zero-trust - RunkIntel

# Zero Trust Architecture > [!abstract] Síntese > Zero Trust é uma filosofia e arquitetura de segurança baseada no princípio fundamental: **"Nunca confiar, sempre verificar"** (*Never Trust, Always Verify*). Ao contrário do modelo perimetral tradicional - que confia em tudo dentro da rede corporativa - o Zero Trust assume que a violação já ocorreu e trata cada solicitação de acesso como potencialmente maliciosa, independentemente de origem (interna ou externa). O NIST formalizou o framework na públicação SP 800-207 (2020). O modelo tornou-se mandatório para agências federais dos EUA via Ordem Executiva de 2021 e é hoje referência global adotada pelos principais provedores cloud (Microsoft, Google, AWS). --- ## Visão Geral O conceito de Zero Trust foi cunhado por John Kindervag na Forrester Research em 2010, fundamentado na observação de que o modelo perimetral ("confiar mas verificar") havia se tornado inadequado. Na era do cloud computing, trabalho remoto e dispositivos móveis, não existe mais um perímetro claro entre "dentro" e "fora" da rede corporativa. O adversário que obtém credenciais via phishing ou [[t1566-phishing|spear-phishing]] entra na rede com a mesma confiança que um funcionário legítimo - e pode se mover lateralmente sem obstáculos por semanas ou meses. A resposta do Zero Trust é substituir a confiança implícita por verificação contínua: toda solicitação de acesso deve ser autenticada, autorizada e válidada contextualmente - independentemente de vir de dentro ou fora da rede. O NIST formalizou os princípios na SP 800-207 (2020), e a Ordem Executiva 14028 (2021) tornou o ZT obrigatório para o governo federal americano. Hoje os maiores provedores cloud oferecem produtos específicos de Zero Trust (Microsoft Entra, Google BeyondCorp, AWS Verified Access), tornando a implementação progressivamente acessível. > [!latam] Relevância para o Brasil e LATAM > O Zero Trust ganhou tração crescente no Brasil após a Res. BACEN 4.893/2021, que exige controles de acesso e segmentação alinhados com os princípios ZT. Grandes empresas brasileiras como Petrobras, Embraer e os principais bancos adotam ZT como framework de modernização de segurança. Para PMEs, a adoção de MFA e políticas de acesso condicional (princípio ZT básico) é o passo mais acessível e impactante - especialmente relevante dado que phishing e credential stuffing são os vetores dominantes na LATAM. --- ## Os 3 Princípios Fundamentais ```mermaid graph TB ZT["🔐 Zero Trust Never Trust, Always Verify"] ZT --> P1["✅ Verificar Explicitamente Autenticar e autorizar todos os pontos de acesso usando todos os dados disponíveis"] ZT --> P2["🔒 Menor Privilégio Limitar acesso por usuário, tempo e contexto - JIT, JEA, políticas adaptativas"] ZT --> P3["💥 Assumir Violação Minimizar raio de explosão, segmentar acesso, criptografar tudo, monitorar continuamente"] P1 --> I1["MFA + Device Health Location + Behavior"] P2 --> I2["RBAC + ABAC PAM + Sessões limitadas"] P3 --> I3["Micro-segmentação SIEM + EDR + UEBA"] style ZT fill:#1a1a2e,stroke:#e94560,color:#fff style P1 fill:#16213e,stroke:#27ae60,color:#fff style P2 fill:#16213e,stroke:#f39c12,color:#fff style P3 fill:#16213e,stroke:#e74c3c,color:#fff ``` --- ## Os 7 Pilares do Zero Trust (CISA/DoD) O DoD e a CISA definem 7 pilares que compõem uma arquitetura Zero Trust madura: | Pilar | Foco | Tecnologias Típicas | | ----- | ---- | ------------------- | | 1. Identidade | Verificação forte de usuários | MFA, IAM, SSO, FIDO2 | | 2. Dispositivo | Saúde e conformidade do endpoint | EDR, MDM, Posture Assessment | | 3. Rede | Micro-segmentação e isolamento | ZTNA, SD-WAN, SASE | | 4. Aplicação | Controle granular por app | WAF, API Gateway, App Proxy | | 5. Dados | Classificação e proteção de dados | DLP, CASB, criptografia | | 6. Visibilidade e Analytics | Monitoramento e detecção | SIEM, UEBA, SOAR | | 7. Automação e Orquestração | Resposta automatizada a ameaças | SOAR, XSOAR, Playbooks | --- ## Modelo de Maturidade Zero Trust (CISA) O CISA públicou o **Zero Trust Maturity Model** com 5 estágios de maturidade para cada pilar: ```mermaid graph TB MAT["📊 Modelo de Maturidade