Analisar a confiança zero

Uma discussão de mesa-redonda executiva

Analisar a confiança zero 2

Sumário

Em torno da mesa redonda  3

Principais insights 5

A estratégia de confiança zero para a segurança moderna 7

Elementos que impulsionam a adoção da confiança zero 8

Considerar a identidade como o novo perímetro 8

Segmentar sua rede corporativa 12

Proteger seus dispositivos 14

Segmentar suas aplicações 15

Definir funções e controles de acesso 16

Jornada rumo à confiança zero 18

Começar aos poucos e aumentar a confiança 20

Estender para a pilha completa 22

Nunca confiar, sempre verificar 26

Em torno da
mesa redonda
Analisar a confiança zero 4

Em 1º de dezembro de 2020, a Microsoft e a Cloud Security Alliance (CSA)

organizaram uma mesa-redonda executiva virtual para sustentar um diálogo
do mundo real e estender a visão da segurança de confiança zero. Ann Johnson,
CVP, segurança, conformidade e desenvolvimento de negócios de identidade da
Microsoft, facilitou a mesa-redonda, que contou com a participação de 10 líderes
de segurança executiva de empresas proeminentes de energia, finanças, seguros
e manufatura. Esses líderes compartilharam seus insights, bem como as lições
aprendidas na jornada rumo à confiança zero.

A confiança zero
concentra-se na
segurança e na
conformidade
de ativos,
independentemente
de seu local físico ou
de rede.
Principais insights
Analisar a confiança zero 6

Durante a mesa-redonda, os líderes discutiram a importância da segurança

da informação para a transformação digital. Eles compartilharam suas próprias
experiências e exemplos reais de criação de uma abordagem estratégica da
segurança da informação, bem como a adoção dos elementos fundamentais da
confiança zero para melhorar suas posturas gerais de segurança da informação.

Nesse contexto, os participantes se concentraram nos seguintes tópicos:

Pense além da segurança do perímetro e migre

para uma abordagem de segurança holística.

Comece aos poucos na jornada de adoção de

confiança zero, aborde (e aproveite) os aspectos
discretos da segurança da informação.

Melhore a adoção da segurança da

confiança zero em toda a organização.
A estratégia de confiança zero
para a segurança moderna

A segurança da confiança zero não é um produto ou uma solução. É uma estratégia mais ampla
para a segurança moderna que se adapta à complexidade do atual ambiente de negócios, adota
a equipe de trabalho móvel e protege pessoas, dispositivos, aplicativos e dados onde eles estiverem.
Ao contrário das abordagens tradicionais que tentam forçar todos os ativos a entrar em uma rede
“segura e em conformidade”, a confiança zero concentra-se na segurança e na conformidade de
ativos, independentemente do local físico ou da rede. Ela substitui a crença de que tudo por trás do
firewall corporativo é seguro, pressupondo a violação e verificando cada solicitação como se fosse
proveniente de uma rede descontrolada. Independentemente de onde a solicitação se origina ou do
recurso que ela acessa, a confiança zero ensina a importância de “nunca confiar, sempre verificar”.

Uma estratégia de confiança zero deve primeiro fornecer princípios

fundamentais e proteção contra ameaças e, em seguida, fornecer benefícios
secundários, como simplificação.

Evita melhor as violações

32%
de segurança
Aumenta a velocidade de
30%
detecção e correção de ameaças
Protege melhor os dados 29%
dos clientes

Tudo, desde a identidade do usuário até o ambiente de hospedagem da aplicação, é usado

para evitar violações. Os princípios de micro segmentação e menos privilégios de acesso são
aplicados para minimizar o movimento lateral, enquanto a inteligência e a análise avançadas
ajudam a melhorar a visibilidade, impulsionar a detecção de ameaças e melhorar a defesa,
identificando o que aconteceu, o que foi comprometido e como evitar a recorrência.

