Arquitetura Confiança Zero

A proliferação da computação em nuvem, dispositivos móveis e as políticas de trazer seu próprio dispositivo (BYOD) estão mudando o cenário tecnológico das empresas modernas.

As arquiteturas de segurança tradicionais dependiam de redes virtuais privadas (VPNs) e firewalls de rede para se protegerem. No entanto, essas medidas são insuficientes para proteger as organizações contra ameaças cibernéticas avançadas. Embora essas arquiteturas restrinjam o acesso aos recursos e serviços da empresa, elas são inadequadas para funcionários que precisam acessar aplicativos e recursos além dos limites da rede interna.

À medida que as organizações migraram para a nuvem e as ameaças evoluíram, passou a ser necessário adotar um modelo de segurança de confiança zero (zero-trust).

A Looplex já nasceu como uma empresa de arquitetura tanto de solução quanto organizacional cloud-first, e por conta disso segue esse princípio para SecOps.

A confiança zero é baseada no princípio da confiança comprovada — antes de confiar, você deve primeiro verificar. Essa abordagem remove a confiança inerente típica de sistemas e redes internas legadas. Uma arquitetura de confiança zero reduz o risco em todos os ambientes por meio de:

• Configuração de forte autenticação

• Verificação de conformidade do dispositivo antes de conceder acesso

• Sempre garantir acesso de menor privilégio, permitindo apenas os recursos explicitamente aprovados

A confiança zero requer a verificação de todas as transações entre sistemas, incluindo identidade do usuário, rede, aplicativos e dispositivo. O sistema deve validar uma transação e garantir que ela seja confiável antes de permitir que ela prossiga. Idealmente, um ambiente de confiança zero deve incluir o seguinte:

• Autenticação multifator (MFA) — mecanismo para validar e proteger identidades. Ele elimina expirações de senha e potencialmente também pode eliminar senhas. Também podemos usar biometria para estabelecer uma autenticação forte para identidades apoiadas pelo usuário.

• Validação de saúde do dispositivo — validamos a saúde de todos os tipos de dispositivos. Também devemos garantir que todos os sistemas operacionais atendam ao estado de saúde mínimo necessário antes de permitir que eles acessem quaisquer recursos da Looplex.

• Dados e telemetria — utilizamos essas informações para entender o estado de segurança atual, avaliar o impacto de novos controles, correlacionar dados entre serviços e aplicativos e identificar lacunas de cobertura.

• Menor acesso privilegiado — usamos essa abordagem para limitar o acesso aos recursos mínimos (aplicativos, infraestrutura e serviços) necessários para executar uma função de trabalho. Não utilizamos soluções de acesso sem escopo para recursos específicos ou que concedam acesso amplo sem segmentação.

Na Looplex adotamos uma cultura de DevSecOps, integrando a equipe de SecOps dentro do time de desenvolvimento e sustentação da plataforma. Dentre as pessoas do time de Dev, duas tem um papel dedicado para Segurança da Informação e Operações, com apoio de empresa de consultoria externa para manutenção do ambiente (Select Soluções) e serviços digitais do Microsoft Defender 365, que contém um pacote de serviços pacote de defesa empresarial que coordena de forma nativa a detecção, a prevenção, a investigação e a resposta entre pontos de extremidade, identidades, e-mail e aplicativos para fornecer proteção integrada contra ataques sofisticados.