O que é Zero Trust?
O Zero Trust é uma estratégia de segurança. Não é um produto ou um serviço, mas uma abordagem na conceção e implementação do seguinte conjunto de princípios de segurança.
| Princípio | Descrição |
|---|---|
| Verificar explicitamente | Sempre autentique e autorize com base em todos os pontos de dados disponíveis. |
| Usar acesso com privilégios mínimos | Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em risco e proteção de dados. |
| Parta do princípio de que houve uma violação | Minimizar o raio de explosão e segmentar o acesso. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. |
Estes princípios são o núcleo de Zero Trust. Em vez de acreditar que tudo por trás do firewall corporativo é seguro, o modelo Zero Trust assume a violação e verifica cada solicitação como se tivesse sido originada de uma rede não controlada. Independentemente da origem do pedido ou do recurso a que acede, o modelo Zero Trust ensina-nos a "nunca confiar, verificar sempre".
O Zero Trust foi projetado para se adaptar às complexidades do ambiente moderno que abraça a força de trabalho móvel. O Zero Trust protege contas de utilizador, dispositivos, aplicações e dados onde quer que estejam localizados.
Uma abordagem Zero Trust deve se estender por toda a organização e servir como uma filosofia de segurança integrada e estratégia de ponta a ponta.
Diferentes requisitos organizacionais, implementações de tecnologia existentes e estágios de segurança afetam como a implementação de um modelo de segurança Zero Trust é planejada e executada. As nossas orientações ajudam-no a avaliar a sua prontidão para o Zero Trust e ajudam-no a construir um plano para chegar ao Zero Trust. A nossa orientação baseia-se na nossa experiência em ajudar os clientes a proteger as suas organizações e na implementação do nosso próprio modelo Zero Trust para nós próprios.
Com o Zero Trust, você se afasta de uma perspetiva de confiança por padrão para uma perspetiva de confiança por exceção. É importante uma capacidade integrada para gerir automaticamente essas exceções e alertas. Pode detetar mais facilmente ameaças, responder a ameaças e prevenir ou bloquear eventos indesejados na sua organização.
Zero Trust e a Ordem Executiva 14028 dos EUA sobre Cibersegurança
A ordem executiva 14028 dos EUA, Improving the Nation's Cyber Security, orienta as agências federais sobre o avanço de medidas de segurança que reduzem drasticamente o risco de ataques cibernéticos bem-sucedidos contra a infraestrutura digital do governo federal. Em 26 de janeiro de 2022, o Escritório de Gestão e Orçamento (OMB) divulgou a estratégia federal Zero Trust em memorando 22-09, em apoio à Ordem Executiva 14028. A Microsoft fornece orientação para ajudar as organizações a atender a esses requisitos — Atender aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID.
Zero Trust e Microsoft Secure Future Initiative (SFI)
A Secure Future Initiative (SFI) da Microsoft, lançada em novembro de 2023, é um compromisso plurianual que avança a maneira como a Microsoft projeta, cria, testa e opera nossa tecnologia Microsoft para garantir que nossas soluções atendam aos mais altos padrões de segurança possíveis. A Iniciativa Futuro Seguro da Microsoft é, em grande parte, uma implementação rígida do Zero Trust para o nosso ambiente único para melhorar a nossa postura de segurança.
Para obter mais informações sobre SFI, consulte o site da Secure Future Initiative.
Conjunto de documentação
Siga esta tabela para obter os melhores conjuntos de documentação Zero Trust para as suas necessidades.
| Conjunto de documentação | Ajuda-te... | Funções |
|---|---|---|
| Estrutura de adoção para orientação de fases e etapas para as principais soluções e resultados de negócios | Aplicação de proteções de Zero Trust desde a administração executiva até à implementação de TI. | Arquitetos de segurança, equipes de TI e gerentes de projeto |
| Recurso para avaliação e acompanhamento do progresso | Avalie a prontidão da sua infraestrutura e acompanhe o seu progresso. | Arquitetos de segurança, equipes de TI e gerentes de projeto |
| Zero Trust kit de parceiros | Recursos de rastreamento de marca conjunta, oficina e ilustrações de arquitetura | Parceiros e arquitetos de segurança |
| Implantação para pilares tecnológicos para informações conceituais e objetivos de implantação | Aplique proteções Zero Trust alinhadas com as áreas típicas de tecnologia de TI. | Equipas de TI e pessoal de segurança |
| Zero Trust para pequenas empresas | Aplique os princípios do Zero Trust aos clientes de pequenas empresas. | Clientes e parceiros que trabalham com o Microsoft 365 para empresas |
| Zero Trust para Microsoft Copilots para orientação escalonada e detalhada de projeto e implantação | Aplique proteções Zero Trust aos Microsoft Copilots. | Equipas de TI e pessoal de segurança |
| plano de implantação do Zero Trust com o Microsoft 365 para diretrizes de projeto e implantação escalonadas e detalhadas | Aplique proteções Zero Trust à sua organização do Microsoft 365. | Equipas de TI e pessoal de segurança |
| Resposta a incidentes com XDR e SIEM integrado | Defina as ferramentas XDR e integre-as com o Microsoft Sentinel | Equipas de TI e pessoal de segurança |
| Zero Trust para serviços do Azure para orientações de projeto e implantação escalonadas e detalhadas | Aplique proteções Zero Trust a cargas de trabalho e serviços do Azure. | Equipas de TI e pessoal de segurança |
| integração de parceiros com a Zero Trust para orientação de design para áreas de tecnologia e especializações | Aplique proteções Zero Trust a soluções de nuvem parceiras da Microsoft. | Desenvolvedores parceiros, equipes de TI e equipe de segurança |
| Desenvolver usando os princípios de Zero Trust para orientação do design de desenvolvimento de aplicativos e melhores práticas | Aplique proteções Zero Trust ao seu aplicativo. | Programadores de aplicações |
| Orientação do governo dos EUA para CISA, DoDe o Memorando para a arquitetura Zero Trust | Recomendações prescritivas para os requisitos do governo dos EUA | Arquitetos de TI e equipes de TI |
Formação recomendada
| Formação | Introdução ao Zero Trust |
|---|---|
|
Use este módulo para entender a abordagem Zero Trust e como ela fortalece a infraestrutura de segurança dentro da sua organização. |
| Formação | Introdução ao Zero Trust e às estruturas de melhores práticas |
|---|---|
|
Use este módulo para aprender sobre as práticas recomendadas que os arquitetos de segurança cibernética usam e algumas das principais estruturas de práticas recomendadas para os recursos de segurança cibernética da Microsoft. Você também aprende sobre o conceito de Zero Trust e como começar a usar o Zero Trust em sua organização. |
Próximos passos
Saiba mais sobre a estrutura de adoção do Microsoft Zero Trust .
Ligações úteis:
Visão geral do Zero Trust: Este vídeo fornece informações sobre:
- Definição de Zero Trust
- Princípios Zero Trust
- Conceitos centrais do Zero Trust
Zero Trust - The Open Group: Este vídeo fornece uma perspetiva sobre o Zero Trust de uma organização de padrões.