# O que significa confiança zero? Como implementar uma arquitetura Zero Trust

## Visão geral

#### Principais conclusões deste artigo:

- **Mentalidade de confiança zero:**Trate todos os usuários, dispositivos e solicitações como não confiáveis por padrão e verifique continuamente, em vez de depender de um perímetro.
- **Elementos fundamentais:**Combine monitoramento/resposta a incidentes, MFA, acesso com privilégio mínimo e criptografia forte para reduzir a movimentação lateral.
- **Roteiro em vez de “instalação de ferramenta”:**A adoção de confiança zero funciona melhor como um programa em fases, com prioridades, marcos e controles mensuráveis bem definidos.
- **Proteção centrada em dados:**Concentre a segurança na proteção de recursos e identidades sensíveis, especialmente credenciais que liberam acesso em todos os lugares.
- **Ganhos imediatos:**Comece reforçando a autenticação, a higiene de credenciais e a governança de acesso para fortalecer sua postura enquanto amadurece o modelo.

Modelos de segurança tradicionais, que dependem de defesas baseadas em perímetro, muitas vezes deixam as organizações vulneráveis a ameaças internas e externas. A arquitetura de confiança zero apresenta uma abordagem moderna, enfrentando o principal desafio dos líderes de tecnologia: equilibrar necessidades rigorosas de segurança com eficiência operacional. Este guia explicará o que significa confiança zero, apresentará seus principais componentes e fornecerá um roteiro para adotar um modelo de segurança de confiança zero.

## O que é confiança zero?

Confiança zero é uma abordagem arquitetural que presume que todos os usuários, dispositivos e dados são ameaças em potencial até prova em contrário. O conceito evoluiu, mas sua ideia central continua a mesma: verificar a identidade de cada usuário, dispositivo ou processo antes de conceder acesso a recursos sensíveis.

A ideia por trás da confiança zero é que todos os usuários, estejam dentro ou fora de uma organização, sejam autenticados, autorizados e continuamente validados antes de receberem (ou manterem) acesso a aplicativos e dados. 

Os benefícios de adotar confiança zero incluem:

- Segurança muito aprimorada: a confiança zero reduz a superfície de ataque da sua organização ao limitar o acesso a recursos sensíveis.
- Risco reduzido: a confiança zero minimiza o risco de ameaças internas, movimentação lateral ou ataques externos.
- Requisitos de conformidade e regulatórios: a confiança zero está alinhada aos requisitos regulatórios de proteção e confidencialidade de dados.

Alguns dos casos de uso comuns para confiança zero são:

- Serviços em nuvem: usados para proteger aplicativos e dados baseados em nuvem.
- Dispositivos IoT: proteja seus dispositivos e redes IoT contra acesso não autorizado.
- Força de trabalho remota: garante a segurança organizacional quando os funcionários trabalham remotamente ou usam Wi-Fi público.
- Data centers: aprimora a segmentação e o isolamento da rede para recursos sensíveis.

É claro que a confiança zero também tem seus desafios. Para começar, ela exige infraestrutura, políticas e procedimentos complexos para gerenciar verificação de identidade, controle de acesso e monitoramento. Há também o fato de que a confiança zero pode exigir muitos recursos, além de ferramentas de segurança avançadas e expertise. Por fim, há a adoção pelos usuários, o que pode significar que os usuários da sua organização precisarão adotar processos diferentes de autenticação.

A confiança zero também emprega os seguintes conceitos:

- **Microsegmentação** é uma técnica de segmentação de rede usada para isolar recursos sensíveis da LAN, dividindo-os em zonas (ou segmentos) menores. Isso reduz a superfície de ataque e limita a movimentação lateral.
- **Acesso com privilégio mínimo**é uma abordagem para conceder a usuários e aplicativos apenas as permissões necessárias para realizar suas tarefas. Esse princípio visa minimizar o risco de acesso não autorizado, violações de dados e outros incidentes de segurança.

Veja como a confiança zero funciona: 

- Etapa 1 - Autenticação: usuários ou dispositivos tentam se autenticar por meio de um canal seguro (por exemplo, VPN).
- Etapa 2 - Autorização: o sistema verifica a identidade do usuário ou dispositivo em relação a credenciais conhecidas.
- Etapa 3 - Controle de acesso: se a autenticação for bem-sucedida, o acesso será concedido com base em políticas predefinidas e princípios de privilégio mínimo.
- Etapa 4 - Monitoramento e aplicação: a atividade da rede é monitorada continuamente, e regras de segurança são aplicadas para impedir acesso não autorizado.

