As VPNs não podem oferecer controles refinados sobre o que cada usuário pode acessar em uma rede. As soluções Zero Trust podem.
Por Richard Sutherland para TecRadar
Melhorando o acesso remoto com um modelo de segurança mais robusto.
As políticas do local de trabalho continuam a tender para um trabalho mais flexível, com mais de 58% dos americanos relatando em uma pesquisa de 2022 que tiveram a oportunidade de trabalhar em casa pelo menos um dia por semana.
Embora esta seja uma excelente notícia para a liberdade dos funcionários, ela também representa maiores desafios de segurança para as empresas.
Os trabalhadores remotos geralmente precisam acessar recursos comerciais confidenciais pela Internet, tradicionalmente feito com redes privadas virtuais – VPN.
Este modelo desatualizado está lutando para atender às demandas de uma grande força de trabalho remota e está sendo cada vez mais substituído por soluções Zero Trust, como o Perímetro 81.
Neste artigo, veremos por que sua empresa pode querer substituir as VPNs por um modelo Zero Trust.
O problema com o modelo de confiança VPN
As VPNs são usadas há muito tempo para permitir que dispositivos em redes diferentes se comuniquem como se estivessem na mesma rede. Utilizando uma VPN pela internet, os funcionários podem se conectar à intranet da empresa e acessar todos os recursos como se seu computador estivesse conectado ali
As VPNs não realizam nenhuma verificação de segurança adicional após a autenticação inicial, que geralmente é apenas um nome de usuário e senha. Depois que o dispositivo remoto é autenticado, ele continua a ser confiável indefinidamente. Este é um risco de segurança.
As VPNs geralmente permitem acesso completo à rede da empresa para o usuário remoto após a verificação. Com um acesso tão amplo a todos os aplicativos e recursos em execução na rede, uma máquina remota comprometida pode causar estragos nos negócios.
Outra questão é que as empresas usam cada vez mais aplicativos, armazenamento e outros recursos baseados em nuvem. Você pode querer aproveitar o poder de enormes recursos baseados em nuvem da Amazon AWS, Microsoft Azure e Google Cloud, mas as VPNs oferecem apenas segurança baseada em perímetro, protegendo uma rede local.
Qualquer solução que tente combinar VPNs tradicionais com tecnologia de nuvem será desajeitada e difícil de manter.
Os funcionários geralmente acham as VPNs frustrantes de usar. As VPNs têm recursos de autorização limitados, o que significa que criar e gerenciar nomes de usuário e senhas para uma grande força de trabalho pode ser tedioso.
Centenas de transações de rede de funcionários devem passar pela VPN, o que geralmente causa um gargalo. Isso pode significar que os aplicativos parecem lentos para responder e as transferências de arquivos são lentas.
Solução: o modelo Zero Trust
Zero Trust é uma filosofia em que nenhum dispositivo ou usuário é confiável automaticamente, não importa onde eles estejam localizados. Isso afeta como seus aplicativos, infraestrutura de rede e políticas de segurança da empresa são escritos e implementados.
A primeira mudança notável entre o uso de VPNs e o Zero Trust é que os usuários conectados à rede local da empresa estão sujeitos às mesmas verificações de segurança que todos os outros. Os usuários ou dispositivos não são mais considerados automaticamente confiáveis apenas porque estão localizados fisicamente no edifício.
Zero Trust abandona a política de uma vez verificado, sempre confiável e a substitui por nunca confiar, sempre verificar
Isso significa que usuários e dispositivos são constantemente monitorados quanto a comportamentos suspeitos que podem sugerir que a conexão está comprometida. Por exemplo, se a solução Zero Trust detectar malware em um laptop remoto, o acesso aos ativos da empresa será imediatamente revogado até que o problema seja resolvido.
As VPNs não podem oferecer controles refinados sobre o que cada usuário pode acessar em uma rede. As soluções Zero Trust podem.
Em vez de oferecer apenas segurança geral no nível da rede, o Zero Trust pode ser usado para proteção mais específica no nível do aplicativo.
Com o Zero Trust, os usuários podem receber ou negar acesso a aplicativos específicos. Isso é difícil de fazer com uma VPN sem colocar aplicativos em redes diferentes. As soluções avançadas podem conceder e negar solicitações a seções de um aplicativo com base nas credenciais do usuário. Um funcionário de nível inferior pode ter acesso para visualizar dados selecionados, mas negada a capacidade de alterá-los, por exemplo.
Zero Trust e a nuvem
Acima, discutimos como o aumento do uso de recursos baseados em nuvem nos negócios não combina bem com o modelo de segurança baseado em perímetro de VPNs. Zero Trust estabelece uma base sólida de nunca confiar, sempre verificar, para que não tenha o mesmo problema.
Com o Zero Trust, cada solicitação de acesso a um recurso da empresa passa por um aplicativo intermediário de segurança, normalmente conhecido como corretor. Esse intermediário verifica se a solicitação é válida antes de entregá-la ao recurso.
Notavelmente, esse recurso não precisa necessariamente estar na intranet da empresa. Em vez disso, o corretor pode ser o guardião de um aplicativo na nuvem. Isso significa que as empresas podem colocar seus recursos em servidores em nuvem em vez de na intranet da empresa, mantendo um alto nível de segurança.
Isso oferece muitas vantagens. Torna-se muito mais fácil dimensionar aplicativos de negócios, pois você pode aproveitar o imenso poder das redes de nuvem pública e privada conforme e quando necessário. Ele pode reduzir os custos operacionais, pois você não precisa mais de tanto hardware local e de equipe para mantê-lo. E, claro, significa melhor segurança para seus ativos comerciais vitais.
Também é ótimo para seus funcionários, pois eles podem usar um sistema de autenticação e autorização em vez de acompanhar dezenas de logins. O desempenho dos aplicativos pode ser drasticamente aprimorado, pois os funcionários não precisam mais enviar todos os dados de um lado para o outro por meio de uma VPN que costuma atuar como um gargalo.
Conclusão
Uma força de trabalho cada vez mais remota e mais dependência da infraestrutura baseada em nuvem significam que o modelo de segurança puramente baseado em perímetro de VPNs está ficando desatualizado.
A arquitetura Zero Trust oferece segurança mais robusta e permite um controle mais refinado sobre o que os usuários podem acessar. Com a implementação adequada do Zero Trust, os custos podem ser reduzidos, a autenticação é mais simples para os funcionários e seus ativos críticos de negócios estarão seguros.
Fonte: TechRadar
Zyxel Releases Patches for Critical Bug Affecting Business Firewall and VPN Devices
Crypto ID Entrevista: Sergio Muniz sobre Ransomware, Gestão de Acessos e MFA – Thales Brasil
AUTENTICAÇÃO
Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!