações para assimilar. Mas lembre-se de que isso é apenas uma orientação do nist, desde que você entenda os princípios, não precisa segui-los cegamente. Você pode colocar sua própria arquitetura que está lá. Então, quais são as principais conclusões aqui, pessoal? Isso fornece diferentes variações e cenários de confiança zero. É usado como orientação. A microssegmentação é muito, muito importante. É um dos princípios e ferramentas mais importantes que você pode usar para implementar a confiança zero. E você realmente deve avaliar seu ambiente e foi sobre isso que eu falei antes. Além disso, avalie seu ambiente para saber qual modelo funciona melhor. E realmente veja, não siga cegamente nenhum documento. Veja qual é o seu apartamento, como você pode implementá-lo. Então, espero que tenha sido útil, pessoal. Analisamos profundamente o documento e como implementá-lo. Ainda vamos fazer mais estudos de caso. Mas primeiro eu quero falar sobre quais são as ameaças à confiança zero? Então, falamos sobre confiança zero. Mas quais são os riscos? São as ameaças que podem surgir quando você está implementando a confiança zero. E entrarei em mais detalhes na próxima seção. Obrigado e nos vemos lá. 9. Ameaças para Zero Trust: Oi amigos. Bem-vindo a esta lição e agora abordamos o documento em disco e muitos detalhes. Falamos sobre a arquitetura. E antes de passarmos para os estudos de caso, quero falar sobre algo que é muito importante, que é sobre as ameaças à confiança zero. Sim. Então, parece um pouco engraçado porque o objetivo do zero Trust é colocar controles de segurança, certo? Crie um modelo de segurança que torne seu ambiente mais seguro. Mas a confiança zero em si tem alguns turistas que você deve conhecer. E esse sempre será o caso. Não há nenhuma empresa no mundo que possa eliminar completamente o risco de cibersegurança. Então você pode colocar controles, certo? Quando você coloca o que você chama de dinheiro colocado em uma arquitetura de confiança zero, você precisa, o que ele chamou, isso pode reduzir seu risco geral. No entanto, alguns tipos são o eixo arbitrário de confiança zero que visa exclusivamente. É assim que a cibersegurança funciona, como se você colocasse algum controle. Os atacantes se atualizarão sozinhos. E esse é o mesmo caso com a internet, com a computação em nuvem, com o aprendizado de máquina. Sempre que surge uma nova tecnologia ou um novo conceito, os atacantes se adaptam e a atacam. Portanto, o objetivo principal desta seção é analisar as ameaças à confiança zero e como elas podem ser mitigadas, e você deve estar ciente disso. Ok, então vamos dar uma olhada na primeira coisa. É como o alto nível, um exemplo muito simplista de um ambiente Zero Trust, certo? Temos o usuário não confiável. Ele está acessando o recurso. O ponto de aplicação da política é oxidante. O ponto de decisão política é que o PDP está obtendo informações no plano de controle de todos os outros metadados do SIM GRC Mobile Device Management, atribuindo-as a esse nível e permitindo que as pessoas acessem. Então, a arquitetura de confiança zero, o PDP, PDP, os outros componentes principais de toda a empresa, certo? O objetivo principal da arquitetura de confiança zero é que nenhuma comunicação entre os recursos da empresa pode ocorrer a menos que ela seja aprovada e configurada pelo PEP no PDP. Isso também significa que esses componentes devem ser configurados e mantidos adequadamente, certo? E você tem que garantir que ninguém possa acessá-lo. Ninguém deveria ser capaz de fazer alterações aprovadas que possam atrapalhá-lo, certo? E como ele chamou, se um atacante conseguir descobrir um caminho que não seria aprovado, talvez como um dispositivo triplo ou pessoal que você possa ignorar para o processo de tomada de decisão, certo? Ele não ignorou o processo e o acesso direto ao BIPOC . Portanto, talvez seja necessário garantir que o PDP e o PP estejam configurados e monitorados adequadamente e qualquer tentativa de contornar isso esteja devidamente plana, certo? Você pode estabelecer regras de alerta e ter certeza de que, se alguém, algum informante mal-intencionado, tiver acesso ao PDP e ao PP, estará fazendo alterações na configuração. Eles devem ser registrados e auditados. Esse é um ataque muito simples, basicamente contornando o processo de decisão do Zero Trust, seja encontrando um caminho que você não conhece ou fazendo alterações na configuração , rebaixando o algoritmo de confiança dentro do processo de confiança zero. Ok? O que mais há na arquitetura Zero Trust? Lembre-se de que falamos sobre o PDP ser um componente chave, certo? Como não podem, nenhum recurso e sujeito não podem se conectar uns aos outros sem a permissão do PDP e configurá-lo. Nós somos o PEP. Então, se um atacante perceber que, ok, não consigo acessar, vou garantir que ninguém o acesse e ele interrompa ou negue o acesso ao PEP ou ao PDP. Talvez ele negasse, negasse serviço, atacasse ou o sequestrasse. Na verdade, pode ser basicamente todas as operações da empresa, certo? Porque todo o acesso está sendo mitigado. Mas eu vou chegar aqui e sair. Isso. As empresas podem mitigar esse risco colocando o PDP talvez em um ambiente de nuvem devidamente seguro, ou talvez replicando-o em vários locais, certo? E isso mitigará o risco, mas não será completamente eliminado, pois você pode ter ataques massivos de DDOS contra provedores de serviços de Internet, contra a nuvem. Portanto, é possível que o invasor bloqueie o tráfego da taxa PEP PWD para a maioria das contas de usuário em uma empresa. Talvez você possa cortar o acesso a uma filial inteira ou a uma única localização remota, certo? Portanto, nesse caso apenas alguns subconjuntos de usuários serão afetados. Mas ainda assim isso é bastante impactante, certo? E isso é honesto, mas esse risco também existe em todas as suas VPNs de acesso remoto Isso não é exclusivo de uma arquitetura Zero Trust. Além disso, o que pode acontecer é que, se seu PDP residir na nuvem, talvez o provedor de serviços de nuvem possa sofrer uma interrupção. Isso acontece, certo? Mesmo com grandes provedores de serviços, como o Google, infraestrutura da AWS como serviço, poderia ocorrer algum erro operacional que poderia impedir que o PDP saísse do eixo e toda a empresa poderia ser bloqueada toda a empresa poderia ser bloqueada se o PDP ficar inacessível, certo? E alguma outra coisa pode acontecer, talvez o PDP não consiga acessar os recursos, então não é capaz de conceder esse acesso. Não é possível configurar o caminho de comunicação sobre o qual falamos. Isso pode acontecer talvez devido a um impacto no desempenho, talvez um ataque DDoS, talvez uma configuração incorreta. Interrupções na rede acontecem, certo? Mas lembre-se de que isso poderia acontecer e o impacto seria que todo o recurso corporativo não poderia estar acessível. Então, tenham isso em mente, pessoal. Este é outro par de acontecimentos. O que mais existe? Credenciais roubadas. Então, do que estou falando aqui? Implementado corretamente? Zero Trust e suas políticas. Eles reduzem muito o risco de um atacante obter acesso e fazer um ataque interno de movimento lateral, porque você não está permitindo que ninguém seja implicitamente confiável, certo? Porque, mas e se um invasor conseguir comprometer uma conta existente? E como se ele estivesse tentando acessar um recurso que não foi implementado adequadamente. arquitetura de confiança zero deve impedir que uma conta comprometida acesse recursos externos ao seu acesso normal, certo? Então, a conta seria, então, mas o que isso significa? Isso significa que o atacante será o que interessa coisas em que usa acessos anômalos. Usando a engenharia social de phishing, de várias maneiras, ele pode realmente obter acesso à conta e tentar acessar coisas que normalmente são acessadas por eles, talvez para contas de administrador corporativo Elas são valiosas para nos atacar e tentar acessar esses dados confidenciais. Agora, você pode estar implementando o MFA para reduzir o risco. Mas lembre-se de que talvez, se um invasor tiver suas credenciais comprometidas, você consiga acessar recursos pelos quais o amor é escasso. Talvez o calendário da empresa, o calendário seja de baixo risco. Então, nesse caso, a arquitetura Zero Trust pode permitir esse acesso. Ok? Porque, como eu disse, a arquitetura de confiança zero reduz o risco e evita que qualquer conta comprometida se mova lateralmente. Mas se eles não estiverem autorizados a acessá-lo, isso o interromperá. Certo? Mas se o cara for, talvez ele normalmente acesse o que vimos e o nível de risco seja menor, certo? Então, nesse caso, algoritmo petrosal pode detectar, digamos, ok, na verdade, porque isso é algo que ele geralmente acessa e o nível de risco não é alto. Portanto, tenha isso em mente. Novamente, é muito possível. E, claro, à medida que seu ambiente amadurece, à medida que suas políticas de confiança zero amadurecem, você investirá e fortalecerá cada vez mais o algoritmo de confiança, certo? Porque, da forma como o mecanismo Zero Trust lida com isso, ele aprenderá e ficará mais inteligente com o passar do tempo. Mas, novamente, esse é um possível ataque. Ok, quais são as ameaças? Os federais também estão lá? A visibilidade na rede. Lembre-se de que, para que o Zero Trust seja eficaz, ele precisa analisar todas as informações que são de seu direito. Tem que estar recebendo a maior parte do tráfego para poder ver o que está acontecendo. Mas às vezes todo o tráfego que talvez esteja vindo de dispositivos pessoais, certo? Ou talvez de parceiros, ou talvez de serviços de aplicativos que não são suportados , o mecanismo Zero Trust não será capaz inspecionar e analisar a atividade, certo? E isso é algo que o atacante pode ser capaz de utilizar. Isso não significa que você está completamente cego, mas podem ser dados que você não consegue acessar. Nesse caso, o mecanismo Zero Trust poderia analisar a fonte e os metadados. Os endereços de origem e destino do tráfego criptografado são usados para detectar talvez seja algo que para detectar talvez seja um malware