Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo apresenta uma visão geral dos frameworks de Confiança Zero bem conhecidos e mostra como o modelo de adoção Confiança Zero do Microsoft o ajuda a passar da compreensão do framework para a adoção em larga escala.
Confiança Zero não é uma estrutura única. É um modelo de segurança que está alinhado com múltiplas normas da indústria e do governo. Estes padrões não são soluções concorrentes. Cada um aborda um aspeto diferente do Confiança Zero, como definir conceitos centrais, avaliar o progresso ou coordenar a adoção em toda a organização.
Embora os frameworks da indústria ajudem a definir o que o Confiança Zero deve alcançar, as organizações ainda precisam de uma forma de traduzir essa orientação numa estratégia e arquitetura específicas para o planeamento, design e implementação de soluções.
O modelo de adoção Confiança Zero da Microsoft faz exatamente isso. Fornece uma estratégia e arquitetura de referência que se alinham e se baseiam nos frameworks da indústria para acelerar a adoção e implementação do Confiança Zero.
Tip
Microsoft oferece um conjunto diversificado de workshops de adoção de segurança – os workshops Security Adoption Framework (SAF). A nossa orientação estruturada para modelos de adoção está alinhada com a orientação liderada por especialistas da Microsoft Unified apresentada nesses workshops. Saiba mais sobre os workshops da SAF.
NIST Confiança Zero
National Institute of Standards and Technology (NIST) Publicação Especial (SP) 800‑207 Confiança Zero Architecture estabelece uma definição da arquitetura Confiança Zero reconhecida pelo setor. Explica o que é o Confiança Zero e como são tomadas decisões de confiança, independentemente de qualquer fornecedor, produto ou roteiro de implementação específico.
O NIST SP 800-207 é mais útil quando as organizações precisam de uma definição comum e autoritativa dos conceitos de Confiança Zero, que possa ser partilhada entre equipas de segurança, TI e arquitetura.
Funcionalidades do NIST
O NIST posiciona explicitamente o Confiança Zero como uma arquitetura onde o acesso aos recursos nunca é implicitamente confiável.
Os princípios Confiança Zero no NIST incluem:
- Partir do princípio de comprometimento (violação) como base para uma abordagem abrangente e prática da segurança.
- Verificar explicitamente a confiança antes de conceder acesso aos ativos.
- Limitando o raio da explosão concedendo o menor privilégio necessário.
Conceitos arquitetónicos chave focam-se em:
- Avaliação dinâmica contínua dos pedidos de acesso usando sinais contextuais.
- Lógica centralizada de decisão política que avalia sinais em relação à política organizacional.
- A funcionalidade de aplicação de políticas próxima dos recursos protegidos aplica a decisão.
A arquitetura conceptual Confiança Zero definida pelo NIST foca-se em como as decisões de acesso são avaliadas e aplicadas através de motores de políticas, pontos de aplicação e sinais contextuais.
Tenha em atenção que:
- O NIST SP 800-270 não define pilares tecnológicos ou domínios de segurança como identidade, endpoints ou proteção de dados.
- Identidade, postura do dispositivo, aplicações e dados são modelados como assuntos, recursos e fontes de contexto que informam decisões de confiança, em vez de domínios arquitetónicos separados.
O modelo de adoção segurança da Microsoft baseia-se nesta arquitetura aplicando os seus princípios e componentes dentro de um quadro operacional.
Embora o NIST defina como as decisões de confiança são tomadas e aplicadas, o nosso modelo de adoção organiza estas capacidades entre disciplinas de segurança e pilares tecnológicos para orientar o planeamento empresarial, a participação, o design de soluções, a implementação e o acompanhamento do progresso.
Implementation
As orientações de implementação são fornecidas no NIST SP 1800-35 Implementação de uma Arquitetura Confiança Zero.
Para esta orientação de implementação:
- O NIST colaborou com 24 fornecedores, incluindo a Microsoft, no desenvolvimento de um guia com passos práticos para organizações interessadas em implementar designs de referência de cibersegurança para o Confiança Zero.
- A Microsoft participou como um dos fornecedores que fornecem tecnologia para implementar capacidades Confiança Zero em todo o lado:
- Gestão de identidades e acessos.
- Gestão e configuração de endpoints.
- Proteção e monitorização de ameaças.
- Acesso seguro a recursos distribuídos.
Este diagrama é o resultado da colaboração NIST SP 1800-35. Pode ser descarregado de Arquitetura de Referência da Cibersegurança da Microsoft (MCRA). Saiba mais sobre a MCRA
Modelo de Maturidade CISA Confiança Zero
O Modelo de Maturidade Confiança Zero da Agência de Cibersegurança e Segurança das Infraestruturas (CISA) está estruturado em torno da adoção e da avaliação. Este modelo de maturidade ajuda as organizações a organizar e avaliar a sua postura atual, a priorizar melhorias e a acompanhar o progresso.
Funcionalidades CISA
Ao contrário do NIST, o CISA não define uma arquitetura de referência e, em vez disso, avalia as capacidades independentemente de padrões de design específicos.
