Zero Trust tornou-se o termo mais utilizado no marketing de cibersegurança. Cada fornecedor afirma oferecê-lo. Cada framework o referencia. Mas depois de implementar arquiteturas Zero Trust em mais de 170 organizações sul-africanas nos últimos seis anos, aprendemos que a realidade é muito mais matizada do que qualquer apresentação sugere.
Por Neil Beulecke, Diretor-Geral — Layer7 Networking
Começar pela Identidade, Não pela Rede
O erro mais comum que as organizações cometem é tratar o Zero Trust como um projeto de segmentação de rede. Não é. O Zero Trust é fundamentalmente um problema de identidade.
Antes de segmentar uma única VLAN, precisa de responder: quem são os seus utilizadores? Que dispositivos utilizam? Que aplicações precisam? Qual é o seu perfil de risco? Se não consegue responder a estas perguntas com confiança, a sua segmentação será baseada em suposições — e as suposições são o que os atacantes exploram.
Na prática, isto significa que o seu primeiro investimento deve ser em governação de identidade: um fornecedor de identidade moderno com políticas de acesso condicional, MFA resistente a phishing e verificação de confiança de dispositivos. Acerte nisto, e as suas decisões de segmentação subsequentes estarão fundamentadas na realidade em vez de suposições.
Segmentar Antes de Encriptar
Vemos organizações a apressarem-se a implementar túneis encriptados e soluções de acesso privado antes de terem estabelecido uma segmentação de rede significativa. O resultado é tráfego encriptado a fluir através de uma rede plana — o que é discutivelmente pior do que a posição inicial, porque agora perdeu-se a visibilidade sobre o tráfego lateral.
A sequência correta:
- Descobrir e classificar — compreenda o que está na sua rede, para onde os dados fluem e quais são as dependências.
- Segmentar — crie fronteiras lógicas entre cargas de trabalho, ambientes e níveis de confiança. A micro-segmentação é ideal, mas a macro-segmentação (separar produção de desenvolvimento, OT de IT, gestão de tráfego de utilizadores) entrega 80% do valor.
- Aplicar política — defina que tráfego é permitido entre segmentos e negue tudo o resto.
- Encriptar — depois de ter visibilidade e controlo, adicione encriptação para fluxos de dados sensíveis.
Não Tentar Tudo de Uma Vez
O Zero Trust é uma jornada, não um destino. As organizações que tentam implementar tudo simultaneamente — identidade, segmentação, encriptação, verificação contínua, confiança de dispositivos, acesso ao nível da aplicação — normalmente paralisam na fase de planeamento e não implementam nada.
A nossa abordagem faseada entrega redução de risco mensurável em cada etapa:
Fase 1 (Meses 1-3): Base de identidade. Implementar fornecedor de identidade moderno, implementar acesso condicional, distribuir MFA resistente a phishing para contas privilegiadas. Resultado mensurável: eliminação da autenticação apenas por password para acesso administrativo.
Fase 2 (Meses 3-6): Visibilidade de rede. Implementar deteção e resposta de rede, estabelecer padrões de tráfego de base, identificar shadow IT e fluxos de dados não autorizados. Resultado mensurável: inventário completo dos padrões de tráfego este-oeste.
Fase 3 (Meses 6-12): Macro-segmentação. Separar zonas de ativos críticos, implementar políticas de firewall entre segmentos, implementar políticas conscientes de aplicações. Resultado mensurável: movimento lateral entre segmentos requer aprovação explícita de política.
Fase 4 (Meses 12-18): Micro-segmentação e verificação contínua. Segmentação ao nível da carga de trabalho, avaliação contínua de postura, aplicação automatizada de políticas. Resultado mensurável: raio de explosão de um endpoint comprometido limitado ao seu grupo de carga de trabalho imediato.
Erros Comuns que Vemos
Comprar um "produto Zero Trust". O Zero Trust é uma arquitetura, não um produto. Qualquer fornecedor que lhe venda uma caixa rotulada "Zero Trust" está a vender-lhe um componente na melhor das hipóteses, e marketing na pior. Precisa de uma estratégia de arquitetura, não de uma ordem de compra.
Ignorar sistemas legados. A sua arquitetura Zero Trust deve ter em conta sistemas que não suportam autenticação moderna — ambientes OT, aplicações legadas, mainframes. Envolvê-los em controlos compensatórios é essencial; ignorá-los cria lacunas que os atacantes encontrarão.
Esquecer a experiência do utilizador. Se o Zero Trust dificulta o trabalho das pessoas, elas encontrarão alternativas. Shadow IT, dispositivos pessoais, partilha de credenciais — tudo o que está a tentar prevenir. Cada controlo de segurança deve ser avaliado face à fricção que introduz.
Sem métricas. Se não consegue medir a sua maturidade Zero Trust, não consegue demonstrar progresso ao conselho, justificar investimento continuado ou identificar lacunas. Defina as suas métricas antes de começar: tempo médio para detetar movimento lateral, percentagem de aplicações atrás de proxies conscientes de identidade.
O Contexto Sul-Africano
A adoção do Zero Trust na África do Sul enfrenta desafios específicos. A escassez de competências significa que as organizações nem sempre conseguem equipas dedicadas ao Zero Trust. Os cortes de energia criam preocupações de fiabilidade para sistemas de verificação contínua. As restrições orçamentais forçam decisões de priorização mais difíceis. E o panorama regulatório está a evoluir.
Estas não são razões para evitar o Zero Trust — são razões para ser pragmático na implementação. Comece pelas áreas de maior risco, entregue melhorias mensuráveis em ciclos de 90 dias e construa conhecimento institucional ao longo do percurso.
A Layer7 Networking implementou arquiteturas Zero Trust para organizações nos setores de serviços financeiros, mineração, retalho e governo. A nossa abordagem faseada entrega redução de risco desde o primeiro dia, não no décimo oitavo mês.