Leia como a criptografia de ponta a ponta abre caminho para conhecimento zero neste [documento técnico](https://bitwarden.com/pt-br/resources/zero-knowledge-encryption-white-paper/).

## Exemplos de confiança zero

- Exemplo 1: Um funcionário trabalhando remotamente precisa acessar dados confidenciais de clientes. Em um modelo de confiança zero, sua identidade é verificada por MFA, a postura de segurança do dispositivo é checada e seu acesso é limitado apenas aos dados necessários, independentemente de sua localização física.
- Exemplo 2: Provedores de nuvem como AWS, Azure e Google Cloud usam princípios de confiança zero em seus modelos de segurança.
- Exemplo 3: Empresas segmentam suas redes em zonas menores com base na localização dos usuários e em seus direitos de acesso.
- Exemplo 4: Implementar soluções de segurança orientada por identidade que verificam a identidade dos usuários antes de conceder acesso a recursos confidenciais.
- Exemplo 5: Aplicar princípios de confiança zero a dispositivos de endpoint, como laptops, desktops e dispositivos móveis.

## Principais componentes de uma Arquitetura de Confiança Zero

Há cinco componentes principais em uma Arquitetura de Confiança Zero.

#### Gerenciamento de identidade

Este componente é responsável por verificar identidades de usuários e garantir que todos os usuários sejam autenticados e autorizados antes de acessar recursos confidenciais.

#### Políticas de controle de acesso

As políticas de controle de acesso estabelecem controles de acesso baseados em regras para garantir que apenas usuários confiáveis possam acessar recursos específicos.

#### Criptografia e gerenciamento de chaves

Isso garante a criptografia dos dados em trânsito e em repouso, usando práticas seguras de gerenciamento de chaves.

#### Segmentação de rede (microssegmentação)

A segmentação de rede divide a rede em segmentos menores e isolados com base nas funções dos usuários ou em tipos de dados confidenciais.

#### Segurança de endpoint

Este componente protege dispositivos de endpoint, como laptops, desktops e dispositivos móveis, com medidas de segurança robustas para evitar ataques de movimentação lateral.

#### Monitoramento e resposta a incidentes

Para alcançar a confiança zero, as equipes devem monitorar continuamente a atividade do sistema em busca de comportamentos suspeitos, além de ter um plano de resposta a incidentes para conter e remediar violações.

#### Autenticação multifator (MFA)

Adicionar MFA oferece às organizações uma camada extra de segurança ao exigir várias formas de verificação, reduzindo ainda mais o risco de acesso não autorizado, um componente essencial da confiança zero.

#### Criptografia de conhecimento zero

[Criptografia de conhecimento zero](https://bitwarden.com/pt-br/resources/zero-knowledge-encryption-white-paper/) garante que apenas o usuário tenha acesso aos seus dados. 

Sugestão: A criptografia de conhecimento zero mantém os dados privados para que apenas os usuários/sistemas pretendidos possam vê-los ou usá-los, sem expor os próprios dados em nenhum momento. Ela pode ser um componente importante em um sistema de confiança zero.

#### Acesso com privilégio mínimo

O acesso com privilégio mínimo concede aos usuários apenas o acesso mínimo necessário para realizar suas tarefas, limitando o possível dano de uma conta comprometida.

## Leia mais:

[Opções empresariais adicionais para controle de acesso com privilégio mínimo](https://bitwarden.com/pt-br/blog/additional-enterprise-options-for-least-privileged-access-control/#flexible-collections-options-for-your-organization/)

## Implementando um modelo de segurança de confiança zero: um roteiro passo a passo

Implementar confiança zero é uma jornada estratégica, não uma simples instalação/configuração de software, e esta seção orientará líderes de tecnologia no planejamento de uma abordagem em fases. Mesmo antes de decidir adotar a segurança de confiança zero, é importante ter um roteiro para o sucesso. Esse roteiro deve consistir em pelo menos cinco etapas, incluindo as seguintes.

#### Etapa 1: Avaliação e planejamento

Durante essa fase, é importante identificar as partes interessadas, incluindo equipes de TI, gestão e usuários, para garantir adesão e apoio ao novo modelo.

