Zero-Trust e SASE: A era de “não confiar cegamente no utilizador” (com vídeo)

As sessões de tarde da 2.ª edição da IT Security Conference arrancaram com uma mesa-redonda sobre zero-trust e SASE, onde profissionais de diversos setores – Associação Nacional das Farmácias, Banco CTT, CUF e Fortinet – se juntaram para discutir as principais vantagens e desafios da adoção destas tecnologias pelas organizações.

Paulo Pinto, Securing Cloud and Business Transformation da Fortinet, ficou a cargo de enquadrar o conceito de zero-trust, que considera ter sido impulsionado por dois fenómenos: “um foi a desmaterialização do posto de trabalho e o outro foi a desmaterialização da computação”.

Atualmente, qualquer colaborador “tanto pode estar em casa, como pode estar num escritório em Espanha, como pode estar em viagem”. Esta mobilidade urge um maior controlo do utilizador “que está a aceder aos recursos da organização, que tipo de dispositivo é que está a usar, se é dele ou se não é, se está numa zona pública”. Por outro lado, também o data center “se desmaterializou”, com a migração dos workloads para cloud providers. 

É no contexto desta “infinidade de conexões”, em que “todos os locais, pessoas e dispositivos podem estar num determinado sítio a aceder também a um conjunto de distintos sítios”, que surge o Zero Trust Network Access (ZTNA) enquanto “um proxy que faz a ligação entre esta mobilidade do utilizador do dispositivo aos sítios onde quer chegar, aos tais software-as-a-service”, explica Paulo Pinto.

As tecnologias de zero-trust e SASE podem ser essenciais na estratégia de segurança das organizações num cenário laboral em contínua transformação. “Antes, tinha 10-15% da minha organização que se ligava por VPN e agora tenho 100% da organização, porque em quase todos os sítios temos modelos híbridos de trabalho ou modelos de teletrabalho”, afirma Carlos Silva, Diretor de Segurança e Proteção de Dados do Banco CTT. “A utilização destas tecnologias vem claramente reduzir o risco para as organizações”.

Nuno Neves, Chief Security Officer da Associação Nacional das Farmácias, sublinha o “conceito de não ser binário” do zero-trust. “Eu tenho um utilizador, ele autenticou-se e não é por isso que agora tem acesso a tudo o que teria. Consigo pôr uma série de condições, mais uma série de requisitos”, explica. “Passo a não confiar cegamente que aquele utilizador é correto e vai fazer aquilo que é suposto”.

Em particular, o setor da saúde exige “outro tipo de cuidados em que não podemos pôr certo tipo de informação em provedores externos, tanto por motivos legais como por motivos de ética”, reforça Miguel Gonçalves, CISO da CUF, contando que a empresa já implementou “muita componente na cloud, muita componente em que já vamos precisando dos serviços que o SASE nos pode trazer”.

Multicloud e zero-trust

A vasta panóplia de opções de cloud e de múltiplos modelos de serviço é “um desafio adicional” e, ao mesmo tempo, “um driver”, constata Carlos Silva. “Neste momento, cada um tem um cloud provider e depois temos vários serviços em várias clouds. Muitas vezes nem sequer sabemos bem em que cloud é que estão”.

Neste contexto, para o Diretor de Segurança e Proteção de Dados do Banco CTT, é fundamental garantir duas grandes características: a “observabilidade do que está a acontecer”, ou seja, “não me interessa ter uma consola que sirva para ver a minha cloud A, outra para ver a cloud B ou cloud C”, sendo necessário “ter isto num único sítio”; e, por outro lado, a “componente de gerir os utilizadores que acedem a esses serviços”.

“Em multicloud ou em ambientes totalmente distribuídos em que o conceito de perímetro deixa de existir, não faz qualquer sentido não termos implementado uma estratégia de zero-trust”, salienta Carlos Silva.

O zero-trust “vale para tudo”, segundo Nuno Neves, contribuindo para fortalecer a segurança dos ambientes cloud ou multicloud. “O facto de nós termos numa só cloud ou em várias clouds, mas mantermos nós o controlo sobre os utilizadores, sobre os acessos e sobre quem é que acede ao quê, porquê, de onde, com que condições, acho que é fundamental”.

Miguel Gonçalves acredita que “a falta de recursos” é um “grave problema”. O CISO acrescenta que, “se não tivermos algo que faça essa gestão por nós, tínhamos de ter uma equipa gigante e não há recursos, nem há budget para isso. Temos de agarrar naquilo que a tecnologia nos pode oferecer para nos ajudar a fazer essa gestão”.

Existe ainda “muita falta de maturidade nas companhias portuguesas” relacionada com o mapeamento dos perfis de utilizadores, de acordo com Miguel Gonçalves. “Sem termos esses perfis bem mapeados, esse trabalho de consultoria feito, não há zero-trust que resista”, defende.

Da perspetiva de um fabricante, Paulo Pinto afirma que, na Fortinet, “trabalhamos no sentido de ter as tais plataformas uniformizadas pelos diversos ambientes que permitem minimizar a complexidade da gestão”.

Além disto, Paulo Pinto reforça que “não se trata só da questão operacional, trata-se da questão de poder demonstrar compliance em tempo real nas diversas operações que fazem”.

Mudar mentalidades top-down

A adoção das tecnologias zero-trust e SASE exige uma mudança de mentalidades, onde a maior resistência é sentida “no topo”, refere Carlos Silva. “É ali que eu estou a investir toda a parte do meu tempo”.

Explicar aos executivos superiores – quem “banca a festa” – “a ideia de que a partir de agora nós não confiamos em nada nem em ninguém, nem na nossa própria rede interna” é um “desafio”. No entanto, Carlos Silva ressalva que, “a partir do momento em que consiga pôr os principais responsáveis, administradores, diretores, team leaders, todo o resto da organização vai atrás e vai aceitar como sendo um benefício para todos”.

“A tecnologia deve ajudar, mas implica também uma mudança de mentalidade”, corrobora Nuno Neves. “Esta nova regulação, nomeadamente a NIS 2, que traz o tema de responsabilidade direta para a administração, vai ajudar muito”.