Explorar o Zero Trust Access

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • O ZTA (Zero Trust Access, acesso de confiança zero) é um modelo de segurança que pressupõe que nenhum usuário ou dispositivo é confiável por padrão.

    O ZTA garante que todos os acessos a aplicações e dados sejam concedidos com base em privilégio mínimo, após a verificação da identidade do usuário e uma avaliação de risco.

    Política de acesso à sessão baseada em confiança zero

    ServiceNowA Política de acesso à sessão baseada em confiança zero permite que as organizações reduzam dinamicamente os privilégios do usuário em uma sessão da Web com base em vários fatores, incluindo endereço IP, localização, método de autenticação, funções do usuário, grupo, presença de MFA e atributos compartilhados pelo Provedor de identidade (IDP). Isso pode ajudar a proteger as organizações contra acessos não autorizados e violações de dados, mesmo quando usuários com altos privilégios acessam aplicativos a partir de dispositivos ou locais não confiáveis.

    Permite que os administradores de segurança reduzam o acesso dos usuários a sessões baseados em endereço IP, localidade, atributos do Provedor de identidade e atributos de usuários usando políticas de autenticação adaptável.

    Zero Trust Access e Autenticação adaptável
    Nota:
    • As configurações de Acesso à sessão só podem ser realizadas com a função security_admin. Promova sua função para security_admin.
    • O Acesso à sessão não é compatível com integrações.
    • O Acesso à sessão não tem impacto se a função reduzida ou limitada não for atribuída a um usuário. Nesse caso não haverá mudanças na sessão conectada. O usuário continuará acessando a instância com os privilégios atribuídos.
    • O Acesso à sessão não tem impacto enquanto o usuário estiver conectado à instância e, simultaneamente, o administrador configurar a política. O usuário precisa encerrar a sessão para que a política seja aplicada.
    • O acesso à sessão não é impactado quando o usuário está em uma rede confiável e, posteriormente, muda para uma VPN (mudança de local ou rede) em uma sessão.
    • O Acesso à sessão é imposto no momento do login. Mudanças nos parâmetros de risco durante a sessão não resultarão na redução do acesso. Por exemplo, um usuário que sair da rede corporativa para uma rede não confiável após estabelecer a sessão não terá seu acesso reduzido. Isso é, a menos que o usuário encerre a sessão e faça login novamente.
    • Recurso de acesso à sessão (acesso de confiança zero – ZTA), funções como snc_internal e snc_external não podem ser removidas.
    • O recurso Acesso à sessão (acesso de confiança zero - ZTA) não remove uma função de sys_user_has_role ou da tabela de associação de grupo de usuários. Com base na política de ZTA, ele estabelece a sessão do usuário com funções reduzidas ou limitadas.
    • Os scripts em execução no contexto do sistema não honrarão as funções de sessão ZTA.

    Caso de uso

    A seguir você encontrará alguns casos de uso do Zero Trust Access:

    • Reduza os privilégios com base no risco associado à sessão. Por exemplo, um usuário com função de executante que faz login de fora da rede confiável pode ser configurado para ter somente a função de solicitante para a sessão.
    • Reduza o acesso com base na resposta do IDP para uma sessão de usuário se ele estiver usando um dispositivo não confiável. Para obter mais informações, consulte Configurar atributo IDP para acesso à sessão.

    Esse rebaixamento de função garante que o usuário não tenha outras permissões em uma sessão. Quando o usuário fizer login de uma rede confiável, todas as permissões serão atribuídas a essa sessão.

    Várias condições de IP e várias atribuições de função ou grupo podem ser definidas como parte da política.

    Zero Trust Access - Dispositivos móveis

    Você pode usar a política Zero Trust Access - Acesso à sessão na política Autenticação adaptável para reduzir as funções ou os privilégios da sessão específica em dispositivos móveis.

    Você pode ativar o Zero Trust Access – Acesso à sessão em dispositivos móveis habilitando glide.authenticate.session_access.mobile.enabled na tabela de propriedades do sistema.

    Para usar o Zero Trust Access – Acesso à sessão em dispositivos móveis com os atributos de IDP, basta configurar o campo glide.authenticate.session_access.mobile.refresh_token_interval. Isso permitirá que os administradores controlem com eficácia o acesso à sessão com base no token de atualização.

    Para obter mais informações, consulte Configure Zero Trust Access for mobile.