5 Passos de Como Implantar o ZTNA na sua Empresa
Teoria e Prática
🔐 ZTNA redefine a forma como conectamos equipes e recursos, priorizando a confiança mínima e a verificação contínua. Resultado? Menos riscos, mais agilidade, e um ambiente de trabalho que promove inovação sem abrir mão da segurança.
Imagine ter a tranquilidade de possuir uma ferramenta de segurança que te ajuda em todos os controles de segurança da informação do ZTNA e poder focar seu trabalho onde realmente importa? Vou demonstrar alguns pontos importantes para adotar o ZTNA na sua empresa, e que com certeza irão te ajudar começar esta jornada.
O framework ZTNA(Zero Trust Network Access) tem o objetivo de estabelecer controles de segurança para acesso seguro baseado em identidade e contexto. Ao contrário de métodos tradicionais que é confiado em qualquer dispositivo fora da rede da organização, o ZTNA adota uma postura de “confiança zero”. Ele é baseado na premissa de que não podemos confiar em qualquer entidade apenas por ela apresentar uma senha, chave ou certificado, mas sim impor limites baseado em um conjunto de fatores que esta entidade apresenta para atestar sua identidade, que segue regras e políticas pré-estabelecidas. Além disso, com o ZTNA temos a prerrogativa de verificar constantemente as relações de confiança, ou seja, caso haja alguma mudança em um dos controles de segurança, característica ou configuração da entidade, é necessário refazer o processo de validação e confiança.
Autenticação Multifator
De acordo com a Verizon, senhas fracas ou roubadas contribuem para violações de dados relacionadas com ataques hacker. Além disso, apesar da educação e lembretes de higiene de senhas, mais da metade(59%) dos colaboradores tendem a reutilizar senhas, mesmo estando familiarizados com os riscos. Implantar uma estratégia de autenticação multifator ajuda a diminuir drasticamente a interface de ataques e violações.
Diversas ferramentas podem apoiar com a autenticação multifator, inclusive de forma nativa, sem a necessidade de contratar ferramentas externas. Para empresas que utilizam o ecossistema Microsoft, com o Microsoft365, é possível implantar autenticação multifator para os colaboradores através do Microsoft Entra ID(Antigo Azure AD). Se liga nesse tutorial, é simples, rápido e fácil: https://learn.microsoft.com/pt-br/entra/identity/authentication/tutorial-enable-azure-mfa. Além disso, a própria Microsoft desenvolveu um aplicativo para apoiar os colaboradores na autenticação multifator, o Microsoft Authenticator.
Para empresas que utilizam o ecossistema Google, com Google Workspace, também é possível implantar a mesma solução de forma nativa, se liga neste tutorial: https://support.google.com/a/answer/175197?hl=pt-BR&ref_topic=2759193&sjid=5267851832345315796-SA. O Google também desenvolveu um aplicativo com a finalidade de apoiar os colaboradores, o Google Authenticator.
Além das ferramentas nativas que citei acima, existem outras que podem apoiar sua organização com gestão de identidade e autenticação multifator, como JumpCloud, Okta, , que são ferramentas terceiras que você pode integrar, assim como as anteriores, no seu ecossistema de tecnologia, centralizando toda a gestão de identidade em um único lugar. Falarei mais delas em breve.
Single Sign On(SSO)
Manter diversos serviços diferentes, cada um com um login e senha separado, pode ser complexo no dia-a-dia, além de aumentar a superfície de ataque também contribui para reutilização de senhas fracas. Oferecer um sistema de SSO pode ajudar a facilitar o processo de login e utilização de serviços, além de facilitar o time de tecnologia na manutenção de contas desativadas ou suspensas, acelerando no processo de onboarding e desligamento de colaboradores.
Imagine o cenário onde seu time precise fazer o onboarding de um novo colaborador e criar cada um dos acessos em seus respectivos sistemas, cansativo, não? Com o SSO e sistemas com o diretório escolhido fica muito mais fácil. Por exemplo, para quem utiliza o Jira ou Trello, é possível integrar o ecossistema Atlassian com o SSO do Google ou Microsoft para fazer o provisionamento de forma automática para cada novo usuário que adicionamos no diretório.
Por outro lado, quando precisamos fazer o desligamento do colaborador a exclusão do acesso se dá da mesma forma, com o usuário deletado do diretório da empresa os outros sistemas já reconhecem automaticamente e desabilitam o acesso do usuário, tudo em um único lugar.
Outras vantagens do SSO são: não depositar a confiança de autenticação em sistemas terceiros, mas sim em um sistema conhecido pela organização, seguro e homologado; ter um inventário de contas e acessos que o colaborador possui em nome da organização; aprovar ou não a utilização de serviços terceiros não homologados.
De forma nativa, o Google Workspace e o ecossistema Microsoft possuem SSO, além de serem compatíveis com muitos serviços que aceitam integração com SSO eles também possuem integração para Endpoints, tornando possível o login em computadores e estações de trabalho utilizando o SSO e autenticação multifator. JumpCloud e Okta são outras ferramentas que podem ser utilizadas pelas organizações como diretório de usuários e grupos para a realização de SSO em seus sistemas.