Fonte: Pesquisa sobre a confiança zero de 2020 da Microsoft

Elementos que impulsionam
a adoção da confiança zero

Uma estrutura de confiança zero requer a implementação de controles

e tecnologias em todos os elementos fundamentais: identidades, dispositivos,
aplicações, dados, infraestrutura e redes. Cada um desses elementos é uma fonte
de sinal, um plano de controle para a execução e um recurso crítico a ser defendido.
Como tal, cada um deles também é uma área importante para concentrar
os investimentos.

Considerar a identidade como o novo perímetro

Durante a conversa, a mesa-redonda revelou uma percepção essencial:
as organizações devem primeiro se concentrar no fortalecimento de sua
autenticação de usuários e verificação de identidade, pois a maioria das
violações de segurança envolvem o roubo de credenciais.

Como os lapsos na proteção cibernética ampliam o risco para funcionários

individuais e para toda a organização, o gerenciamento de identidades
abrangente é essencial para ajudar a garantir que apenas os usuários
autorizados possam acessar dados de negócios.
Usar identidades para controlar o acesso

As identidades, que representam pessoas, serviços e dispositivos IoT, são o

denominador comum entre redes, pontos de extremidade e aplicações. Em um
modelo de segurança de confiança zero, elas funcionam como uma maneira
eficiente, flexível e granular de controlar o acesso aos dados. Quando qualquer
identidade tenta acessar qualquer recurso, o processo de gerenciamento deve:

Verificar a identidade
com autenticação forte.

Garantir que o acesso seja compatível

e típico da identidade.

Confirmar se a identidade segue os princípios

de acesso menos privilegiados.

Um participante enfatizou que, começando com o

gerenciamento de identidade e acesso forte: “Perdemos
o perímetro. O novo perímetro é a identidade, e você
precisa de uma identidade forte que seja validada.... Foi
aí que o projeto começou. Como você não pode fazer o
gerenciamento de acesso manualmente, o processo precisa
ser automatizado. Tenha uma boa automação e bons logons
para garantir que ele esteja funcionando como deveria.”
Analisar a confiança zero 10

Elevar a autenticação

Você pode melhorar substancialmente a postura de segurança da informação da sua

organização simplesmente incorporando a autenticação multifatorial (MFA) ou a
autenticação contínua à sua estratégia de gerenciamento de identidades. Enfatizando
a eficiência dessa abordagem, um participante da mesa-redonda observou que, ao
estender o gerenciamento de identidades com perfis de autenticação contínuos, sua
organização agora pode validar a identidade mesmo quando o endereço IP de um
usuário ou o padrão de comportamento rotineiro é alterado.

Em relação ao estabelecimento de identidade com

a tecnologia de campo operacional, foi perguntado
a um participante qual é a identidade mais crítica
para abordar: seres humanos ou máquinas? Ele
respondeu: “As duas. Você precisa de seres humanos,
especialmente técnicos, para sair para o campo e
habilitar a autenticação multifatorial. No passado,
era difícil fazer isso, mas agora é muito mais fácil. Então,
o maior problema é a autenticação entre máquinas.
Como você tem o segundo fator quando não tem
um ser humano para desafiá-lo?”
Analisar a confiança zero 11

Incorporar a autenticação sem senha

À medida que a confiança zero evolui, está se tornando mais comum o uso de
biometria e outras inovações como parte de uma abordagem moderna da segurança
da informação. Outra forma de MFA, a autenticação sem senha substitui a senha
tradicional por uma alternativa segura. Esse tipo de autenticação requer dois ou
mais fatores de verificação que são protegidos com um par de chaves criptográficas.
Quando registrado, o dispositivo cria uma chave pública e privada. A chave
privada só pode ser desbloqueada usando um gesto local, como um PIN ou uma
autenticação biométrica. Os usuários têm a opção de fazer logon diretamente por
meio de reconhecimento biométrico, como digitalização de impressões digitais,
reconhecimento facial ou varredura de íris, ou com um PIN bloqueado e protegido
no dispositivo.