ou um invasor tenha feito. Em novos casos, as pessoas estão usando inteligência artificial de aprendizado de máquina que pode acumular seus dados ao longo do tempo. Mas lembre-se da visibilidade na rede. Às vezes, isso é um problema, além da escassez de informações do sistema e da rede, o que isso significa? Bem, lembre-se, para que os fundos secretos funcionem, é preciso obter muitas informações, certo? Você precisa coletar dados sobre políticas de acesso ou SEM, o que ele chamou de Single Sign-On. Agora, isso tem que ser armazenado em algum lugar. E isso pode acontecer, dada uma informação mais obscura sobre quais contas são mais valiosas para comprometer a taxa de quais têm mais acesso às informações. Portanto, você precisa garantir que, onde quer que o mecanismo Zero Trust armazene essas informações difíceis, a infraestrutura subjacente precise ser incentivada para evitar acessos e tentativas de acesso não autorizados . Como esses recursos são vitais para a segurança e para o ecossistema de confiança zero, eles devem ter as políticas mais restritivas e você deve poder acessá-los, talvez para meu gerenciamento de identidade privilegiado do PIM e de um servidor de salto. Então, novamente, isso é algo em que você precisa pensar. Confiança em formatos e soluções de dados proprietários . Isso é um extrato. O que isso significa? Bem, a arquitetura de confiança zero depende de várias fontes de dados diferentes, certo? Falamos sobre, uh, tomar decisões de acesso, talvez sobre o assunto, qual ativo está sendo usado na inteligência externa? E como você chama? Muitas vezes, esses ativos eram usados para armazenar e processar essas informações. Eles não têm um padrão aberto comum de como interagir e inferir informações. Isso pode levar à dependência do fornecedor. Talvez você esteja preso a um produto específico de confiança zero, um determinado fornecedor de confiança zero. E se esse provedor talvez tenha interrompido o suporte. E como você chama, ele não dá acesso ao formato de dados fornecido. Você pode ter problemas sérios. Talvez seja necessário substituir ativos , passar por um longo programa de transição traduzir as políticas. Então, como falamos anteriormente, isso não é exclusivo da arquitetura de confiança zero. Mas, como você não confia, a arquitetura depende muito das informações. E, às vezes, provedores de serviços, esse tipo de coisa pode impactar as funções principais, certo? Portanto, você deve avaliar diferentes prestadores de serviços e garantir que esse risco exista. Certifique-se de que você não está trancado. Você tem esse gerenciamento de riscos da cadeia de suprimentos , além de outros SLAs e serviços. Ok. Qual é a última coisa? O último é uso de entidades não pessoais NPs na administração de confiança zero. O que isso significa? Basicamente, você tem coisas como contas de serviço, inteligência artificial e outros agentes baseados em software que são implantados para gerenciar problemas de segurança, certo? E esses componentes precisarão interagir com o mecanismo Zero Trust, o PDP e o PEP, em vez de um ser humano interagir com eles. Então, é assim que esses componentes se autenticam com confiança zero porque isso é algo automatizado, certo? Este não é um ser humano que está acessando isso. E, claro, você pode entender o problema: e se alguém comprometer essa conta de serviço ou comprometer esse sistema? Porque a arquitetura Zero Trust pode não estar dando a mínima, pode não estar valorizando isso como avalia um ser humano. Isso pode levar a decisões de risco incorretas que tomamos. E o atacante pode enganar a Arquitetura Zero Trust pensando, fazendo com que ela pense que é um sistema EA, é uma conta de serviço, naquele momento. Como tem, ele terá uma barra inferior de autenticação, talvez apenas uma chave de API ou algum certificado, que é bom se isso for comprometido O atacante poderá interagir com a Arquitetura Zero Trust ou com o mecanismo de confiança zero pensando, fazendo com que pense que é uma entidade não pessoal. Portanto, lembre-se de que isso é algo que você precisa avaliar caso a caso. Veja quais medidas de autenticação existem. Quais são os metadados que você pode fornecer à arquitetura de confiança zero? Ok pessoal, então espero que tenha sido informativo para vocês e eu fiz vocês perceberem que existem ameaças, todos os tipos de arquitetura de confiança zero. Não quero pintar para vocês uma imagem otimista de que arquitetura de confiança zero será completamente incrível e não há caminhões lá. Então, isso está lhe dando uma saída realista disso. Na próxima lição, falaremos sobre um estudo de caso. Vamos ver como implementar a confiança zero, talvez em uma rede, e como ela funcionaria. Ok, obrigado. Verei na próxima lição. 10. Estudo de caso 1: Olá amigos, bem-vindos a esta lição na qual agora finalmente faremos um estudo de caso real oferece implementação de arquitetura de confiança zero. Então, apenas uma rápida recapitulação. Examinamos a confiança zero, examinamos isso, uma história de Zero Trust. Falamos sobre os conceitos, os princípios que existem, certo? Falamos sobre um mergulho profundo no padrão nist. Falamos sobre as ameaças que existem, as diferentes implantações e variações que existem. Agora, vamos tentar ver como isso realmente seria implementado em um nível muito alto. Ok? Então, lembre-se do que falamos, Zero Trust em alto nível. É uma filosofia, certo? Ele pode suportar muitos, muitos tipos de arquiteturas, muitos, muitos tipos diferentes de produtos comerciais também, ok? Portanto, lembre-se de que não existe uma arquitetura única e que cada organização precisa analisar seus próprios requisitos, o que deseja e, em seguida, desenvolver a abordagem correta para implementar uma confiança zero, certo? Então, dado que existem muitas formas de implementação e cada empresa tem diferentes, certo? Não é possível criar uma arquitetura de confiança zero que sirva para todos. Mas o que eu vou fazer é te dar uma arquitetura de alto nível de uma empresa, certo? E então vamos criar uma arquitetura simplificada , tipo confiança zero, para nós. E vamos ver como implementá-lo. Quais são as coisas que vamos, vamos colocar nos componentes, certo? Eu tentei fazer com que fosse de alto nível, mas torná-lo representativo de uma empresa real que pode ter um novo comentário. Pode ser que não seja tão detalhado, porque se eu fizer isso detalhadamente, não será aplicável a todos, certo? Mas o que eu quero mostrar é que isso, como esse estudo de caso em particular, como esse estudo de caso em particular, terá elementos que são comuns a muitas, muitas, muitas empresas, certo? Em seguida, mostre como você implementaria componentes de confiança zero dentro desse modelo. Então, lembre-se do que eu falei. O Zero Trust não é uma abordagem única para todos. Não existe uma solução mágica que sirva para todos, certo? E também não é uma solução de cibersegurança. Não é um produto. Eu falei sobre isso antes. Não é algo que você pode simplesmente implementar e depois ativá-lo e agora você tem a certificação Zero Trust. Não funciona assim, certo? Então, de acordo com os princípios do Zero Trust, ele pode fornecer orientação sobre como mitigar e gerenciar continuamente o slide. Tantas empresas, é como uma jornada. Em muitas empresas, talvez você já tenha uma taxa básica de segurança muito boa e talvez apenas alguns refinamentos sejam necessários para uma implantação bem-sucedida do zero-trust. Outros podem precisar criar novos produtos. Eles são uma pequena necessidade de implantar a necessidade de substituir os ativos existentes para implementar conceitos como o Zero Trust. Então, independentemente de onde você está começando, laboratório, lembre-se do que eu disse, uma confiança zero leva tempo. Pode ser um projeto de vários anos, com vários domínios e com várias partes interessadas. Tem seus próprios desafios sobre os quais falaremos. Então, eu só quero que você seja muito realista. Qualquer um que diga que o Zero Trust é muito fácil de fazer, basta implementar meu produto e pronto, você terá uma reclamação de confiança zero. Isso é completamente falso. Não funciona assim. Ok. Então, vamos pegar uma empresa fictícia. Então, temos uma empresa, vamos chamá-la de XYZ, certo? E eles implementaram e amadureceram a estrutura de segurança cibernética ao longo do tempo, certo? Portanto, isso não é como uma empresa que não tem controles de segurança. Eles têm controles de segurança. E temos que ver quais são esses controles de segurança. E o que aconteceu é que a gangorra está preocupada com usuários remotos. Cada vez mais o uso da nuvem está chegando. Cada vez mais. As pessoas estão se conectando pela Internet. E como se ele estivesse sob pressão para implementar o BYOD, está sob pressão para implementar o acesso de parceiros. Então, ele pesquisou o Zero Trust e gostou e acabou de perguntar a você, então talvez você seja o gerente de segurança cibernética de lá. E ele está totalmente bem. Quero que você implemente a estrutura de confiança zero e use a estrutura nist como as melhores diretrizes de fatores. Então, como você faria isso? Então, vamos dar uma olhada nessa empresa. Então essa é essa empresa, certo? Então, essa empresa, eles podem ter capturado ou também podem ter várias filiais, certo? E como eles têm cargas de trabalho em sua rede interna, você pode ver que eles têm bolas de fogo, eles têm servidores que acessam bancos de dados e são a rede interna. No lado esquerdo, você pode ver que eles têm uma DMZ, certo? Assim, os usuários remotos podem se conectar via VPN e acessar a rede interna. Os clientes estão entrando pelo firewall e acessando um servidor web de onde estão entrando. Eles também têm infraestrutura como serviço. Eles estão usando a nuvem para que ela possa estar conectada a uma VPN, certo? Do ponto de vista da segurança, eles têm um único login. Eles não têm uma solução SIM e têm administradores na rede interna, certo? E eles o estão acessando por meio da solução PIM, os servidores internos para acesso administrativo. Assim, você pode ver que, como a maioria das