Wikipédia

Modelo de segurança de confiança zero

O modelo de confiança zero, também conhecido como arquitetura de confiança zero (ZTA), e às vezes conhecido como segurança sem perímetro, é uma estratégia de design e implementação de sistemas de TI. O conceito principal do modelo de confiança zero é "nunca confiar, sempre verificar," isso significa que usuários e dispositivos não devem ser confiáveis por padrão, mesmo se estiverem conectados a uma rede autorizada, como uma LAN corporativa, até mesmo se estiverem previamente verificados. O ZTA é implementado ao estabelecer uma forte verificação de identidade, validar a conformidade do dispositivo antes de conceder o acesso e garantir o acesso com privilégios mínimos apenas a recursos explicitamente autorizados. Muitas redes corporativas modernas consistem em muitas zonas interconectadas, infraestrutura e serviços por nuvem, conexões com ambientes remotos e móveis, e conexões com TI não convencionais, como dispositivos IoT. O ZTA é uma mudança da estratégia de "confiar, porém verificar" para "nunca confiar, e sempre verificar" porque a ideia de confiar em usuários e dispositivos dentro de um "perímetro corporativo", ou em usuários e dispositivos conectados por meio de uma VPN não é relevante no ambiente de uma rede corporativa. O ZTA defende também a autenticação mútua, incluindo a checagem da identidade e integridade dos usuários sem dizer respeito à localização, e também prover o acesso para aplicativos e serviços de acordo com a confiança do usuário, a identidade do dispositivo e sua integridade em adição à autenticação do usuário.[1] O modelo de confiança zero foi projetado para ser usado em áreas específicas como a cadeia de suprimentos.[2][3]

História

editar

Stephen Paul Marsh criou o termo "zero confiança" em abril de 1994 na sua tese de doutorado em segurança computacional na Universidade de Stirling.[4] Após isso houve discussões sobre o tema em diversos locais porém o termo "modelo de confiança zero" realmente só nasceu em 2010 por o analista da Forrester Research, John Kindervag o qual utilizou do termo para definir rígidos programas de segurança cibernética e controle de acesso dentro de corporações.[5][6][7]

Referências

  1. «Mutual TLS: Securing Microservices in Service Mesh». The New Stack (em inglês). 1 de fevereiro de 2021. Consultado em 20 de fevereiro de 2021 
  2. Collier, Zachary A.; Sarkis, Joseph (3 de junho de 2021). «The zero trust supply chain: Managing supply chain risk in the absence of trust». International Journal of Production Research. 59 (11): 3430–3445. ISSN 0020-7543. doi:10.1080/00207543.2021.1884311 
  3. do Amaral, Thiago Melo Stuckert; Gondim, João José Costa (novembro de 2021). «Integrating Zero Trust in the cyber supply chain security». 2021 Workshop on Communication Networks and Power Systems (WCNPS): 1–6. ISBN 978-1-6654-1078-6. doi:10.1109/WCNPS53648.2021.9626299 
  4. Marsh, Stephen (1994), Formalising Trust as a Computational Concept, p. 56, consultado em 22 de julho de 2022 
  5. Loten, Angus (1 de maio de 2019). «Akamai Bets on 'Zero Trust' Approach to Security» (em inglês). Wall Street Journal. Consultado em 17 de fevereiro de 2022 
  6. Higgins, Kelly Jackson. «Forrester Pushes 'Zero Trust' Model For Security». Dark Reading (em inglês). Informa. Consultado em 17 de fevereiro de 2022. Arquivado do original em 26 de agosto de 2021 
  7. Kindervag, John (5 de novembro de 2010). «Build Security Into Your Network's DNA: The Zero Trust Network Architecture» (PDF). Forrester Research. Consultado em 22 de julho de 2022 
Obtida de "https://pt.wiki.x.io/w/index.php?title=Modelo_de_segurança_de_confiança_zero&oldid=66590217"