Quando perguntado sobre o impacto da autenticação

sem senha na eficácia da confiança zero, um
participante respondeu: “Acho que a eficácia aumenta.
Após um ano de prova de conceito do Windows Hello
da Microsoft, agora estamos implantando-o em toda
a empresa. A confiança zero só funcionará se for
transparente para o usuário final. Você precisa torná-
la fácil e transparente. Se você quiser autenticar a cada
cinco minutos ou a cada segundo, tudo bem, desde que o
usuário final não precise fazer nada, desde que você possa
validar por meio de outros métodos. Por exemplo, o ponto
de extremidade pode ser um dos fatores para a MFA.”
Segmentar sua rede corporativa
A segmentação de rede foi um tópico de discussão intensa durante a mesa-redonda.
Um participante compartilhou a crença de que, quando você segmenta demais, as
coisas começam a quebrar. Quando você começa a criar várias partes e segmentar
a rede de perímetro, não tem mais uma rede de TI plana. Esse é um problema para
a TI de negócios, pois os firewalls representam uma segmentação antecipada, o
que resulta em dificuldades inerentes ao desenvolvimento e aos testes. No final das
contas, a equipe de TI se torna mais dependente das equipes de segurança para
corrigir problemas de rede, conectividade e acesso. No entanto, em um mundo
que prioriza a mobilidade e a nuvem, todos os dados críticos para os negócios
são acessados por meio da infraestrutura de rede. Os controles de rede fornecem
funcionalidades essenciais para aumentar a visibilidade e ajudar a impedir que
os invasores entrem na rede. Isso significa que as organizações devem continuar
a segmentar redes e conduzir uma micro segmentação mais profunda em rede, além
de implantar proteção contra ameaças em tempo real, criptografia de ponta a ponta,
monitoramento e análise.

Um participante observou: “Começamos com micro

e macro segmentação da nossa rede. Começamos nos
datacenters e nos escritórios, o que levou à segmentação
de aplicações com a capacidade de restringir os usuários
a uma determinada pilha de aplicativos provenientes de
VDI ou VPN. Então, podemos segmentar [os usuários] de
uma forma que eles não tenham acesso ao Carte Blanche
quando acessarem nossa VPN.”
Analisar a confiança zero 13

Mais adiante na discussão sobre segmentação, os participantes foram questionados

se a estrutura de confiança zero também pode se estender a ativos na infraestrutura
local ou se ela é melhor apenas para ambientes de nuvem. Em resposta, um
participante compartilhou sua experiência da seguinte maneira: “Para nós, ela
começou com a infraestrutura local e ainda estará lá, pois precisamos dela para a
micro segmentação para proteção de movimento lateral, e assim por diante. Essas
coisas não estão mudando. Estamos apenas estendendo-as para a nuvem agora.
Para os serviços financeiros, nunca teremos tudo na nuvem. Sempre teremos uma
mistura de nuvem e infraestrutura local... Vamos descobrir como cuidar de todos
os vários perímetros e obter o paradigma esticado em todos os setores.”

Outro participante afirmou: “Comecei com mais micro

segmentação e NAC também. Eu realmente não confiava
na próxima VLAN. Era preciso passar por um firewall.
Se você não estivesse autorizado, não conseguiria entrar.
Agora, tínhamos que nos certificar de que eles pudessem
passar de um segmento para outro de modo bidirecional
ou unidirecional. Foi aí que realmente começou.”
Proteger seus dispositivos
Embora a maioria concorde que as organizações modernas devem navegar por uma incrível
diversidade de pontos de extremidade acessando dados, um participante da mesa-redonda
expressou uma preocupação de que os próprios dispositivos tenham sido amplamente
ignorados. Nem todos os pontos de extremidade são gerenciados ou até mesmo de
propriedade da organização, levando a diferentes configurações de dispositivo e níveis
de patch de software. Como observado anteriormente, a confiança zero adere ao princípio
de “nunca confiar, sempre verificar”. Em termos de pontos de extremidade, isso significa
sempre verificar todos os pontos de extremidade — incluindo não apenas os dispositivos dos
prestadores de serviços, parceiros e convidados, mas também os aplicativos e dispositivos que
os funcionários usam para acessar dados de trabalho, independentemente da propriedade do
dispositivo. Com o modelo de confiança zero, as mesmas políticas de segurança são aplicadas
se o dispositivo é de propriedade corporativa ou pessoal, e se o dispositivo é totalmente
gerenciado pela TI ou apenas os aplicativos e dados estão protegidos. As políticas se aplicam
a todos os pontos de extremidade — PC, Mac, smartphone, tablet, wearable ou dispositivo IoT
— onde quer que estejam, seja na rede corporativa segura, na banda larga doméstica ou na
Internet pública.