#### Etapa 2: Implementação de gerenciamento de identidade e acesso

Implante uma plataforma de gerenciamento de identidade que forneça criação de perfis de usuários em tempo real e inteligência de ameaças, como Okta Identity Cloud, CyberArk Idaptive, ForgeRock Identity Platform, SailPoint IdentityIQ ou IBM Identity and Access Management.

#### Etapa 3: Microssegmentação de rede

Implemente a segmentação de rede usando VLANs, sub-redes ou outras técnicas para isolar dados e/ou recursos confidenciais.

#### Etapa 4: Monitoramento contínuo e resposta a ameaças

Implemente um sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM) para monitorar eventos relacionados à segurança e fornecer análise e inteligência de ameaças em tempo real.

#### Etapa 5: Iteração e otimização

É importante entender que cada iteração de uma implantação de confiança zero evoluirá constantemente para acompanhar um cenário em contínua mudança. A cada nova iteração, a plataforma deve ser ainda mais otimizada por meio de análise e monitoramento.

Quando essas etapas estiverem concluídas, determine como sua equipe lidará com treinamento e testes, manutenção e segurança de endpoint.

#### Práticas recomendadas de confiança zero

- **Implemente a autenticação multifator (MFA)**: Sempre exija que os usuários forneçam várias formas de autenticação, como senhas, códigos de 2FA, tokens ou dados biométricos.
- **Use criptografia**: A criptografia de dados confidenciais, tanto em trânsito quanto em repouso, deve ser considerada indispensável para evitar acessos não autorizados.
- **Segmente o tráfego de rede**: Divida a rede em segmentos menores com base nas funções dos usuários ou nos níveis de sensibilidade para reduzir a superfície de ataque da organização.
- **Implemente controles de acesso**: Estabeleça controles de acesso baseados em regras para garantir que apenas usuários autorizados possam acessar recursos específicos na sua organização.
- **Monitore a atividade do sistema**: Monitore continuamente a atividade do sistema em busca de comportamentos suspeitos e garanta que as equipes responsáveis possam responder rapidamente a todo e qualquer possível incidente de segurança.
- **Use inteligência artificial (IA) e machine learning (ML)**: Aproveite ferramentas de segurança com tecnologia de IA/ML para detectar anomalias na atividade do sistema e prevenir possíveis violações, pois esses tipos de sistemas conseguem detectar problemas mais rapidamente do que pessoas.
- **Realize auditorias de segurança regulares**: Realize auditorias de segurança regulares para identificar vulnerabilidades e garantir a conformidade com as políticas organizacionais. Elas também são necessárias para iteração e otimização.

#### O que não fazer em zero trust

- **Não restrinja excessivamente o acesso**: Evite controles de acesso excessivamente restritivos que prejudiquem atividades legítimas dos usuários, como e-mail ou compartilhamento de arquivos, pois isso pode causar uma enxurrada de problemas.
- **Não negligencie a segurança de endpoints**: Falhas na segurança de endpoints podem levar a ataques de movimentação lateral pela sua LAN, além de violações de dados. Implemente medidas de segurança robustas em todos os endpoints.
- **Não ignore o gerenciamento de identidades**: O gerenciamento de identidades é fundamental para o zero trust, e não gerenciar identidades adequadamente pode resultar em acesso não autorizado a recursos confidenciais.
- **Não dependa apenas de firewalls**: Firewalls são uma boa fonte de segurança *básica* para dispositivos e redes, mas, quando usados isoladamente, podem não ser suficientes para impedir ameaças avançadas.
- **Não deixe de monitorar continuamente a postura de segurança da organização**: Zero trust é um conceito em constante evolução. Monitore continuamente a postura de segurança para manter a organização à frente de ameaças em constante evolução.
- **Não ignore os planos de resposta a incidentes**: É importante ter planos para quando incidentes ocorrerem. Se não houver um plano de resposta a incidentes em vigor, a organização pode demorar demais para responder a um evento.
- **Não negligencie a educação dos usuários**: Zero trust pode ser um conceito totalmente novo para os usuários, por isso é importante educá-los sobre essa nova política para ajudar a promover e facilitar a adoção.

## Leia mais:

[O ciclo de vida das credenciais: antecipe-se para fortalecer sua segurança e seu gerenciamento de acesso](https://bitwarden.com/pt-br/resources/credential-lifecycle-management/)

## A Bitwarden dá suporte a transformações zero trust

A Arquitetura Zero Trust oferece uma mudança fundamental na forma como as organizações abordam a cibersegurança, passando de uma visão centrada no perímetro para uma visão centrada nos dados. Líderes de tecnologia podem fortalecer significativamente sua postura de segurança ao entender seus princípios fundamentais e implementar recursos como autenticação multifator e criptografia de conhecimento zero.