Política de Segurança de Dispositivos e Acesso Baseado em Contexto
Garantir a segurança da empresa em todos os dispositivos é essencial, isso pode ser feito através de serviços de antivírus ou EDR, mas é importante ter um plano B quando o dispositivo é violado. Por isso, implantar uma política de segurança que permite apenas dispositivos íntegros se conectarem na rede da organização é tido como um controle de segurança. Controle de versões de sistema operacional ou de aplicações é um exemplo de controle de acesso do perfil de segurança.
Ao criar uma política de Segurança de Dispositivo você consegue definir, baseado em critérios específicos, SE uma solicitação de acesso a sua rede ou ambiente pode ser aceita e QUAL parte da sua rede este acesso pode visualizar. Por exemplo: com o NPS do Windows Server você pode definir a quais VLAN’s um usuário ou visitante pode acessar. Inclusive esta é uma ferramenta amplamente utilizada. Caso na sua empresa você utilize o Entra ID e o Intune, você pode fazer o procedimento usando o tutorial https://learn.microsoft.com/pt-br/mem/intune/protect/network-access-control-integrate.
Para organizações que utilizam sistemas em nuvem, os sistemas estão disponíveis a qualquer momento e de qualquer lugar, portanto estes sistemas acabam se tornando uma superfície de ataque, seja por agentes externos ou insiders. O Acesso Baseado em Contexto é um controle de segurança automatizado com o objetivo de entender o contexto pelo qual o acesso é realizado, por exemplo endereço IP de origem, identidade, rede ou país de origem, entre outros. Quando implantamos este controle limitamos a disponibilidade do sistema em nuvem de acordo com o critério do time de tecnologia, diminuímos a interface de ataque e fortificamos o fator confiança do ZTNA, fazendo com que este controle atue em conjunto com outros citados anteriormente. Na Venus360 nós usamos o NordLayer (NordLayer) para facilitar nossa vida. Com ele conseguimos implantar o NAC e definir quais recursos o colaborador pode acessar, desde máquinas virtuais em nuvem, redes virtuais ou até mesmo o Sharepoint e Google Dive. Com o NordLayer conseguimos definir quais recursos da equipe e qual equipe o colaborador por acessar baseado na identidade, também definimos SE aquele acesso pode ocorrer baseado na integridade do dispositivo ou versão de softwares instalados, e por último validamos a identidade do colaborador não apenas com usuários e senha ou integração com SSO, mas também com biometria!
Segmentação de Rede
Manter itens críticos e de acesso na mesma rede pode ser perigoso, principalmente em se tratando de acesso externo, seja remoto ou por terceiros, pois a possibilidade de uma violação feita através de movimento lateral e indisponibilidade dos sistemas é maior, além de permitir o acesso sem autorização feito por departamentos e entidades organizacionais. Implantar Segmentação de Rede é um controle importante do ZTNA, pois assume-se que: se o colaborador ou entidade não tem permissão para acessar tal item, ele não deve estar disponível para tal. Segmente a rede de forma que apenas quem tem autorização possa acessar os itens e diminua a interface de violações e ataques.
Para redes locais podemos utilizar VLAN’s, mas e para o ambiente em nuvem? Implantar um serviço de IAM(Identity and Access Management) é uma opção para colaboradores que trabalham com tecnologias e provedores de nuvem e vários serviços fornecem esse tipo de integração, por exemplo Azure, Google Cloud e AWS. Um problema para esta iniciativa é a disponibilidade para o time não técnico, como acesso a um recurso que não pode ser integrado com o IAM, como por exemplo ERP, CRM ou serviços e equipamentos locais como uma impressora ou dispositivos IOT. Neste caso, o NordLayer também pode ajudar com a criação de grupos de acesso aos recursos, sejam locais, remotos ou em nuvem. Por exemplo: posso ter a equipe técnica que possui acesso aos servidores de produção, quando necessário, e a equipe IOT, que pode ter acesso direto a dispositivos IOT em clientes remotos, sem precisar acessar a rede do cliente ou então solicitar qualquer tipo de mãos remotas.
Rotinas e Monitoramento
Após a implantação dos controles de segurança do ZTNA, assim como qualquer outro, é importante que seja feito o monitoramento de desempenho com a finalidade de encontrar e resolver gaps e eventuais falhas. Através do monitoramento e possível realizar PDCA, um processo de melhoria contínua e revisão dos controles implementados.
Além de monitorar para apoiar no processo de PDCA, as rotinas ajudam a gerar evidências para a organização, que podem ser apresentadas tanto para a alta direção, quanto para auditorias e clientes. A dica de ouro para as rotinas é que isso seja documentado em relatórios para evidências mas principalmente em Políticas e Procedimentos/Playbooks que falam como deve ser feito e com qual frequência isso deve acontecer.