- O modelo utiliza domínios baseados em pilares, incluindo Identidade, Dispositivos, Redes/Ambiente, Aplicações/Cargas de Trabalho e Dados.
- Define também três capacidades transversais – Visibilidade e Análise, Automação e Orquestração, e Governação.
- E cobre quatro fases de maturidade: Tradicional, Inicial, Avançado e Ótimo.
- A governação também não é tratada como um pilar independente, mas como uma capacidade transversal que assegura alinhamento empresarial, propriedade clara e resultados mensuráveis em todos os domínios.
Implementation
O modelo está alinhado e informa o modelo de adoção de segurança da Microsoft, enquanto a Microsoft o expande ainda mais ao introduzir disciplinas como a Arquitetura para ligar estruturas conceptuais como o NIST SP 800-207 à implementação prática.
| CISA | Disciplina/pilar da adoção | Detalhes |
|---|---|---|
|
Identidade Identidade abrange autenticação, autorização, risco de identidade, ciclo de vida. As aplicações e cargas de trabalho cobrem controlos de acesso às aplicações, identidade da carga de trabalho e interação segura com aplicações. |
Disciplina: Identidade e Acesso Tecnologia: Identidade |
O controlo de acesso na Microsoft abrange ambas as camadas de identidade e de aplicação, enquanto o CISA as separa. |
|
Governação Políticas, controlos e aplicação da lei a nível empresarial. |
Disciplina: Estratégia, Integração, Governação Arquitetura de Segurança Tecnologia: Tudo. |
As capacidades de políticas e controlo da CISA correspondem diretamente aos resultados do SecOps. A Microsoft acrescenta um foco extra a outros aspetos da governação (alinhamento de negócios, gestão de risco, funções e mais), e um foco dedicado à disciplina arquitetónica e arquiteturas de referência. |
|
Devices Inventário de dispositivos, postura, conformidade; segmentação de rede, conectividade segura, controlos ambientais. Incluindo dispositivos não tradicionais, restritos e especializados. |
Disciplina: Identidade e Acesso, Segurança de infraestruturas, Segurança OT/IoT Tecnologia: Pontos de extremidade |
A confiança na infraestrutura é estabelecida através da saúde do dispositivo e da conectividade controlada, alinhando-se com o objetivo Confiança Zero de minimizar o raio da explosão e o movimento lateral. A Microsoft considera os dispositivos OT/IoT como uma disciplina distinta devido à sua propriedade única e razões de gestão de risco. |
|
Aplicações e cargas de trabalho Apps & Workloads abrange controlos de acesso às aplicações, identidade da carga de trabalho e interação segura com aplicações. |
Disciplina: Segurança do Desenvolvimento Tecnologia: Aplicações |
O foco da carga de trabalho da CISA está alinhado com os objetivos do DevSecOps ao incorporar a segurança nos ciclos de vida das aplicações e do serviço, em vez de a tratar como uma atividade pós-implantação. |
|
Networks Segmentação de rede, conectividade segura, controlos ambientais. |
Disciplina: Identidade e Acesso Tecnologia: Redes |
A Microsoft combina todos os acessos (identidade, aplicações e redes) numa única disciplina para ajudar a impulsionar uma estratégia clara, arquitetura e consistência política entre as tecnologias. |
|
Dados Classificação de dados, inventário, controlo de acesso, encriptação e proteção independentes da localização da rede. |
Disciplina: Segurança de Dados Tecnologia: Dados |
Ambos os modelos colocam os dados como alvo principal de proteção e reforçam a mudança Confiança Zero da segurança perimetral para controlos centrados nos dados. |
|
Visibilidade e Análise, Automação e Orquestração Recolha de telemetria, monitorização contínua, deteção, automação de respostas e aplicação de políticas em larga escala. |
Disciplina: SecOps Tecnologia: Todos |
As capacidades transversais da CISA correspondem diretamente aos resultados do SecOps, que incluem a deteção de ameaças, a automatização da resposta e a reavaliação contínua da confiança em todos os domínios. |
| Fases de maturidade em todos os pilares | Postura de segurança | A gestão da postura é o objetivo central do modelo CISA: avaliar o estado atual, identificar lacunas, priorizar melhorias e acompanhar o progresso do Confiança Zero ao longo do tempo. |
Para mais informações, consulte Implementar o modelo de maturidade Confiança Zero da CISA com os serviços cloud da Microsoft.
O Modelo de Referência Open Group Confiança Zero
O Open Group Confiança Zero Modelo de Referência aborda Confiança Zero a partir de uma perspetiva de capacidade empresarial e integração. Em vez de definir etapas específicas de implementação, descreve as capacidades e estruturas de governação que as organizações precisam para definir, integrar e operar o Confiança Zero em larga escala.
Funcionalidades do Grupo Aberto
As características incluem:
- Os Blocos de Construção de Capacidades + Arquitetura (ABBs) definem capacidades de segurança que impulsionam resultados de segurança duradouros e as pessoas, processos e tecnologia que os possibilitam.
- Os Modelos de Colaboração e Integração mostram como integrar a segurança com a estratégia, gestão de risco, operações e outros aspetos da organização.
