SEGURANÇA
82 – RTI – DEZ 2021
Marcelo Bezerra
Zero Trust Network Access Os últimos 20 meses têm sido de grandes mudanças para as áreas de TI e segurança da informação, a reboque de todos os impactos decorrentes da pandemia. Ao contrário do que às vezes parece, a necessidade do trabalho e relacionamento remoto com clientes e fornecedores não criou exatamente nada, mas acelerou em muito tendências que estavam sendo adotadas aos poucos pelas empresas com redes e data centers tradicionais, diferentemente das novas empresas “techs” (fintechs, etc.), que já nasceram no modelo que convencionamos chamar de nuvem. Entre as tecnologias aceleradas está o Zero Trust, uma estratégia que inverte a maneira como autenticamos e autorizamos os usuários. O método de autenticar e autorizar um usuário sempre esteve baseado em alguns poucos elementos, começando pelo usuário e senha. Uma vez autenticado, o usuário, na verdade o IP por ele utilizado, tem acesso total à rede. É também a essência do acesso de VPN, que estende à rede por completo a quem estiver remoto. A base desse modelo é a de confiança total. As fraquezas foram aos poucos aparecendo e tecnologias complementares, como 2FA para fortalecer a autenticação e o NAC para restringir o acesso,
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
surgiram sem, no entanto, alterar o modelo básico de confiança. A inversão do Zero Trust é o fato da confiança ser zero, ou seja, o acesso à rede não significa direito de acesso a nada mais. Um efeito imediato é o impedimento do movimento lateral de um intruso, seja humano ou software. Durante um ataque, o invasor tenta obter um acesso qualquer para desde aquele ponto acessar o restante dos ativos conectados em rede. Esse acesso nem precisa ser um computador, poderia ser uma câmera de vídeo. A cada acesso interno, o usuário ou dispositivo qualquer na rede necessita de outra autenticação para uma nova verificação do direito de acesso. Mas, e mais importante, é que o conceito de autenticação também muda. Não é mais simplesmente usuário e senha (com ou sem 2FA), e passa a incluir elementos como localização, horário, sistema operacional, perfil do usuário, entre outros. A autenticação, por assim dizer, passa a ser decidida pelo contexto daquele acesso, no qual conhecer o nome de usuário e senha é apenas um dos fatores. A implementação completa de Zero Trust engloba mais do que usuários em seus computadores ou dispositivos móveis. Uma câmera de vídeo pode ser usada como ponta de lança para um ataque, e, portanto, o conceito precisa ser estendido para esses dispositivos e demais sensores conectados à rede IP. Seu nível de acesso, sua confiança, precisa ser a mínima possível. A terceira área de implementação está nas aplicações. O atual estágio de aplicação distribuída se baseia em um modelo colaborativo horizontal, diferente do antigo vertical. Pequenas aplicações estão se comunicando todo o tempo, não necessariamente no mesmo data center, e uma aplicação não pode ter o direito de comunicar-se livremente. Nessa linha de restrição do acesso em
rede, o Zero Trust acabou por assimilar a tecnologia de microsegmentação, que se torna mais eficiente quando combinado com as premissas de zero confiança. O conceito acabou por derivar uma nova tecnologia, a do ZTNA - Zero Trust Network Access. Ela se refere ao acesso remoto a dados e aplicações usando os conceitos básicos de confiança zero. Um deles é o contexto do usuário para autenticação. Não à rede, mas a uma aplicação ou serviço. É um reflexo do desaparecimento do perímetro e, de certa forma, o torna herdeiro do projeto Jericho, de 2003, que buscou a “desperimetrização” da rede, através da conexão direta de dispositivos à Internet. Em outras palavras, eliminar firewalls e qualquer equipamento de segurança que configure um perímetro, e garantir a segurança dos diversos dispositivos, aqui incluindo computadores, através da criptografia de rede e controle de acesso baseado em perfil. No ZTNA, o perfil e contexto do usuário são avaliados por uma camada de software que irá autorizar o acesso a uma determinada aplicação ou serviço, e somente a eles. Localização geográfica, por exemplo, poderá ser usada para bloquear o acesso ou gerar um alarme. Difere da VPN que dá, por definição, acesso a toda uma rede. É por isso que o ZTNA é visto como o seu substituto, embora eu o veja como um complemento. As tecnologias por trás das arquiteturas de rede demoram a migrar, e às vezes nunca migram, como o IPv6 está para comprovar. É improvável pensar que as VPNs serão simplesmente substituídas, principalmente se levarmos em conta sistemas legados, leia-se antigos, incompatíveis. É por isso que julgo exagerada a previsão do Gartner de que em 2023, 60% das empresas irão começar a substituir