Zero Trust (CISA - 5 Estágios)"] MAT --> S1["🔴 Tradicional Perimetro confiado, acesso por VPN"] MAT --> S2["🟧 Inicial MFA implementado, inventário de ativos básico"] MAT --> S3["🟨 Avançado ZTNA parcial, microsegmentação iniciada"] MAT --> S4["🟦 Ótimo ZT em todos os pilares, automação de resposta"] MAT --> S5["🟩 Ideal Adaptativo, ML-driven, resposta autônoma"] S1 --> S2 --> S3 --> S4 --> S5 style MAT fill:#1a1a2e,stroke:#e94560,color:#fff ``` --- ## NIST SP 800-207 - Componentes Lógicos A publicação NIST SP 800-207 define os componentes lógicos de uma arquitetura ZT: | Componente | Sigla | Função | | ---------- | ----- | ------- | | Policy Engine | PE | Toma decisões de acesso com base em políticas | | Policy Administrator | PA | Executa as decisões do PE (grant/deny) | | Policy Enforcement Point | PEP | Intercepta requisições e comúnica com PE/PA | | Data Plane | - | Fluxo de dados do usuário/dispositivo ao recurso | | Control Plane | - | Fluxo de decisões de política | --- ## Zero Trust vs. Modelo Perimetral Tradicional | Aspecto | Modelo Perimetral | Zero Trust | | ------- | ------------------ | ---------- | | Premissa | "Confiar na rede interna" | "Nunca confiar implicitamente" | | Controle de Acesso | Baseado em IP/localização | Baseado em identidade + contexto | | Movimento Lateral | Fácil após comprometimento inicial | Bloqueado por microsegmentação | | VPN | Central para acesso remoto | Substituída por ZTNA | | Monitoramento | Perimetral (firewall, IDS) | Contínuo e em todos os pontos | | Vulnerabilidade-chave | Comprometimento de credenciais VPN | Supply chain, identidade federada | --- ## Relevância contra Ameaças Modernas O Zero Trust é especialmente eficaz contra os vetores de ataque mais usados por grupos documentados no vault: - **Ransomware**: Microsegmentação limita propagação lateral - técnicas como [[ta0008-lateral-movement|TA0008 - Lateral Movement]] são bloqueadas - **Comprometimento de credenciais**: MFA e políticas adaptativas reduzem impacto de [[ta0006-credential-access|TA0006 - Credential Access]] - **Insider threat**: Princípio do menor privilégio + monitoramento comportamental (UEBA) - **Supply chain**: Verificação contínua de dispositivos e identidades de terceiros - relevante dado [[ta0042-resource-development|TA0042 - Resource Development]] Mitigações ATT&CK diretamente alinhadas ao ZT: [[m1032-multi-factor-authentication|M1032 - MFA]], [[m1026-privileged-account-management|M1026 - PAM]], [[m1030-network-segmentation|M1030 - Network Segmentation]]. --- ## Relevância para o Brasil O Zero Trust ganhou forte tração no Brasil nos últimos dois anos: - **[[financial|Setor Financeiro]]**: Banco Central (Resolução CMN 4.893) exige segmentação e controle de acesso - ZT é a arquitetura que atende esses requisitos com mais eficácia - **[[government|Governo Federal]]**: Portaria SGD/MGI nº 587/2022 estabelece diretrizes para modernização de segurança em órgãos federais alinhadas ao conceito ZT - **Empresas de [[technology|tecnologia]] com clientes nos EUA**: Contratos com governo americano exigem alinhamento ao ZT (EO 14028, 2021) - **[[healthcare|Saúde]]**: Hospitais adotam ZT para proteger prontuários eletrônicos e atender [[lgpd|LGPD]] - **Grandes empresas**: Petrobras, Embraer e outros usam ZT como framework de modernização de segurança pós-incidente > [!warning] Desafio de Implementação > Zero Trust é uma jornada, não um produto. Evite fornecedores que afirmam oferecer "Zero Trust em uma caixa" - a implementação exige mudança de cultura organizacional, revisão de processos e adoção gradual por pilares. --- ## Referências - [NIST SP 800-207 - Zero Trust Architecture](https://csrc.nist.gov/publications/detail/sp/800-207/final) - [CISA - Zero Trust Maturity Model](https://www.cisa.gov/zero-trust-maturity-model) - [DoD Zero Trust Strategy](https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf) - [EO 14028 - Improving the Nation's Cybersecurity (2021)](https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/) - [Microsoft Zero Trust Adoption Framework](https://www.microsoft.com/en-us/security/blog/zero-trust/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**