Na conversa sobre a segurança do dispositivo, um

participante apresentou um exemplo especialmente
convincente: “Em um mundo BYOD, o dispositivo é a peça
explosiva. Se você permitir que dispositivos não corrigidos
se conectem à sua rede, eles entrarão em sua base com
um regulamento em tempo real e causar problemas
rapidamente. Por que você não faria testes externos para
começar? Com o tempo, as pessoas se acostumam com
as solicitações de proteção (como dispositivos de patch),
e isso se torna uma expectativa. O usuário se acostumará
a esperar esses lembretes e proteger o dispositivo.”
Segmentar suas aplicações
Em especial, alguns participantes da mesa-redonda conduziram a conversa
especificamente para suas preocupações sobre a segurança no nível da aplicação.
Eles salientaram que o acesso na proporção certa a aplicações, seja por meio de SaaS
ou em datacenters, desempenha um papel crucial na implementação bem-sucedida
de uma estratégia de confiança zero. Na verdade, para obter todo o benefício dos
aplicativos e serviços de nuvem, as organizações devem encontrar o equilíbrio certo
entre fornecer acesso e manter o controle para garantir que os aplicativos e os
dados que eles contêm estejam protegidos. Os controles e as tecnologias devem ser
aplicados para descobrir o Shadow IT, garantir permissões apropriadas no aplicativo,
acesso à porta com base em análises em tempo real, monitorar comportamentos
anormais, restringir as ações do usuário e validar opções de configuração seguras.

Enquanto discutiam a jornada rumo à confiança

zero, um participante compartilhou suas ideias sobre
a segurança da aplicação: “É cada vez mais fácil e
mais possível ter uma segmentação entre as aplicações.
A capacidade de fornecer privilégios excessivos/acesso
baseado em função está se tornando parte do mecanismo
de política. O enigma da aplicação parece estar se
resolvendo de forma mais inteligente à medida que
o tempo passa. Essa abordagem é validada toda vez que
ouço que um usuário final pode resolver o problema.”
Definir funções e controles de acesso
Abordando os problemas mais imediatos de hoje, a mesa-redonda considerou a rápida
ascensão do trabalho remoto. Com a maioria dos funcionários trabalhando remotamente,
as organizações devem considerar formas alternativas de alcançar controles de segurança
modernos. Um participante concentrou-se diretamente nas operações, afirmando que
o gerenciamento de funções de usuário com políticas é uma peça-chave do enigma
da segurança da informação. Essa ideia foi estendida para incluir a necessidade de
gerenciamento efetivo de funções — e vincular funções à política como parte da
autorização, logon único (SSO), acesso sem senha, segmentação e assim por diante.

A questão proeminente é: qual é a eficácia do gerenciamento de funções no nível

de operações e a vinculação delas ao gerenciamento de políticas? De acordo com um
participante, é realmente essencial operacionalizar funções porque, para habilitar o SSO
e recursos sem senha, as funções certas devem ser definidas. Esse participante também
defendeu cautela, no entanto, e advertiu quanto ao excesso de funções. Cada função
definida deve ser gerenciada agora e no futuro, o que pode gerar expansão e risco, pois as
funções podem ser deixadas sem monitoramento ou ter mais privilégios do que o necessário.

