Google detalha estratégia de segurança centrada em dispositivos
A Alphabet, empresa-mãe do Google, publicou detalhes sobre a sua nova abordagem de segurança corporativa chamada de BeyondCorp . A empresa adotou um modelo de proteção centrada em dispositivos, diferente da abordagem tradicional baseada na localização do usuário.
A empresa divulgou publicamente essa estratégia por meio de um documento, que aponta o que a empresa fez de diferente. A ideia da iniciativa é adotar uma alternativa para a abordagem convencional de segurança de perímetro usando firewalls.
Para acessar recursos corporativos nesse novo modelo, explica a empresa, é preciso do dispositivo do usuário e suas credenciais – independentemente da localização da rede do funcionário. Ou seja, o acesso do colaborador é feito da mesma forma ele estando dentro do escritório ou em uma cafeteria.
Com a iniciativa, o Google passou a manter o controle de dados de identificação sobre cada equipamento dos funcionários usado para acessar aplicações corporativas, juntamente com informações sobre se o software desses dispositivos foram corrigidos, ou mesmo se um dispositivo foi fisicamente reparado.
Todos os dispositivos são cadastrados em uma base. O sistema conta com um serviço de inventário que coleta, processa e publica mudanças continuamente sobre os dispositivos cadastrados. Dentre esses dados podem estar desde o sistema operacional, atualizações recentes e o nome do proprietário. Assim é possível definir o nível de confiança que um device pode receber e as premissões que o usuário terá.
Os autores da nova abordagem afirmaram que uma das principais lições aprendidas foi que a baixa qualidade dos dados na gestão de ativos pode fazer com que o acesso aos recursos corporativos seja acidentalmente perdido, já que o sistema não mais reconhece o dispositivo usado pelo usuário.
Problemas com a qualidade dos dados podem acontecer com uma certa frequência durante reparos de dispositivos – quando partes físicas ou componentes de um aparelho são substituídos ou movidos entre devices. Por conta disso, o Google teve de implementar a qualidade dos dados de seu inventário por conta da validação automatizada de entrada que pode identificar ou mitigar o erro humano em como ela é inserido, de acordo com o documento.
Modelo
Se uma empresa tiver interesse em endereçar os desafios relacionados à gestão de dados de dispositivos provenientes de diferentes devices, essa nova abordagem do Google pode ser um caminho a ser seguido.
De acordo com Avivah Litan, vice-presidente e analista distinto do Gartner, os dispositivos são a nova identidade do usuário que precisam receber atenção para que haja o acesso seguro. “É inteligente criar políticas de acesso e controlar os motores por trás dos dispositivos inventariados, e avaliar continuamente o nível de risco e a confiança de um device antes de conceder seu acesso a diferentes recursos”, disse ele ao CIO Journal.