empresas, essa tem uma variedade de mecanismos de controle de acesso e rede e um ecossistema de componentes de segurança. Então, agora queremos analisar, pensar em confiança zero, implementar confiança zero. Então você pode ver que isso não é como uma empresa que não tem nenhuma segurança. Eles implementaram a segurança lá. Eles têm firewalls, segmentação, pagamento, SIEMs de login único. Portanto, eles têm as seguintes boas práticas. Mas agora, devido às pressões para implementar mais BYOD, mais trabalho remoto, como um trabalho híbrido acomodado, acomoda cada vez mais empresas que possam estar chegando. Você deve considerar a implementação da confiança zero aqui. Breve revisão rápida. Lembre-se do que falamos. Essa é a implantação mais simples de uma confiança zero. Você quer ter uma confiança zero, como conceitos e ideias. A Veneza define isso. Então você quer ligar, utilizar esses componentes, certo? Você quer ter como um PDP, que é um ponto de decisão política que recebe informações de várias fontes para cada algoritmo de cluster. E isso reside em um plano de controle, que é um plano de controle seguro. Você pode ter um plano de dados. Então, aqui o usuário deseja acessar um recurso. Ele precisa passar por um ponto de aplicação da política antes de poder acessar qualquer coisa. E então o PEP se comunicará com o PDP e dirá: Ei, esse cara é confiável o suficiente para acessá-lo, certo? E o que ele chamou, tem que aplicar esses princípios de Zero Trust, certo? Portanto, é isso que queremos analisar e implantá-lo. Então, uma das principais coisas que você deve considerar é que talvez você esteja começando agora. Você vai pensar em onde eu coloco o PDP, onde coloco o ponto de aplicação da política? Microsegmentos V2, devo microssegmentar? Certo? Essas são as perguntas iniciais que você deve pensar. Eu não vou, vamos analisar como seguir o roteiro. Em seguida, você implementa heterótrofos, obtendo suporte de gerenciamento. Eu não quero que você compre muita coisa. Eu quero que você pense sobre a arquitetura agora. Suponha que você tenha o orçamento. Suponha que você já tenha recebido todo o apoio da gerência, certo? Então você não precisa se preocupar com essas coisas aqui. Então, queremos falar sobre agora, à esquerda, você pode ver o canto inferior esquerdo que eu coloquei nos símbolos do PDP e do PEP, certo? Então, a primeira coisa em que queremos pensar é onde queremos colocar um PDP aqui, que é basicamente o cerne do sistema de confiança zero da Honor. E, na realidade, como qualquer empresa que esteja implementando a confiança zero, o PDP provavelmente será um produto comercial ou pode ser sistema técnico diferente que você está conectando à categoria APIs, processos de negócios. Pode ser qualquer coisa, pode ser um produto. Pode ser sua própria implantação interna, certo? Zero tos não o vincula a nenhum tipo específico de produto ou tecnologia existente. Mas se fosse eu, eu estava fazendo isso. Assim, você pode ver mais de perto o SSO. É aqui que eu implantaria o PDP. Se você se lembra inicialmente de quando falamos sobre estratégias de confiança zero, falamos sobre um modelo centralizado de governança de identidade, certo? Portanto, o Zero Trust é muito centrado na identidade, na minha opinião. E seu PDP deve ter um relacionamento muito estreito e confiável com o provedor de identidade e o provedor de SSO. Pode ser como já, pode ser outra coisa, certo? Mas o PDP deve ser implantado aqui e reconfigurado para que possa obter os dados do SSO direta ou indiretamente. Talvez você possa configurá-lo. Talvez seja um produto. Você pode configurá-lo por meio de uma conta de serviço para fazer chamadas de API. E configurando o PDP quando os homens fazem alguns certificados, certo? Então, isso indica que você pode usá-lo como governança de identidade. Ou seja, pessoalmente eu faria isso porque se fosse um login único, tudo será autenticado aqui, certo? E essa seria a melhor maneira de obter acesso. E talvez daqui também possa conectá-lo à solução SIM. Mas essa seria, na minha opinião, a melhor maneira de implantar o PDP aqui. Agora, conversamos no PDP. E quanto ao ponto de aplicação da política, que é basicamente de onde os acessos serão controlados, certo? Então, na minha opinião, você pode ver que eu o implantaria perto da VPN e também das fibras dentro do firewall interno. E no nível da nuvem. Minha perspectiva é de um sistema de confiança zero eficaz. Para um modelo eficaz de confiança zero, você precisa ter implantado PEPs que sejam gerenciados centralmente pelo ecossistema, mas que possam ser distribuídos por todo o ecossistema, certo? E o PDP deve controlar comportamento do PEP em relação às políticas que eu lhe disse, que são dinâmicas e sensíveis ao contexto, e são aplicadas em todo o ambiente. Esses PEPs podem ser de diferentes tipos. Eles não precisam ser como um produto ou algo assim. Talvez você possa utilizar o firewall existente ou a VPN existente. E vamos falar sobre isso, certo? Então, talvez, por exemplo o PEP na DMZ no nível do firewall, que só permite autorizar e autenticar usuários quando o PDP autentique e diga, ok, esses caras são permitidos com base nas permissões, entregue-as a ele pelo PDP. E o PDP analisará as diferentes fontes, o SSO, o SIM, e você também examinará esses mecanismos. Da mesma forma, a rede interna quer sair e retirá-la novamente da infraestrutura de nuvem para consultar novamente o SSO. Então, essas são as áreas em que eu implantaria o PEP e como ele funcionaria? exemplo, independentemente de um, o PEP é como você realmente o trabalharia na prática? Então, em um alto nível, então, desculpe, minhas desculpas. Uma coisa que eu esqueci na maior parte da microssegmentação, é claro, eu esqueci disso. Então, se você pode ver os servidores internos agora, seus seguidores são, não é, eles são maravilhosos para ver o tráfego norte-sul, certo? Falamos sobre isso anteriormente. Você precisa ter uma microssegmentação lá para restringir a comunicação entre os fluxos de trabalho, o tráfego leste-oeste. Esqueci de mencionar essas políticas. Então, sim, eu definitivamente implementaria a microssegmentação no nível do servidor, certo? Porque isso resolveria os ataques se o atacante conseguisse penetrar no perímetro e tentar comprometer o movimento lateralmente. Portanto, a microssegmentação é uma ótima maneira de implementar confiança zero, sobre a qual falei anteriormente. E você não precisaria rearquitetar, certo? Você provavelmente poderia usar algum software, agente de software, algum tipo de controle de firewall existente baseado em agente para implementar a microssegmentação. Então isso é o que eu estaria fazendo. Agora que você implantou o PDP, o PEP, e como uma forma de microssegmentação, como isso funcionaria na realidade? Isso é o que funcionaria, certo? Então, supondo que alguns caras estejam lá, ele está tentando autenticar e acessar cada fonte, certo? Então o corpo chamava de onde ele ia para o PEP, o PEP enviava isso para o PDP. Ei, esse cara está acessando os recursos que ele permitiu. Agora, o PDP consultaria ou faria uma chamada de API para a solução SIM, para o SSO. A solução SIM provavelmente teria tudo certo. Seria necessário dar uma olhada em todas as informações contextuais. Então, isso faria com que todas essas informações fossem obtidas do sistema SIM. Talvez isso atingisse o nível geral de ameaça na rede. Qual é o nível de risco com John para esse usuário? E a política, o sistema Zero Trust e a avaliação desses atributos e uso com base no algoritmo de confiança podem tomar uma decisão. Talvez diga que, Ei, esse nível está um pouco médio agora. Talvez seja necessário aplicar o MFA, certo? Ou talvez o nível de risco seja alto, desculpe, você não pode acessá-lo. Então, analisaria, avaliaria seu nível de risco e, em seguida, atribuiria uma política a esses usuários enviaria de volta ao PEP. E então o PEP permitiria ou proibiria o acesso, caso contrário, talvez um disco estivesse baixo, apenas permitiria o acesso. Se fosse médio, você diria, desculpe, você precisa aplicar o MFA. Se o nível fosse alto, a política pediria desculpas, não permitiria o acesso. Então, isso é de alto nível. Teoricamente, é assim que funcionaria. Claro, nunca é tão simples na vida real, certo? Então você provavelmente, se voltasse ao diagrama, analisássemos a implantação de PEPs, talvez possamos usar um firewall como PEP, a VPN como PEP, as ferramentas nativas da nuvem como PEP. Mas o que eu vi nunca foi tão simples, o que seria necessário para uma ferramenta atuasse como um ponto de aplicação da política. Então, isso é muito importante. O que torna um componente de segurança do PEP como o Zero Trust White é que talvez você tenha um firewall antigo. Você pode pensar nisso como um PP? Talvez você tenha um componente de VPN antigo. Você pode pensar nisso como um VPPP, certo? Então é aqui que a resposta estaria. Depende do que a ferramenta pode fazer. Essa ferramenta faz um firewall. A VPN tem a capacidade de aplicar os PPEs, como políticas centradas na identidade e políticas sensíveis ao contexto de conversa? Ele pode fazer isso? Posso dizer, ei, se o nível de risco é baixo, se há algum MFA tão médio, aplique. Se o nível de risco for alto, não permitido diz Posso fazer essas políticas dinâmicas? Ele pode mudar automaticamente suas políticas com base no que o PDP está dizendo, certo? Ele pode se comunicar com segurança com o PDP? Talvez você se lembre do que falamos sobre o controlável e tem que ser seguro, certo? Muitas vezes, suas fibras tradicionais podem não conseguir atender a isso ou comentar se não tiverem essa inteligência, certo? E você precisa, porque o PEP precisa ser configurado dinamicamente pelo PDP e poder ajustar suas políticas de forma automatizada, certo? É um recurso essencial para implementar a confiança zero. E essa é uma das coisas fundamentais que você precisa ser capaz de fazer no Zero Trust. Conseguimos aplicar políticas sensíveis à identidade e ao contexto. O OP deve ser capaz de receber atualizações contínuas do PDB e automaticamente suas políticas