Ao definir funções de forma eficaz, um participante

disse: “Você quer ser super granular com a autorização,
mas no final das contas, se você criar mil funções em sua
organização para serem tão granulares, terá problemas
com o gerenciamento no futuro. Você vai acabar com
enormes quantidades de contas que não são atualizadas,
e é aí que surgem as violações, como se eu migrasse para
outra parte da organização e levasse esses privilégios
[de que eu não preciso mais] para essa nova função.”
Analisar a confiança zero 17

Outro participante compartilhou

uma perspectiva interessante sobre a
evolução potencial do gerenciamento de
funções: “O futuro das funções passará do
gerenciamento baseado em atributos para o
gerenciamento baseado em token, alinhando
funções a tokens. Isso pode ser qualquer tipo
de token atribuído a um usuário, dependendo
do esquema de token que você está usando.
É com isso que o futuro das funções será
alinhado. O gerenciamento de funções é
muito importante, e é por isso que o controle
de acesso contínuo/gerenciamento de acesso
contínuo [é essencial].”
Jornada rumo à
confiança zero

Enquanto os participantes da mesa-redonda discutiam suas experiências de confiança

zero, como começaram e onde estão na jornada, vários padrões compartilhados
surgiram. Uma das principais preocupações era a necessidade de entender o escopo
da segurança da informação e identificar um ponto de partida. Alguns participantes
iniciaram sua jornada de confiança zero com o gerenciamento de identidades e
acessos de usuários, enquanto outros começaram com macro e micro segmentações
de rede, e outros ainda consideraram os lados da aplicação. Por fim, todos migraram
para a maturidade de confiança zero por não confiarem em ninguém ou em nada,
interno ou externo, no ponto de extremidade, no servidor, na nuvem e assim por
diante. Eles concordaram que, à medida que a confiança zero evolui, a percepção
de que não há destino também evolui, e tudo isso é uma jornada.

É fundamental desenvolver uma estratégia holística para abordar a confiança zero.

Para definir e executar uma jornada bem-sucedida rumo à confiança zero, uma
organização deve considerar prioridades corporativas, tecnologias, processos e até
mesmo o impacto da mudança.

A mesa-redonda concordou: Comece aos poucos, crie confiança e lance a confiança

zero em toda a organização para obter uma proteção ideal.

Um participante compartilhou que começou sua

jornada rumo à segurança de confiança zero com
o gerenciamento de identidades. Eles queriam
implementar os recursos do SSO e perceberam que
eles podem ser estendidos para o trabalho em casa.
Analisar a confiança zero 19

A confiança zero é uma estratégia completa

com implementação em todos os pilares

Estado atual do total de atividades

de confiança zero (n = 300)

33% 30%
39% 39% 37% 37%

29% 33%
25% 26% 27% 29%

31% 28% 28% 31% 29%

30%

6% 7% 8% 5% 7% 8%

Identidades Infraestrutura Dispositivos Dados Rede Aplicativos

Já Em processo de Considerando Ouviu falar, mas não

implementaram implementação está considerando/
não ouviu falar

Fonte: Pesquisa sobre a confiança zero de 2020 da Microsoft

Começar aos poucos e aumentar a confiança
Os requisitos organizacionais, as tecnologias existentes e os estágios de segurança
afetam o planejamento de uma implementação de confiança zero. Embora
a segurança de confiança zero seja mais eficaz quando integrada em toda a
propriedade digital, muitas organizações precisarão adotar uma abordagem em
fases que segmente áreas específicas com base em sua maturidade de confiança
zero, recursos disponíveis e prioridades. Cada investimento deve ser cuidadosamente
considerado e alinhado com as necessidades de negócios atuais. A primeira etapa
da jornada não precisa ser um grande Lift and Shift para ferramentas de segurança
baseadas em nuvem.

Um participante destacou sua opinião sobre

começar aos poucos dizendo: “Você precisa começar
com o mais importante, mas não tente fazer tudo.
Não é possível tentar implantar a confiança zero e tentar
fazer várias outras coisas simultaneamente.”
Analisar a confiança zero 21

Da mesma forma, começar com a confiança zero não requer uma reinvenção
completa da infraestrutura. As soluções mais bem-sucedidas devem se sobrepor e
oferecer suporte a um ambiente híbrido sem substituir totalmente os investimentos
existentes.

