À medida que as empresas e organizações tentam garantir a segurança das suas redes e dados, muitas estão a adoptar o modelo de segurança Zero Trust – confiança zero, em tradução livre –, baseado na ideia de que não se deve confiar automaticamente em nada, nem nos utilizadores, nem nos dispositivos ou aplicações, mesmo que estejam dentro do perímetro de segurança da rede. Em vez disso, a segurança deve ser estabelecida na comunicação entre cada elemento da rede e em cada solicitação de acesso aos dados.
Segundo os especialistas, a abordagem Zero Trust exige uma mudança de mentalidade, colocando a segurança no centro de todas as decisões de negócios e tecnologia. A autenticação e autorização são as ‘“chave”, nesta abordagem, com todas as solicitações de acesso a serem verificadas e autenticadas antes de serem concedidas. Isso significa que os utilizadores precisam de ser validados através de múltiplos factores de autenticação, além de terem permissões limitadas com base na necessidade de acederem a dados específicos. «O Zero Trust expressa a evolução do próprio paradigma da segurança, que passa de uma defesa fundada no perímetro da rede, para uma focada em utilizadores, activos e recursos da organização», explica à businessIT Paula Fernandes, security business group lead na Microsoft Portugal. «Esta ‘desperimetrização’ leva a que a confiança no acesso aos recursos, antes implícita dentro da rede local, passe a basear-se numa avaliação contínua do risco dos activos, identidades e das funções de negócio».
Desta forma, explica Paula Fernandes, a lógica maniqueísta de “bloquear/dar acesso” é preterida a favor de uma «defesa dinâmica», mais capacitada para acompanhar o negócio e as necessidades do utilizador num novo contexto social, profissional e tecnológico. «Assim, cada utilizador e cada dispositivo que tente aceder à rede deve ser autenticado antes de o acesso ser concedido. Isto pode ser conseguido utilizando métodos como a autenticação multifactor, certificados de dispositivo, e autenticação biométrica», lembra Paula Fernandes.
Depois, continua a especialista, importa limitar o acesso – este deve ser concedido apenas aos recursos necessários para que cada utilizador ou dispositivo desempenhe o seu trabalho ou tarefa: «Após o acesso do utilizador, uma arquitectura Zero Trust deve estar preparada para monitorizar e registar em tempo real toda a actividade para detectar e responder a qualquer suspeita ou comportamento não apropriado». Em suma, para a Microsoft, são três os princípios orientadores do Zero Trust: verificar explicitamente, utilizar o acesso menos privilegiado e assumir o ‘breach’.