As capacidades são compostas por pessoas, processos e elementos tecnológicos a trabalharem em conjunto:
- Pessoas: definidas como papéis na norma Papéis e Glossário do The Open Group
- Processo: definido como blocos de construção da arquitetura (ABBs) na mesma norma do Modelo de Referência Confiança Zero
- Tecnologia: definidos como ABBs na mesma norma do Modelo de Referência Confiança Zero
Este diagrama mostra estas capacidades:
Este diagrama mostra como estas capacidades se alinham com as funções do Quadro de Cibersegurança do NIST (NIST CSF):
Implementation
O modelo corresponde ao nosso modelo de adoção recomendado.
| Grupo Aberto | Disciplina da adoção | Alinhamento |
|---|---|---|
|
Confiança Zero Estratégia e Governação Define como as organizações estabelecem o Confiança Zero como uma estratégia alinhada com o negócio, incluindo governação, gestão de risco, apropriação de políticas e alinhamento de pessoas, processos e tecnologia. |
Estratégia, Integração e Governação | Tanto o Open Group como a Microsoft posicionam explicitamente o Confiança Zero como uma estratégia empresarial, e não como um conjunto de controlo técnico. Isto apoia diretamente o alinhamento executivo, a apropriação e a integração em toda a organização. |
|
Arquitetura Confiança Zero baseada em capacidades Fornece blocos de construção arquitetónicos e agrupamentos de capacidades para projetar arquiteturas Confiança Zero, sem prescrever tecnologias ou produtos específicos. |
Arquitetura de segurança | Isto preenche o espaço entre a arquitetura abstrata do NIST e as orientações de implementação, permitindo aos arquitetos traduzir os princípios do Confiança Zero em designs de escala empresarial. |
|
Capacidades de Identidade, Autenticação, Autorização e Aplicação de Políticas Define as capacidades necessárias para verificar a identidade, avaliar a confiança dinamicamente e impor decisões de acesso de forma consistente entre os ambientes. |
Identidade e acesso | Alinha-se diretamente com a segurança de acesso como disciplina de adoção: quem pode aceder a quê, em que condições e como essa decisão é aplicada. |
|
Capacidades de proteção centrada em dados Enfatiza a proteção da informação independentemente da localização, incluindo classificação de dados, proteção e acesso orientado por políticas. |
Segurança de dados | Reflete a mudança do Confiança Zero da segurança perimetral para a segurança centrada nos dados, alinhando-se naturalmente com a proteção de dados como domínio de adoção. |
|
Visibilidade, monitorização, análises e capacidades de resposta Inclui capacidades para recolha de telemetria, monitorização de sinais de confiança e adaptação de políticas com base no risco observado. |
SecOps | Permite avaliação e aplicação contínuas — essenciais para operações Confiança Zero e monitorização de segurança em larga escala. |
|
Capacidades de segurança de interação de aplicações e serviços Aborda a forma como as aplicações e os serviços participam em Confiança Zero, incluindo interações seguras, identidade dos serviços e imposição em tempo de execução. |
Segurança de desenvolvimento | Suporta a integração do Confiança Zero nos ciclos de vida modernos das aplicações e na comunicação entre serviços. |
|
Capacidades de segurança da plataforma e do ambiente Abrange a operação segura de plataformas, redes e ambientes que alojam cargas de trabalho, sem tratar a rede como um limite de confiança. |
Segurança de infraestrutura | Alinha a segurança da infraestrutura com os princípios do Confiança Zero, tratando a infraestrutura como aplicável mas não inerentemente confiável. |
|
Ambiente alargado e suporte de ativos não tradicionais Reconhece explicitamente a convergência IT/OT/IoT e a necessidade de capacidades Confiança Zero em ambientes restritos e heterogéneos. |
Infraestrutura (segurança OT/IoT) | Reflete a realidade da adoção, em que OT/IoT exigem uma gestão própria, mas devem continuar alinhados com a estratégia empresarial de Confiança Zero. |
|
Maturidade baseada em capacidades e melhoria contínua Fornece um modelo de capacidades destinado a avaliar o estado atual, orientar a melhoria e adaptar-se ao longo do tempo à medida que as ameaças e a tecnologia evoluem. |
Postura de segurança | Posiciona o Confiança Zero como um programa contínuo, não como uma implementação pontual — alinhando-se diretamente com os objetivos de gestão de postura. |
Mapear as tecnologias da Microsoft para o modelo
O modelo Confiança Zero Reference inclui também um resumo geral dos componentes Confiança Zero. Este diagrama mostra como as tecnologias da Microsoft correspondem a esses componentes:
Estratégia Confiança Zero do DoD
O Departamento de Defesa dos EUA lançou uma Estratégia e Roteiro Confiança Zero do DoD.
Para obter informações sobre como configurar os serviços cloud da Microsoft para a Estratégia de Confiança Zero do DoD, consulte Configurar os serviços da Microsoft para a Estratégia de Confiança Zero do DoD.
Passos seguintes
Escolha um cenário empresarial e aprenda como as disciplinas de segurança se encaixam nesse cenário.