Não importa o tamanho da organização, a implantação da confiança zero deve

começar com as partes pequenas, pois tentar concluir várias alterações maiores
simultaneamente muitas vezes não é viável. O sucesso geralmente é alcançado
ao iniciar um projeto inovador na nuvem ou fazer experiências em um ambiente
de desenvolvimento e teste.

Outro participante compartilhou uma experiência

real sobre como convencer uma grande organização
a começar aos poucos com a confiança zero:
“Eu fiz um workshop com um grande banco e disse
que eles devem começar aos poucos. Sua resposta
foi: “Começaremos aos poucos com 5.000.” De sua
perspectiva, isso foi pouco, mas minha resposta foi:
“Comece com 50”. O banco não concordou e começou
com cerca de 2.500. Cerca de oito semanas depois,
o banco voltou querendo reavaliar seu escopo e como
seria o plano piloto. O banco reiniciou com 25 pessoas.
Isso faz dois anos, e eles progrediram.”
Estender para a pilha completa
Depois que as primeiras etapas são seguidas e a confiança é estabelecida, o modelo de
confiança zero deve ser estendido em toda a propriedade digital, servindo também como
uma filosofia de segurança integrada e uma estratégia de ponta a ponta. Quando uma
estratégia de confiança zero é aplicada à pilha completa, ela deve abranger toda a postura
de segurança.

Todas as solicitações de acesso devem ser muito bem inspecionadas quanto à presença
de anomalias antes da concessão do acesso. Tudo, desde a identidade do usuário até o
ambiente de hospedagem da aplicação, deve ser autenticado e autorizado usando princípios
de micro segmentação e princípios de acesso com menos privilégios para minimizar
o movimento lateral.

Em suma, para implementar um modelo de segurança de confiança zero de forma

consistente e abrangente, as organizações devem considerar todos os elementos
fundamentais, incluindo identidade, dispositivos, aplicações, dados, infraestrutura e rede.
Além disso, as seguintes considerações devem ser abordadas:

• Todos os usuários e dispositivos que tentam acessar os recursos devem ser validados como
confiáveis o suficiente para acessar o recurso de destino (com base na confidencialidade
do recurso de destino).

• Um único mecanismo de política de confiança zero deve ser usado para aplicar
consistentemente as políticas organizacionais a todos os recursos (em comparação com vários
mecanismos cuja configuração pode divergir).

• Quanto mais medidas que refletem comportamentos normais forem incluídas em uma decisão
de confiança, mais difícil e caro será para os invasores imitar tentativas e atividades de logon
legítimas, detendo ou dificultando a capacidade de causar danos dos invasores.

• As operações do sistema sempre devem permanecer em um estado seguro, mesmo após uma
decisão falha ou incorreta (por exemplo, preservar a vida/segurança e o valor comercial por
meio de garantias de confidencialidade, integridade e disponibilidade).

• A permanência em um estado seguro é particularmente importante para as organizações que

dependem de controles herdados ou estáticos que não podem medir e impor dinamicamente
a confiabilidade das tentativas de acesso de entrada (por exemplo, controles de rede estáticos
para aplicações, servidores ou dispositivos herdados).
Analisar a confiança zero 23

Avaliar a preparação para a confiança zero

As organizações que começam a avaliar sua preparação para a confiança zero

e planejam uma melhor proteção em sua propriedade digital devem considerar
os seguintes investimentos importantes, o que ajudará a impulsionar uma
implementação de confiança zero tranquila e eficaz.

Autenticação forte: garanta uma MFA forte e a detecção de riscos de sessão como o alicerce
de qualquer estratégia de acesso para minimizar o risco de comprometimento de identidade.

Acesso adaptável baseado em políticas: defina políticas de acesso aceitáveis para

recursos e aplique-as com um mecanismo de política de segurança consistente que forneça
governança e insights nas variações.