de justiça em tempo real sem que nenhum ser humano entre e configure. Honestamente, essa é a única maneira de obter a natureza dinâmica responsiva aos corantes da confiança zero, mesmo em pequena escala, certo? Então, talvez seu firewall não consiga fazer isso e a umidade precise substituí-lo, certo? Talvez, mas talvez o firewall seja um firewall de próxima geração. Possui automação de segurança de rede de inteligência. Portanto, você pode considerá-lo como um PEP. Então foi aqui que eu falei sobre onde você precisa examinar sua arquitetura, decidir o que precisa ser substituído, o que precisa ser implementado, certo? Então, isso é muito importante, pessoal. Por favor, tenha isso em mente. O que realmente torna um PEP aplicável ou não. E nas próximas aulas, mostrarei o que, OK, o que acontece se você não conseguir aplicar todos esses mecanismos? Quais são as soluções disponíveis dentro da confiança zero dentro dessa estrutura? Portanto, manter essas coisas em mente é muito, muito importante. Então é disso que falamos anteriormente. É assim que eu implementaria a confiança zero, mas, como eu disse, mas, como eu disse, não existe uma maneira correta ou incorreta de implementá-la. Desculpe. O que? exemplo, se eu fosse malvado ao analisá-lo, diria que cometi dois erros. Se fosse eu, eu diria que não segmentei a microssegmentação do serviço. Eu só implementei microssegmentação no nível do banco de dados. Você pode ver que eu não fiz no nível do servidor, o que eu deveria ter feito. E talvez o que dizer da microssegmentação da infraestrutura em nível de nuvem como serviço? Isso é algo que deveria ter sido avaliado. Então, como eu disse, mesmo vendo isso agora, posso ver áreas em que talvez eu precise fazer melhorias, certo? Por isso, implantamos PEPs lá. E, claro, terá que ser analisado. Eu não adicionei o PIN para os administradores sobre os quais esqueci de falar, você também precisará ter um PP lá, certo. E se eu colocá-lo lá. Então, novamente, é aqui que o PEP entraria. Talvez os pagamentos possam suportar isso, talvez você precise de suporte adicional de inteligência do fornecedor. Mas isso está em um nível alto. É assim que você precisará pensar ao impor a confiança zero. Espero que isso dê uma ideia e tenha levado vocês à mentalidade de confiança zero, pessoal. Vamos analisar isso mais detalhadamente no estudo de caso e eu quero que você faça isso. Eu não vou te ajudar muito. Vou te dar um cenário de alto nível. Mas lembre-se, quais são as principais conclusões dessa lição? Os caras foram importantes. Não existe uma abordagem única para todos. Você pode ver que cada abordagem é diferente, certo? Zero. A confiança é uma filosofia e pode acomodar muitas soluções diferentes, muitos modelos diferentes, de produtos diferentes. Você precisa entender sua arquitetura. Muito, muito importante. Se você não conhece sua arquitetura, não conseguirá implementar a confiança zero ou colocará produtos e, não sabe, o usuário pode ignorar completamente porque você não estava ciente do caminho da rede, certo? Não opte por uma abordagem do big bang. se você voltar ao diagrama, se começar a implementar todas essas coisas ao mesmo tempo, você terá uma grande interrupção. As pessoas não poderão acessar. Tome seu tempo, pode ser implementado primeiro no nível de vice-presidente, ofereça, talvez primeiro no nível da infraestrutura, o PEP e o PDP, certo? Eu fiz isso com o tempo. Não coloque nenhuma política que impeça nada, não imponha políticas que possam ser bloqueadas lentamente, eu repito com o tempo. Então, isso é muito importante. Você se lembra de que o Zero Trust é amplo o suficiente para acomodar muitas abordagens. E espero que este estudo de caso tenha sido útil para vocês. No próximo, vou examinar outro estudo de caso, mas este, quero que você faça e compartilhe comigo o resultado. Obrigado pessoal e nos vemos na próxima aula. 11. Estudo de caso 2: Olá amigos, bem-vindos a esta lição. Agora, lembre-se do que eu falei sobre o estudo de caso, certo? Então, fizemos um estudo de caso em que eu analisei o que um cliente faria. Eles arquitetariam a rearquitetura do ambiente atual para impor os princípios de confiança zero. Agora, o que vamos fazer é analisar outro estudo de caso. Mas desta vez eu quero que você faça isso, dê uma olhada e me diga como você faria isso. Então, neste, estamos falando um BC comum e eles estão sendo lançados como um aplicativo da web usado por usuários e agentes. Alguns feriados. O aplicativo web simples, ele se conecta a um banco de dados e há um servidor de backup. E é nosso círculo, sofremos recurso soberano e a administração está acontecendo. Os administradores do sistema estão usando um servidor de jumps reforçado para se conectar ao serviço via SSH para manutenção. E isso é feito apenas internamente. Então, novamente, a gangorra está preocupada com ataques cibernéticos e ransomware, coisas que chegam dentro do cronograma, mas ao se espalhar muito rapidamente do ambiente local para a nuvem, o servidor de backup, talvez o administrador, de repente se torna malicioso. Talvez algo acontecendo com o servidor web. Todas essas coisas estão lá, certo? Então, ele pediu que você rearquitetasse o ambiente usando 02 princípios de acordo com o novo padrão. Então, se dermos uma olhada, este é apenas um diagrama de alto nível. Você pode dar uma olhada à esquerda para ver se os usuários e agentes estão se conectando via HTTPS ao aplicativo web de reservas. Temos um administrador e, usando um servidor de salto, ele está se conectando via SSH ao servidor web, ao banco de dados, ao banco de dados de backup. meio de uma VPN, temos um backup acontecendo no zoológico como uma recuperação de desastres. Então, nesse ambiente específico, estamos pensando em implementar aplicar os princípios de confiança zero, certo? Então, eu deliberadamente me mantive em um alto nível porque quero que você o arquitete. Lembre-se de que muitas empresas eles já têm, como neste caso, você pode ver que elas têm um servidor, uma VPN, um nível básico de segurança já existem agora. Eles querem aplicar os princípios de confiança zero. Então, eu quero que você use o conhecimento sobre o qual falamos. Quais são os princípios? Como você faria para aplicá-lo? Onde você começaria a acreditar? Lembre-se de que não há nenhum processo certo ou errado aqui. Você realmente quer analisar os princípios do Zero Trust e como aplicá-los. Nós não temos. Gostar. Quero que você assuma que tudo o que eles têm em seu ambiente pode apoiar o Eurotransplant. Suponha que falaremos mais sobre isso mais tarde. Mas aqui eu quero que você pense sobre o que você faria, certo? E quando falamos sobre essas outras coisas, lembre-se falamos sobre onde você colocaria o ponto de decisão política. Esse ambiente tem fibras? Se não, isso já é mas vamos supor que sejam firewalls. Eles colocariam o ponto de decisão política, há um único sinal aqui? Caso contrário, talvez seja necessário colocá-lo lá, certo? Onde você colocaria o ponto de aplicação da política? É como um Jump Server, clientes acessando, eu não acho que você precise. Isso acabou com HTTPS, certo? Mas onde quer que você coloque o ponto de aplicação de políticas, onde todas as conexões acontecem sempre que você aplica microssegmentação nesse ambiente. Então, olhando para esse ambiente, pense no que você faria. Onde você colocaria o PDP? Onde removemos microssegmentos para evitar qualquer movimento lateral. Se você colocasse os pontos de aplicação da política aqui, como nós éramos, os cinco serão o vice-presidente e esse tipo de coisa. E eu quero que você agora dê uma olhada e me avise. Então, como você faria para impor a confiança zero? Eu deliberadamente me mantive em alto nível. Não quero entrar em dois detalhes, então isso se torna muito complexo para você, porque percebo que provavelmente é a primeira vez que você implementa a confiança zero. Então, dê uma olhada nisso. Não se preocupem em cometer erros, pessoal, como eu disse, Zero Trust é uma jornada. Você ficará cada vez melhor nisso com o tempo. Então dê uma olhada e me avise, compartilhe comigo os resultados. Ok pessoal, e nos vemos na próxima seção. Na próxima seção, falaremos sobre um tópico importante. E se você não puder apoiar os princípios do Zero Trust, certo? E se você tiver aplicativos ou produtos legados que não suportam uma confiança zero? O que você faz nesse ambiente? Ok. Obrigado e nos vemos na próxima seção. 12. Falta de suporte: Oi pessoal. Neste tópico, falaremos sobre um tópico muito importante, que é se em alguns produtos existirem alguns aplicativos que você não pode suportar? Eu não posso implementar a confiança zero, e esse é um cenário muito, muito comum, um cenário muito prático. Portanto, é possível, não prático, implementar a confiança zero em todo o seu ambiente. Ok? Então você tem a opção de construir o que chamamos de estado misto. Você pode implementar confiança zero ou como você pode, de forma ampla, implementar confiança zero. Portanto, parte da sua arquitetura implementará a confiança zero, mas você ainda precisa acessar sistemas que não possam implementar princípios de confiança zero, certo? É sempre recomendável que você tenha seus girotrons uniformes, mas não vivemos em um mundo perfeito, certo? Então, você terá coisas como aplicativos legados ou talvez tenha coisas que não oferecem suporte, certo? Portanto, seus principais serviços devem ser incluídos. Mas como ele chamou você, alguns aplicativos não conseguem obter o benefício, certo? É aqui que entra a situação. Então, vamos dar uma olhada no que poderia acontecer. Então, em uma jornada que você gostaria, se estiver em uma jornada rumo à arquitetura de confiança zero, descobrirá que alguns aplicativos não são suportados. Eles não conseguem implementar princípios de confiança zero, certo? E o que você pode fazer é analisar algumas maneiras de habilitar o acesso e, ao mesmo tempo ter os benefícios do Zero Trust para todo o sistema. Como eu disse, chamamos isso de estado misto. Eles podem ser muitos motivos, certo? Como nem todos os aplicativos de serviços