O modelo de segurança zero trust ajuda a oferecer maior segurança, resposta a incidentes aprimorada, conformidade reforçada, menor risco de ameaças externas, redução dos custos de operações de segurança, melhor experiência do usuário, proteção mais eficaz contra ameaças avançadas, prevenção contra perda de dados e segurança preparada para o futuro.

Comece sua jornada zero trust hoje mesmo revisando sua infraestrutura de segurança atual e identificando áreas em que a Bitwarden pode aprimorar imediatamente sua postura de segurança.

Para começar, confira estes recursos:

- [Opções corporativas adicionais para controle de acesso com privilégio mínimo](https://bitwarden.com/pt-br/blog/additional-enterprise-options-for-least-privileged-access-control/#flexible-collections-options-for-your-organization/)
- [Acelere auditorias com o relatório de Acesso de Membros](https://bitwarden.com/pt-br/blog/accelerate-audits-with-the-member-access-report/)
- [O ciclo de vida das credenciais: antecipe-se para fortalecer sua segurança e seu gerenciamento de acesso](https://bitwarden.com/pt-br/resources/credential-lifecycle-management/)
- [Cada segundo conta: 9 dias para corrigir credenciais em risco é tempo demais](https://bitwarden.com/pt-br/resources/bitwarden-business-insights-report/)
- [Como a criptografia de ponta a ponta abre caminho para o conhecimento zero - White Paper](https://bitwarden.com/pt-br/resources/zero-knowledge-encryption-white-paper/)

## Tenha agora uma segurança de senhas poderosa e confiável. Escolha seu plano.

## Pessoal

### Acabou de começar?

*Obtenha o gerenciamento básico de senhas hoje mesmo. Sempre gratuito.*

[Criar conta gratuita](https://bitwarden.com/go/start-free/)

---

### Premium

**$1.65** *por mês*

*Cobrado anualmente por US$ 19,80*

Aproveite recursos premium

- Autenticador integrado
- Anexos de arquivos
- Acesso de emergência
- Bloqueador de phishing
- Relatórios de segurança e muito mais

Compartilhe itens do cofre com mais um usuário

[Criar conta Premium](https://bitwarden.com/go/start-premium/)

---

### Famílias

**$3.99** *por mês*

*Até 6 usuários, cobrado anualmente por US$ 47,88*

Proteja os logins da sua família

- 6 contas premium
- Compartilhamento ilimitado
- Coleções ilimitadas
- Armazenamento da organização

Compartilhe itens do cofre entre seis pessoas

[Iniciar teste gratuito do Families](https://bitwarden.com/go/start-families-trial/)

---

Preços exibidos em USD e baseados em uma assinatura anual. Impostos não incluídos.

## Empresas

### Teams

*Para equipes e empresas em crescimento que precisam avançar rapidamente.*

**$4** *por mês / por usuário, cobrado anualmente*

**Sem concessões**

Todos os recursos Premium, além de recursos avançados como:

- Compartilhe credenciais com segurança
- Audite atividades com logs de eventos
- Sincronize seu diretório existente
- Automatize o provisionamento com SCIM

[Iniciar teste gratuito](https://bitwarden.com/go/start-teams-trial/)

---

### Enterprise

*Para empresas que precisam de proteção e controle avançados.*

**$6** *por mês / por usuário, cobrado anualmente*

**Proteção máxima**

Todos os recursos Premium e Teams, além de recursos de nível empresarial como:

- Controle de acesso granular
- Integração com SSO sem senha
- Recuperação de conta fácil
- Flexibilidade para auto-hospedagem
- Remediação de riscos com o Access Intelligence [novo]
- Plano Families gratuito para todos os usuários

[Iniciar teste gratuito](https://bitwarden.com/go/start-enterprise-trial/)

---

### Fale com vendas

*Para grandes organizações, fale com um especialista sobre um plano sob medida e saiba como a Bitwarden pode:*

*por mês*

- Reduzir riscos de cibersegurança
- Aumentar a produtividade
- Integrar-se perfeitamente

A Bitwarden se adapta a empresas de qualquer porte para levar segurança de senhas à sua organização

[Fale com Vendas](https://bitwarden.com/talk-to-sales)

---

Preços exibidos em USD e com base em uma assinatura anual. Impostos não incluídos.