Micro segmentação: vá além de um simples perímetro centralizado baseado em rede para

uma segmentação abrangente e distribuída usando micro perímetros definidos por software.

Automação: invista em alertas automatizados e correção para reduzir o tempo médio

de resposta a ataques.

Inteligência e IA: use a inteligência da nuvem e todos os sinais disponíveis para detectar
e responder a anomalias de acesso em tempo real.

Classificação e proteção de dados: descubra, classifique, proteja e monitore dados

confidenciais para minimizar a exposição de exfiltração maliciosa ou acidental.

Fonte: Modelo de maturidade de confiança Zero da Microsoft

Analisar a confiança zero 24

Melhorar a postura de segurança geral é o maior motivador para adotar uma

estratégia de confiança zero, seguido pelas ameaças à segurança em evolução

Total de motivadores de
confiança zero (n = 300)

Melhore sua postura geral

64%
de segurança

Responda a alterações no
40%
cenário de ameaças
Melhore a experiência e a
38%
produtividade do usuário final

A COVID-19 exigiu a mudança

37%
para a confiança zero

Simplifique a camada de segurança 35%

Reduza os custos da segurança 31%

Atenda aos padrões da indústria

(por exemplo, FIDO, STIM) 31%

Elimine ou alivie a pressão da VPN 20%

Fonte: Pesquisa sobre a confiança zero de 2020 da Microsoft

Analisar a confiança zero 25

Compartilhando a experiência de
sua organização sobre o crescimento
na maturidade da confiança zero,
um participante comentou: “[Começamos]
com uma jornada básica de micro segmentação
manual (antes do SDP) e, depois, implementamos
o NAC. A partir daí, com a introdução da IoT e
da nuvem e o afinamento da linha de perímetros
internos e externos, ela continua evoluindo
para os outros aspectos da confiança zero,
por exemplo, segmentação de aplicações,
segmentação de rede, federação de identidades,
autorização contínua e autenticação multifatorial,
e se expandiu para um ecossistema totalmente
completo.”
Analisar a confiança zero 26

Nunca confiar, sempre verificar

O modelo de segurança de confiança zero estabelece controles eficazes para informações e
sistemas críticos para os negócios, garantindo que as pessoas certas tenham acesso aos dados
certos no momento certo. Com base no princípio de “nunca confiar, sempre verificar”, a confiança
zero ajuda a proteger os recursos corporativos, eliminando dispositivos desconhecidos e não
gerenciados e limitando o movimento lateral. Como a confiança zero oferece uma estratégia
completa em toda a pilha, incluindo identidade, infraestrutura, dispositivos, dados, aplicações
e rede, a implementação de um modelo verdadeiro de confiança zero requer que todos esses
elementos sejam validados e comprovadamente confiáveis.

Embora um modelo de confiança zero possa ser difícil de alcançar, ele é um elemento essencial
de qualquer plano de modernização de longo prazo. Qualquer organização que queira adotar
a confiança zero deve começar aplicando controles de segurança em pequenas partes, em vez
de tentar aplicar vários controles maiores simultaneamente. Depois que os controles de segurança
são aplicados com êxito em uma abordagem em fases, a segurança de confiança zero pode ser
estendida para toda a propriedade digital. Um ambiente ideal de confiança zero inclui autenticação
de identidade forte, dispositivos inscritos no gerenciamento de dispositivos, direitos de usuário com
privilégio mínimo e integridade de serviço verificada.

Saiba mais
Descubra a segurança de confiança zero >
Avalie onde você está em sua jornada de confiança zero >
Centro de Implantação de Confiança Zero da Microsoft >

© 2021 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido “no estado em que
se encontra”. As informações e as opiniões expressas neste documento, incluindo URLs e outras referências a
sites da Internet, podem ser alteradas sem aviso prévio. Você assume o risco de utilização. Este documento não
oferece a você direitos legais sobre a propriedade intelectual de produtos da Microsoft. Você poderá copiar e
usar este documento para finalidades internas e de referência.