de sistemas podem ser integrados a uma rede de confiança zero. E você não precisa abandonar todo o seu projeto de confiança zero, certo? Às vezes, a integração direta não é possível porque talvez o sistema incompatível com tecnologias que permitem confiança zero ou porque não é adequado. Se você se lembra, falamos sobre firewalls anteriores não serem capazes de suportar políticas dinâmicas. Talvez sejam incompatíveis com um sistema de confiança zero. exemplo, um aplicativo de serviço de sistema pode ser incompatível porque não oferece suporte a mecanismos de políticas, certo? É só um dispositivo idiota. Ele pode suportar políticas dinâmicas ou não oferece suporte a métodos de autenticação modernos, ou não oferece suporte como SAML ou OT, como se fossem coisas que geralmente são lançadas por um mecanismo de políticas, mas por um mecanismo de confiança zero. E o que acontece é seu ponto de aplicação da política. Ele passa esse documento de política, talvez um Docker, então o dispositivo não o suporte, certo? Talvez não ofereça suporte a protocolos seguros. Que as comunicações não estão adequadamente protegidas, limitando a capacidade de conexão. Lembre-se de que falamos sobre que quando você está se conectando ao plano de controle, ele precisa estar protegido, certo? Talvez esses produtos estejam usando produtos obsoletos. Talvez as vulnerabilidades do software existam, certo? E por causa disso, sua confiança diminui ou talvez seja a mais comum Geralmente vejo que é um aplicativo legado. Existe um método de autenticação tradicional ou legado. Portanto, a autenticação deles está sendo gerenciada pelo aplicativo. Portanto, é difícil se integrar a uma arquitetura de confiança zero. Então, o que você faz agora? Quero dizer, você não pode simplesmente abandonar e dizer: Desculpe, não podemos implementar confiança zero, certo? Não, esse não é o problema. Então, se você se lembra, falamos anteriormente sobre variações implantadas com confiança zero e falamos sobre um enclave, essa implantação é semelhante a colocar um gateway lá, certo? É como se o gateway estivesse protegendo um recurso ou como um agrupamento de recursos, certo? É um tipo de compromisso dentro princípios do Zero Trust, porque tudo dentro do enclave é confiável porque toda a verificação foi feita pelo gateway, certo? Portanto, isso representa uma forma de implementar confiança zero em sistemas que não são totalmente compatíveis, certo? Ele não é capaz de oferecer suporte total ao Zero Trust para empresas que têm aplicativos legados ou sistemas de controle que não estão totalmente sob seu controle, que não podem ter agentes individuais. Então, existem portais, esse para esse tipo de coisa. Você pode colocar algo como um gateway e fazer isso. Mas lembre-se de que dentro do recurso, sim, você precisa garantir que o gateway seja a única maneira de acessar esses recursos. E se alguém ignorar, então sim, você teria que comprometer a confiança zero quando falamos sobre as ameaças que existem. Portanto, esse tipo de modelo seria muito adequado em tal ambiente, mas como você faria para aplicá-lo? Então é aqui que entra a parte prática da implementação e diz algo chamado proxy de confiança zero. Isso pode ser algo que você já tem. Talvez um de seus dispositivos de firewall próxima geração possa suportar isso. Talvez seja necessário comprar um produto, mas sim, um proxy de confiança zero geralmente é usado para mediar conexões em uma arquitetura de confiança zero. E às vezes pode ser usado em uma confiança totalmente secreta, mas geralmente é usado em um estado misto em que fica entre seus usuários e os sistemas são aplicativos legados, certo? Os clientes, o usuário, se conectarão ao proxy. E o proxy então gerencia o acesso ao aplicativo de acordo com as políticas de confiança zero. Usando uma arquitetura de confiança zero, ela permite o acesso seguro a aplicativos que não suportam confiança zero. Então, como isso funcionou? Então, geralmente ele vem em duas partes, como um servidor proxy e o conector proxy. servidor proxy, ou seja, será o mesmo que o ponto de aplicação da política. Ele controla o acesso aos aplicativos. Ele se conecta ao algoritmo de confiança zero, ao modelo Zero Trust, e pergunta: quais são as políticas, certo? Para tomar decisões, a aplicação da política, ela se comunicará com o mecanismo de políticas. Então, uma vez que mecanismo Zero Trust concede acesso ao aplicativo. O proxy então encaminhará tráfego para o conector proxy, e veremos um diagrama disso. Então, é aqui que há um canal bidirecional seguro para o servidor proxy, geralmente por meio de TLS. E é assim que basicamente seus conectores você implantou no ambiente. Então, os outros estavam gerenciando os acessos aos aplicativos legados, certo? Então, é assim que você realmente faria isso dentro de um aplicativo. Então, como seria? Seria algo assim, certo? Assim, você pode ver os usuários se conectando ao proxy de confiança zero. O proxy de zero a X se conecta à fonte. Ele se conecta ao PDP, onde obtém uma política. E com base nisso, para permitir a vertical, o servidor proxy, ele tomará a decisão. Assim, quando o mecanismo de políticas iniciar o acesso, ele encaminhará o tráfego para o conector proxy. Então eu vou para o firewall e depois para o conector proxy. O conector proxy geralmente tem um canal seguro, geralmente TLS, porque você quer ter certeza de que todo o tráfego está incorreto, com taxa criptografada. E depois o conector, que dá acesso. Então, os conectores precisam ser implantados em um aplicativo no local onde eles possam acessar os aplicativos, certo? E eles também podem acessar o proxy de confiança zero, você pode instalá-lo e estão conectados em uma máquina separada. Geralmente, depende de você como você quer arquitetá-lo, certo? Mas o que é muito importante é que todo o tráfego desse aplicativo, esse legado, ele vai para o conector proxy e não há atalhos porque você não pode ignorá-lo usando algum outro protocolo ou outro método de autenticação. Porque então, nas ameaças sobre as quais falamos anteriormente, você estaria contornando a arquitetura de confiança zero. Portanto, você precisa configurar o aplicativo para aceitar conexões somente onde está o conector proxy. E você pode aplicar isso talvez na camada de rede usando um firewall, usando regras de firewall. Essas são as coisas que você deve ter em mente. Então, quais são as coisas que você deve ter em mente ao implementar um proxy de confiança zero. Então, uma coisa que você realmente precisa entender é maioria das soluções de proxy para roteadores estão restritas a um conjunto de aplicações de protocolos. Talvez alguns proxies suportem apenas protocolos como HTTP, HTTPS. E isso pode trazer mais complexidade. Quando você recusou. Em alguns aplicativos ou legados, isso pode ser um problema, mas não é compatível com a taxa do protocolo. E, às vezes, o proxy Zero Trust pode não ser escalável. Em aplicativos que existem tantos aplicativos disponíveis. Talvez seja necessário instalar um proxy para o aplicativo que possa adicionar um custo, certo? E como você chama? Isso pode ter complicações com a infraestrutura local. Talvez você tenha mais suporte e manutenção adicionais. E você quer ter certeza de que precisa dar uma olhada em como garantir que todo o tráfego seja roteado por meio do proxy de confiança zero. Não há atalhos. Eu continuo adicionando isso porque isso é muito, muito importante porque isso contornará todo o engenheiro de confiança zero, certo? Você precisa fazer mais configurações, novas regras de firewall. Portanto, você quer ter certeza de que o tráfego está limitado apenas ao proxy. Como o proxy de confiança zero está agindo como um ponto de aplicação da política, ele garante que somente o acesso seja bom lá. Portanto, essa é uma boa solução para a maioria das vezes em que você tem aplicativos legados. Mas certifique-se de ter suporte a protocolos. E se ele pode ser dimensionado para o número de aplicativos em seu ambiente. Não saia e compre um proxy de confiança zero sem verificar se essas coisas são muito fáceis, apenas desperdiçando dinheiro, certo? Então era disso que eu queria falar sobre homens. Quais são as principais conclusões? prática, em um cenário real, alguns ambientes podem não suportar totalmente os princípios do Zero Trust. E os proxies proxy de confiança zero podem ajudar nesse cenário. Apenas certifique-se de que os protocolos sejam suportados e funcionem em seu ambiente. Espero que tenha sido útil para vocês. Estou apenas tentando manter esse curso o mais prático possível. Eu não quero te dar uma imagem otimista disso. Tudo funcionará magicamente. Saiba que você enfrentará esse artista e é assim que você será capaz de acomodar tais situações. Ok, então estamos quase chegando ao final deste curso, agora vamos falar sobre o roteiro para a confiança zero. Então, no momento, analisamos mais como implementar arquiteturas, mas como considerar a confiança zero como um projeto adequado. Quero falar sobre isso e nos vemos na próxima aula, pessoal. Muito obrigado. 