Zero trust é um conceito estratégico de segurança e uma estrutura construída com base no princípio de que nenhuma confiança implícita é concedida a entidades, ativos, contas de usuário ou ativos ou conexões digitais com base apenas em fatores simples. Dependendo da configuração da política, esses fatores incluem localização física ou de rede, como redes locais versus a internet, ou propriedade de ativos, como empresariais ou pessoais.
As políticas de zero trust exigem que todas as entidades, estejam dentro ou fora da rede da organização, sejam autenticadas, autorizadas e continuamente validadas quanto à configuração e postura de segurança antes de obter ou manter acesso a aplicativos e dados. Além disso, exige que essas entidades sejam colocadas em segmentos isolados e gerenciados dentro de uma infraestrutura e que seu acesso a ativos ou enclaves de rede seja baseado em sessões e dependente de controles de política.
As plataformas de zero trust incluem amplos recursos como gerenciamento de identidade e acesso (IAM), segurança de dispositivos, segurança de rede, segurança de dados, segurança de aplicativos, visibilidade e análise, capacidades de automação e orquestração, integração e interoperabilidade, e gerenciamento de conformidade e políticas.
Para se qualificar para inclusão na categoria de Plataformas de Zero Trust, um produto deve:
Seguir o princípio de “nunca confie, sempre verifique” permitindo permissões granulares com base em funções de usuário, conteúdo e políticas
Impor controles baseados em identidade com autenticação forte, como login único (SSO) e autenticação multifator (MFA), antes que o acesso seja concedido a cargas de trabalho
Avaliar continuamente a confiança monitorando o comportamento na postura de segurança em tempo real
Oferecer acesso à rede de zero trust para garantir que os usuários possam acessar apenas aplicativos ou recursos autorizados