13. Implementando Zero Trust: Oi amigos. Agora, gostaria de entrar na última parte do nosso curso. E agora vamos falar sobre a implementação real do Zero Trust como um projeto, como um órgão chamado de roteiro. Por exemplo, como você realmente considera isso um projeto? Ok, espero que você já tenha entendido zero-trust como implementá-lo. Quais são os desafios? Mas como você começa, certo? Qual é o processo? Então, lembre-se do que eu disse antes: Zero Trust é uma jornada. É um investimento de tempo e dinheiro. E você precisa entender suas organizações, como as prioridades arquitetônicas. Além disso, você precisa realmente justificar isso como um projeto estratégico em seu ambiente. E ao iniciar sua jornada, você precisa fazer pequenas, pequenas implantações e vitórias táticas para mostrar o valor agregado, certo? E fazer isso realmente ajudará a mostrar o valor de sua confiança zero. Isso criará impulso e suporte internamente, certo? Você precisa identificar vitórias táticas dentro da estrutura de sua arquitetura de confiança zero. Ao fazer isso, você poderá mostrar à gerência há benefícios chegando e eles apoiarão você neste projeto, certo? Cada uma é bem-sucedida ou tática , quando abrirá cada vez mais apoio para você. Não tente fazer uma abordagem do big bang, que levará cerca de 18 meses e dinheiro será como voar para longe. O tempo vai passar. E as pessoas que estão pensando, por que estou perdendo tempo com isso? Ok? Então, o Zero-Trust Planted começa. Isso pode se tornar muito avassalador. As pessoas podem estar pensando, oh meu Deus, como vou implementar isso? Portanto, você realmente precisará pensar confiança zero como um destino. É uma jornada, certo? Desculpe, não pense nisso como um destino. Pense nisso como uma jornada que precisa ser abordada sistematicamente e revisitada, certo? Para percorrer essa jornada, implante o Zero Trust adequadamente. Você tem que fazer isso, como identificar um plano de ação e depois como uma estrutura para ele. Caso contrário, você ficará sobrecarregado, certo? Dentro. Se você estiver trabalhando em um ambiente completamente novo por meio de um ambiente totalmente ecológico, é possível construir arquitetura de confiança zero do zero, certo? Supondo que a empresa de intérprete candidata conheça os fluxos de trabalho dos serviços de aplicativos, ela pode produzir uma arquitetura baseada nos princípios de Zero Trust. E ele pode se restringir e dizer: Ok, isso é o que eu quero implementar. Essas outras coisas que eu quero fazer. Mas, na maioria dos casos, não é um ambiente Greenfield, é um ambiente existente. E você precisa começar a implementá-la de dentro de um ambiente existente em que a segurança já existe. E então você precisa começar a pensar, ok, onde eu coloco os mecanismos de autenticação? Onde eu preciso fazer a microssegmentação? De que tipo de pessoa eu preciso? Então é aqui que você precisa realmente começar a pensar no Zero Trust como um projeto. Não vá em frente e comece a fazer mudanças. É um projeto. Ele precisa ser orçamentado. Ele precisa ter atualizações constantes ou um comitê adequado. Não é um show de um homem só. Você começaria a fazer isso assim. Como se estivesse tratando isso como um projeto técnico. Quase posso garantir que não será bem-sucedido. Ok, então quais são os desafios Se você se lembra, discutimos isso logo no início. Quando você fala sobre confiança de líderes, quais são os desafios que surgirão bem? Bem, antes de tudo, você precisará ter um inventário detalhado de seus aplicativos, seus conjuntos de dados, dispositivos, redes, certo? Porque você precisa gostar porque muitas mudanças podem ser necessárias, certo? Mudanças arquitetônicas significativas podem ser necessárias. Você precisa ter recursos financeiros e não financeiros para apoiar a implementação do programa de confiança zero a longo prazo, que precisa ser orçamentado. Posso garantir que alguns custos existirão. Não acho que será gratuito, certo? E você realmente precisa ver, então você é chefe de segurança cibernética? Eles precisam se comunicar claramente com os executivos de negócios por meio mudanças na arquitetura de segurança que estão sendo introduzidas. Quais são os benefícios? Porque uma mudança de mentalidade é necessária, certo? E precisa do apoio de sua gerência para ter sucesso. E os benefícios podem não ser imediatamente aparentes, certo? Se você, como eu disse, se você fizer uma abordagem de big bang, talvez não consiga mostrar quais benefícios virão se você fizer isso, pequeno e tático, Vince, você precisa identificar isso, certo? Então, como você começaria? Bem, vendo isso como um projeto, você precisa obter a adesão da taxa de gerenciamento. E você precisa entender, mapear o ambiente. Estas são as cinco etapas que eu daria para conseguir a adesão, entenda o metano. Os romanos introduzem lentamente os mecanismos de controle e, em seguida, implementam o modelo de confiança zero , o mantêm, monitoram e melhoram. Ok? É assim que você faria, certo? E para que seja adequadamente bem-sucedido com base em todos os projetos em que as pessoas realizaram essas outras melhores práticas. Portanto, o primeiro passo é muito, muito importante. Por favor, não ignore isso. Obtenha a adesão da gerência, obtenha a adesão do seu CTO, CIO. Obviamente, provavelmente será a parte interessada nisso. Mas sim, você precisa garantir que sua liderança, profissionais de TI e toda a equipe estejam envolvidos no desenvolvimento e na implementação. Por quê? Porque é um compromisso de longo prazo. Muito dinheiro vai acabar. É preciso priorizar. Muitas mudanças vão acontecer. Você precisa realizar workshops mostrando o que, o que vai acontecer. Caso contrário, você enfrentará desafios e obstáculos durante a implantação. Queria que a expiração entrasse em ação. As pessoas resistirão à mudança. Para garantir que todas as partes interessadas sejam capazes. E uma forma de participar de um projeto de confiança zero. Você precisa ter certeza de comunicar os princípios do Zero Trust. Descubra o que você já tem, o que precisa fazer. Mas apresente sua gestão com a estratégia Zero Trust. Isso pode ser desenvolvido como uma estratégia para toda a empresa com todo o comitê com funções e responsabilidades. E tente evitar a discussão diferente sobre tecnologia. Não pense nisso, por favor, não o apresente como Ok, precisamos implementar este produto, certo? Pense nisso como uma estratégia e explique como isso é fundamental para os benefícios de segurança de sua estratégia de longo prazo. E garanta que eu possa garantir que as mudanças que virão, as mudanças disruptivas quando você implanta um novo modelo de segurança, não serão bem-vindas. Muitas pessoas podem ser resistentes à mudança. Eles podem estar gritando e por que isso está acontecendo? Por que de repente o MFA está surgindo, por que isso está acontecendo? Você precisa fazer isso corretamente. É por isso que conseguir a adesão é tão importante. O próximo passo é entender o meio ambiente. Um dos principais requisitos de uma arquitetura de confiança zero: você precisa identificar e gerenciar os usuários dos dispositivos, certo? Então, como você correria se não soubesse, certo? A capacidade de conhecer e gerenciar ativos corporativos é fundamental para a implantação bem-sucedida de uma arquitetura de confiança zero. Seja hardware, laptops, telefones, dispositivos de IoT, artefatos digitais, usuários, certo? Portanto, talvez não seja possível fazer um inventário completo. Portanto, você deve pensar em como obter esse inventário para ter o existente e o novo. Não é apenas o caso de criar um pessoal associado, você precisa ter essa capacidade. Você pode ter contêineres, ativos virtuais. Então, porque todas essas informações irão para o ponto de aplicação da política, certo? Você pode ter o Shadow IT, que você não conhece. Então, todas essas coisas serão necessárias. Você pode ter BYOD, usuários remotos, parceiros, tudo isso, então, o que você pode fazer? Qual é a aparência de seus usuários existentes? Você pode pensar em usar ferramentas e talvez seu login único forneça uma lista completa de todos os seus ativos. E talvez você tenha uma taxa de gerenciamento de dispositivos móveis. Você pode identificar que os usuários estão lá. Então, pense em quais outras coisas você deveria conseguir. Talvez do seu diretório de usuários, seu aplicativo antigo. Talvez você já tenha uma ferramenta, certo? Ferramenta de gerenciamento de configuração, que fornece o ativo completo, seu pessoal de TI o ajudará aqui. Então, faça isso. Então, o próximo passo será realizar uma avaliação de risco, que já sempre faz parte de qualquer grande projeto. Isso ajudará você a identificar o que você pode e não pode mitigar como parte de sua arquitetura de confiança zero. Lembre-se de que falamos sobre algumas coisas que podem não estar implementadas e isso pode ajudar você a identificar o que já está funcionando como uma medida de segurança à sua direita. Você faz isso desde o início. Vai ser ótimo. Isso ajudará você a identificar quais são os riscos que não podem ser mitigados com uma arquitetura de confiança zero. Porque se você começar a implementar plano sério de confiança zero e sem realizar uma avaliação de risco, garanto que você enfrentará problemas no futuro, certo? Então, alguns de seus controles de segurança existentes podem precisar salvar alguém para ser alterado, certo? É aqui que seu inventário ajudará. Mas, ao fazer isso, você terá uma visão clara sobre como implementar. Isso ajudará você a identificar o que é, o que priorizar, certo? Talvez você tenha filiais de trabalhadores remotos. Eles terão precedência. Isso ajudará você a definir o escopo. E isso pode ajudar você a identificar qual tecnologia já existe, quais licenças você já tem. Lembre-se sempre de que nenhuma empresa está começando do zero com confiança zero. Você terá práticas de segurança existentes, Você terá práticas de segurança existentes como autenticação multifator. Você só precisa encontrar a unidade aqui. Talvez você precise ver a documentação que você tem e tudo mais, certo? Então, essas são as coisas quando você começa a implementar seus controles. Portanto, faça uma avaliação de risco e, em seguida , observe lentamente quais controles existem. Agora, você pode, agora você tem um fêmur adequado lá. Agora você pode começar a implementar sua confiança zero. Você completou suas fases iniciais. Agora você pode começar a implementar seus princípios de confiança zero. Lembre-se, é um projeto isolado, não é um grande banco. Você precisa garantir que a equipe esteja ciente. Talvez você esteja implementando um foxy de confiança zero. Talvez você esteja implementando um ponto de aplicação de políticas para tomar decisões inteligentes sobre mudanças. Agora, as pessoas precisarão de MFA se estiverem se conectando a partir de um dispositivo pessoal, esse tipo de coisa, certo? Então, como parte de sua estratégia, pense em coisas como seu Alabama, que seu roteiro deveria ser de propriedade do CISO? Não está gravado em pedra, certo? Não é como se não pudesse ser mudado. Talvez você possa dar uma olhada e descobrir essa nova tecnologia, pois existem recursos de segurança aprimorados. Ele precisa estar alinhado com a estratégia geral e as melhores práticas para fazer isso em etapas e aumentar a escala com o tempo. Portanto, você deve implantar. Considere a implantação de tecnologias e processos do Zero Trust em casos de uso pequenos, para que a equipe entenda por que essas coisas estão acontecendo dessa maneira. E da mesma forma, se entrarem e garantirem que a gangorra seja responsável por supervisioná-la e entregá-la. Então você tem um oficial sênior. Se você simplesmente assumir a responsabilidade de implementar cores de confiança zero, oficial de segurança júnior, as pessoas resistirão e não o ouvirão, certo? Tem que ser propriedade de outro nível de gangorra. Certo? Agora. Implementamos alguns dos princípios do Zero Trust. Sim, é hora de manter e melhorar o modelo. Então, como eu disse, é uma jornada contínua. A abordagem precisa ser zero de confiança. Você precisa desafiar e ser avaliado constantemente. Você precisa ter certeza de que está obtendo informações sobre quais tecnologias estão acontecendo, quais ameaças estão acontecendo para que seu modelo de confiança zero continue mudando. Você precisa, você pode considerar a implementação de novas tecnologias, novos produtos agora, certo? Como a IA e o aprendizado de máquina, que podem colocar quais controles que não estão disponíveis na biometria, falaremos sobre eles posteriormente. Mas é aqui que você mantém e aprimora o modelo ao longo do tempo. E acredite em mim, da primeira vez não será tão bom. Você gostou, isso, você vai melhorar cada vez mais. Confiança zero. Esta é a nossa obra Zero Trust. Então é sobre isso que eu queria falar com vocês. Zero Trust é uma jornada. Pode ser um projeto de vários anos e vários domínios. E governos em todo o mundo estão implementando isso, ordenando que as agências façam o mesmo. E isso não está surgindo de forma muito, muito proeminente no setor privado e em todo o mundo. confiança zero é praticamente o padrão de fato agora para novos tipos de modelos de segurança Trate-a como um projeto. Ele será implementado, você receberá desafios, você obterá resistências inicialmente. Não se preocupe com eles. Então, espero que isso tenha sido útil para vocês. Agora vamos ver a iluminação. É o último que são os modelos de maturidade. Como você sabe onde você se encaixa no menu que implementa o zero-trust? Em que palco você está? Como você sabe? Por exemplo, o quanto o Zero Trust tem maduro? Como eu aludi? Sabe onde eu estou? Então, vamos falar sobre isso, dê uma olhada nos modelos de maturidade do Zero Trust, que podem ajudá-lo a avaliar sua posição. Pode haver vários modelos de maturidade presentes facilmente. Você pode dar uma olhada e ter uma boa ideia de onde você estava. Ok, então, obrigado , pessoal, e nos vemos na próxima aula. 14. Modelos de maturidade Zero Trust: Oi pessoal. Então, estamos quase no final do nosso curso. E nesta lição, falaremos sobre os modelos de maturidade do Zero Trust. Agora que você falou, vimos como a jornada do Zero Trust funcionaria em sua empresa, certo? Como você implementaria na prática um modelo de confiança zero em sua empresa? Agora, nesta lição, quero voltar ao modelo de maturidade, por exemplo, como descobrir o quão boa é sua confiança zero, onde você está, onde você se encaixa? Quero dizer, você começou a implementar a confiança zero, certo? Talvez você esteja há seis meses na jornada, um ano na jornada, você quer saber onde, onde estou, certo? Não. Sou bom e meu mal? Sou meio madura? Estou bem no começo? Como faço para descobrir? Então é aí que entram os modelos de maturidade. Lembre-se de que, como uma jornada contínua para abordar a abordagem da confiança zero, ela precisa ser avaliada e desafiada constantemente, certo? Então você tem que gostar de ser um C, então você precisa entender sua estratégia interior de Zero Trust e descobrir se é realmente bem-sucedido ou não. E você precisa procurar maneiras de melhorá-lo continuamente, certo? Você deve descobrir onde estão as lacunas e como você faz isso? Uma das maneiras mais fáceis de fazer isso é adicionar um modelo de maturidade de confiança zero. Isso responde à pergunta: como eu sei o quão boa é minha postura de transporte zero? E há muitos, muitos modelos de maturidade presentes. Basicamente, ele informa onde está sua arquitetura de confiança zero, onde você está, perguntará quais controles você está implementando e em qual etapa da jornada. O bom é que eles não faltam modelos de maturidade do Zero Trust. Vou dar uma olhada em dois dos mais comuns, mas, honestamente, você pode dar uma olhada e encontrá-los. Então, uma coisa é a Microsoft. Então, a Microsoft documentou toda a jornada da confiança zero, semelhante à do Google, como falamos anteriormente, certo? E eles também diziam que empresas diferentes têm diferentes implementações de tecnologia e estratégias de segurança. Todos eles impactam como o modelo de segurança retrô será feito da maneira certa? Então, com base em sua própria experiência em ajudar os clientes a proteger suas organizações e implementar a confiança zero. Eles desenvolveram um modelo de maturidade para ajudar você a avaliar sua prontidão de confiança zero e criar um plano, certo? Eles têm vários quando ele chamou de fases. Concentre-se em várias áreas, como segurança de dispositivos e identidade. Então, você pode dar uma olhada e, na verdade, em vez de eu falar sobre isso, que eles têm uma ferramenta gratuita que é muito legal. Eles analisam identidades, endpoints, infraestrutura de aplicativos e rede de dados. Eles avaliam a maturidade em todas essas ferramentas. Então, podemos, no final da aula, dar uma olhada e preenchê-lo identidades e endpoints e ver que tipo de feedback eles dão. Normalmente, é mais voltado para uma caixa da Microsoft, mas, honestamente, usei essa ferramenta e os conselhos que dela resultam. Você pode usá-lo praticamente em qualquer ambiente. É muito fácil fazer isso. Então, é possível fazer, e você pode fazer isso. E se a Microsoft não é sua xícara de chá, você pode ver outras coisas. Além disso, existe uma Agência de Segurança Cibernética e de Infraestrutura nos EUA. Eles são como você pode imaginar. Eles fornecem apoio às agências federais. Dentro dos EUA. Eles fornecem apoio para agências de segurança, como no governo dos EUA . E eles forneceram um excelente modelo de maturidade do Zero Trust. É como se seu modelo de maturidade Zero Trust baseado em dispositivos de identidade, rede, aplicativos e dados semelhantes aos da Microsoft, certo? Mas o que eles fazem é que eles também o dividiram. E então, na verdade, eles são um dos mesmos caminhos. Eles disseram que essa é uma das partes que você pode fazer para fazer a transição para a confiança zero. E o que eles fazem é assim que parece que eles tradicionalmente avançaram e otimizaram e os dividiram. Você pode dar uma olhada nessa matriz. Você pode dividir isso. Eles o dividiram em toda a linha. Então, para identidade, isso é o que tradicionalmente seria e o que seria avançado, o que seria ideal com o dispositivo anterior. Isso é o que tradicionalmente seria avançado. O tradicional seria como se tudo fosse manual. Avançado seria algo em que você tivesse visibilidade centralizada; o ideal seria uma taxa de otimização total. Então, é muito legal. Quero dizer, eles também reconhecem que isso exige tempo e investimentos. Então essa é a razão pela qual eles recomendaram uma abordagem em três estágios, certo? Então, na arquitetura tradicional de confiança zero é basicamente como eu disse, manual, certo? Em vez de automatizado, o ponto de partida, o laser é caracterizado por procedimentos manuais, política de segurança nominal, fiscalização limitada, certo? E principalmente implementado manualmente. arquitetura Zero Trust e Zero-Trust seria que você começasse a obtê-la e melhorá-la. Se você o colocasse de forma centralizada, gerenciasse melhor a aplicação de políticas e dependências mais específicas automação, fosse aprimorado quando você chama os procedimentos de mitigação , o último seria o ideal. O ideal seria a automação total na maioria dos elementos da infraestrutura de segurança. E você tem um melhor alinhamento centralizado. Mas ele ligou para informações sobre ameaças. Em cada estágio, ele contribui para a progressão geral para uma arquitetura Zero Trust forte e segura. E eles visitam, nesses cinco minutos, uma ferramenta muito excelente. Estou usando isso. Então, além desse ponto eu não falei e os EI são muito difíceis de entender hoje em dia, que são GPD e tudo mais, novas tecnologias e confiança zero. Então você tem que ser realista. Quero dizer, a inovação continua transformando a TI, certo? Você tem novidades no chat GPT de hoje, tomate para ser outra coisa, certo? Então você tem que pensar em coisas como eu dei o exemplo de biometria, IA e aprendizado de máquina. Todos eles desempenham um papel fundamental no apoio aos fundamentos da confiança zero, certo? Impressão digital facial, reconhecimento de voz. Você pode usar isso para autenticação. E a IA pode ser usada para automatizar a detecção de tendências semelhantes. A longo prazo. As empresas começariam a implementar essas ferramentas, certo? Você tem que tentar evitar o hype em torno dessas tecnologias. E antes de tudo, eu sempre recomendo dar uma olhada no que já temos em vez de optar pelo próximo produto brilhante, certo? E lembre-se de que qualquer pessoa que venha até você e diga que implementar esse único produto disposta a Zero Trust, acredite em mim, isso é completamente falso. Cada solução precisa funcionar em sincronia com as outras tecnologias em seu ambiente para garantir que o modelo de confiança zero completo exista. Mas lembre-se de que a implantação da confiança zero deve acompanhar as novas tecnologias e a transformação do setor de tecnologia, certo? Por exemplo, você pode mudar para a nuvem. E isso significa que as empresas estão armazenando seus ativos e dados fora do perímetro. Portanto, seria difícil aplicar uma única nuvem posterior, certo? Mas a postura de segurança, da mesma forma os dispositivos de IoT, se chegarem , pode ser um desafio do ponto de vista da confiança zero, porque é muito difícil obter visibilidade sobre a IoT e tudo certo? Então, todas essas coisas, como você pode imaginar fazer um inventário de dispositivos de IoT ou difíceis, isso mesmo. Então, todas essas coisas que você deve ter em mente, continuar fazendo isso, beijos, correndo e vendo essas várias vezes dentro da maturidade. Então, isso é basicamente um guia. Essa foi a última palestra desse curso. Lembre-se de que a confiança zero amadurece como qualquer outro modelo de tecnologia em que você tenha recursos. Não pense que você vai ser o melhor no primeiro dia. Mas os modelos de maturidade são uma ótima maneira de descobrir, escolher um e usá-lo. Consistência. Use-o para descobrir onde você está, de onde você gosta do vídeo atual e use-o para avaliar seu processo e usá-lo como uma forma objetiva de descobrir o que você está fazendo. Então, vamos fazer uma avaliação simulada. Também vou usar o testamento da Microsoft apenas para mostrar como ele funciona e quais são algumas das coisas boas que você pode obter com isso, certo? Então, vamos dar uma olhada nisso e nos vemos lá. Oi pessoal. Então, como eu disse, eu queria apenas fazer uma avaliação simulada rápida apenas para mostrar como você pode usar algumas ferramentas gratuitas na Internet e fazer uma avaliação básica. Então, isso é basicamente a Microsoft. Eles têm um pequeno questionário muito bom sobre sua postura de segurança de confiança zero e podem fornecer algumas descobertas muito boas. Não quero que você a use como uma ferramenta profissional, mas é uma maneira excelente de descobrir que eles não coletam dados confidenciais. Eles não recebem nenhuma PII nem nada. Eles não pedem que você envie nenhum documento. Eles apenas fazem algumas perguntas básicas e fornecem as melhores práticas que você pode usar como ponto de partida, você sabe, para descobrir lacunas em sua rede. E embora eles tenham se concentrado um pouco mais em ser como uma loja da Microsoft , você pode pegar essas descobertas e aplicá-las em qualquer lugar. Então, como você pode ver, eles se concentraram em identidades, endpoints, aplicativos , infraestrutura, dados e redes. Então, eu só queria te mostrar que vamos dar uma olhada. Deixe-me tornar isso menor. Sim. Ok. Então, vamos começar com identidades. Então, esta é a casa e você pode selecionar uma categoria. E aqui vamos nós. Vamos nos concentrar nas identidades, como já falamos várias vezes antes. Você pode fazer da governança de identidade o foco da Zero Trust e focar sua estratégia nela. Então, como você ativa a autenticação multifator? Posso dizer que alguns usuários talvez por meio de, acabamos de começar, certo? Mas alguns deles estão habilitados para autenticação sem senha para seus usuários, podemos dizer que, como você pode ver, eles se concentram mais novamente, porque são mensagens de texto. Qual supervisão de seu grupo de usuários, qual Login Único, ok, então aqui você ainda pode reunir praticamente todo mundo, exceto talvez parceiros. Quais das seguintes políticas de segurança eles estão usando para tomar decisões, acessar fontes corporativas, como você pode ver agora, elas não mencionam especificamente o ponto de decisão política ou os PEPs, mas sim, é disso que estão falando. Então, podemos ver tudo bem. Talvez o corretor de segurança de acesso à nuvem. E é isso. Talvez não estejamos usando o AMD e Soviet, não usando dispositivos. Se você ainda não começou a usá-lo. Você desativou a Autenticação Legada? Saiba por que eles são absolutamente porque lembre-se, você pode usar isso para contornar o processo de tomada de decisão. Você está usando o acesso do usuário em tempo real e quando a avaliação do acesso ocorre, ok, podemos dizer que sim. Quais das seguintes tecnologias você integrou às suas soluções de gerenciamento de identidade e acesso? Novamente, você me segue por que eles estão perguntando. Essa é a razão pela qual eu gosto muito porque eles não o tornam muito técnico, mas estão fazendo as perguntas do ponto de vista da aplicação da política e do PDP, podemos dizer, ok, talvez as outras não tenhamos. Ok. Qual dos seguintes contextos está usando a política de acesso? Lembre-se do que você falou, certo? Você precisa obter essa visibilidade. Então, no momento, talvez eles estejam recebendo usuários e não estejamos analisando o banco de dados SAM de risco de login. Identidade, pontuação segura de identidade. É como uma pontuação de risco que você obtém da Microsoft em azurita, ela analisa vários fatores e tudo mais. Então, eu diria que não, talvez não tenhamos a licença ou algo assim. Então, o que acontece? Como você pode dizer, agora, é isso que eles fornecem uma lista de descobertas priorizadas. Espero que eles forneçam uma lista de descobertas priorizadas e o porquê. Ele é considerado uma das conexões roubadas e substituídas. Por que habilitar a autenticação sem senha e melhorar sua pontuação de segurança de identidade. Para o manual. Você pode ver que, na verdade, é possível preencher completamente um manual completo da Microsoft. Então essa é a razão pela qual é tão bom, certo? Vamos dar uma olhada nos endpoints também. Nossos dispositivos registrados para seu provedor de identidade sabem que não podem de forma consistente, nem consistente. Vamos dar uma olhada. Sim, podemos dizer que os dispositivos gerenciados são totalmente compatíveis com a TI. Políticas de configuração. Tipo, eles gostam de índios ou algo parecido, certo? Você tem um modelo para os usuários se conectarem e organizarem? Devem ser fontes de dispositivos não gerenciados. Saiba que você vai fazer isso, mas não, não, não de forma consistente. Não podemos controlar que os parceiros apliquem política de prevenção de dados em todos os dispositivos gerenciados e não gerenciados. Então, provavelmente temos dispositivos gerenciados , mas não não gerenciados. Então você pode ver de forma não consistente. Você ativou a detecção de ameaças de terminais implementada para permitir a avaliação de riscos do dispositivo em tempo real? Podemos dizer que talvez alguns dispositivos. Novamente. Você pode ver agora , novamente, que isso fornece descobertas de boas práticas e outras. Novamente, está mais focado na Microsoft. Mas você pode realmente usar isso e aplicá-lo porque a pergunta é muito simples, o que ele chamou de simples e pode ser aplicada a qualquer fornecedor de tecnologia. Então, eu só queria mostrar a vocês que vocês encontrarão muitos, muitos questionários semelhantes. Você pode usar uma gangorra e eu não sei se eles têm a ferramenta para isso. Mas você achará algo parecido. Gosto da Microsoft porque é muito parecida com a forma como o fluxo acontece. É muito, não sobrecarrega você. E oferece as melhores práticas. E isso direciona você para os recursos. E mesmo que você não tenha esses recursos, você não é uma loja da Microsoft. Na verdade, você pode mapeá-los para outros fornecedores terceirizados ou outras ferramentas nativas que outras ferramentas nativas que possam ser usadas para aplicar a abordagem de confiança zero. Pessoal, espero que tenha sido útil para vocês e nos vemos na próxima lição. Obrigada. 15. Resumo: Ok pessoal, parabéns, vocês finalmente chegaram ao final deste curso. Sei que foi uma longa jornada, mas espero sinceramente que você tenha entendido melhor o Zero Trust, como implementá-lo e como a arquitetura funciona. E tive sucesso em ensinar um pouco sobre confiança zero se você estivesse começando do zero. Então, uma coisa que eu gostaria de dizer a vocês confiança secreta não é ir a lugar nenhum com seus olhos ou trabalhar remotamente e ameaçar ataques cibernéticos. As empresas estão constantemente buscando melhores estruturas de segurança. E a confiança zero lhes dá essa garantia. Jardineiro. Eles fizeram uma pesquisa recente e disseram que, até 2025, pelo menos 70% das novas implantações de acesso remoto serão atendidas por uma arquitetura de rede de confiança zero, em vez de dispositivos VPN. Isso vai aumentar, acredite, com a implementação da ordem executiva do governo dos EUA ou das agências federais. Considere que Trotsky é o futuro da cibersegurança. Portanto, é ótimo que você tenha dado passo agora mesmo ao fazer este curso. E espero que você tenha obtido algumas informações boas e valiosas que você possa aplicar a elas. Ok, então lembre-se do que eu te disse. Por favor, não pense que confiança zero é um conceito muito poderoso, mas não caia no hype. Não se apaixone por produtos, certo? Portanto, a confiança zero é baseada em princípios. E esses princípios você precisa transformar em um plano de ação adequado, baseado em medidas concretas que você deve tomar, certo? Lembre-se de que é uma jornada. Não pense que você vai ser perfeito no primeiro dia. E, lentamente, implementou o Zero Trust. Então, em vez de ser um destino, a transição para a confiança zero deve ser vista como uma jornada em que todos participam dela. E você está constantemente desafiando o modelo, procurando como torná-lo mais eficiente. Mas depois de fazer isso, você definitivamente não vai querer voltar ao modelo tradicional de segurança perimetral, ok? Lembra disso? Tem que ser iterativo passo a passo. Você vai melhorá-lo. Então, parabéns pessoal, muito obrigado por fazerem esse curso e por me ouvirem falar por 2 horas ou algo assim. Muito obrigado por isso. Se você achou este curso útil, deixe uma avaliação que realmente ajudaria. Espero que isso me dê algum feedback. Então você pode se conectar comigo. No LinkedIn, eu tenho um canal no YouTube ou algo parecido. E então, no meio, isso realmente ajudaria a lembrar o projeto que você precisa fazer. Faça esse projeto e o estudo de caso, me dê algum feedback. Eu adoraria que ele ficasse em contato com todas as minhas pessoas que frequentam meus cursos, me dessem um feedback concreto e saíssem, ficassem em contato. Muito obrigado pessoal, e nos vemos no próximo curso. Tenha cuidado e boa sorte em sua jornada de Zero Trust.