Com relação às vantagens do modelo Enclave-Based Deployment ...
I. Requer mais PEPs implantados, porém tem menos conflitos com recursos fim-a-fim. II. Tem bom desempenho com cargas de trabalho efêmeras e ambientes bem dinâmicos. III. As DMZs podem ser executados na borda de uma PEP servindo como caminho seguro de roteamento.
Está correto o que se afirma em
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: B
Vamos analisar cada afirmativa em detalhe para entender a questão e o porquê da alternativa correta ser a II apenas.
I. Requer mais PEPs implantados, porém tem menos conflitos com recursos fim-a-fim.
Essa afirmativa sugere que a implantação baseada em enclave exigiria mais PEPs (Policy Enforcement Points), o que não necessariamente é uma vantagem. O aumento do número de PEPs pode levar a mais complexidade e gerenciamento, o que não é ideal. Portanto, essa afirmativa é incorreta.
II. Tem bom desempenho com cargas de trabalho efêmeras e ambientes bem dinâmicos.
Esse ponto destaca uma vantagem real do modelo baseado em enclave. Ambientes dinâmicos e cargas de trabalho efêmeras se beneficiam da flexibilidade e do isolamento proporcionado pelo modelo de enclaves. Portanto, essa afirmativa é correta.
III. As DMZs podem ser executadas na borda de uma PEP servindo como caminho seguro de roteamento.
Essa afirmativa confunde o conceito de DMZs (Demilitarized Zones) e PEPs. No modelo Zero Trust, as DMZs tradicionais não são usadas da mesma maneira, e atribuir a função de roteamento seguro diretamente a um PEP não é uma prática comum ou recomendada. Portanto, essa afirmativa é incorreta.
Explicação adicional sobre o tema:
A Arquitetura Zero Trust é um modelo de segurança que presume que as ameaças podem vir de dentro ou fora da rede. Portanto, nenhuma entidade, seja ela interna ou externa à organização, é automaticamente confiável. O Enclave-Based Deployment é uma abordagem onde sistemas e dados são isolados em enclaves, proporcionando maior controle e segurança, especialmente em ambientes altamente dinâmicos.
Quando falamos em PEPs (Policy Enforcement Points), nos referimos a componentes que aplicam as políticas de segurança definidas. Aumentar o número de PEPs pode aumentar a complexidade do sistema.
Portanto, a afirmativa II está correta ao ressaltar a eficiência do modelo de enclaves em lidar com cargas de trabalho efêmeras e ambientes dinâmicos.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
O modelo de implementação baseado em enclave no contexto da ZTA envolve a organização de recursos e controles de segurança em enclaves ou zonas isoladas. Os enclaves são domínios de segurança independentes e discretos que abrigam conjuntos específicos de recursos, aplicativos e serviços. Este modelo visa compartimentalizar e isolar diferentes componentes da rede de uma organização, minimizando efetivamente a superfície de ataque e reduzindo o impacto de falhas de segurança.
Do NIST (p.19): Policy enforcement point (PEP): This system is responsible for enabling, monitoring, and eventually terminating connections between a subject and an enterprise resource. The PEP communicates with the PA to forward requests and/or receive policy updates from the PA. This is a single logical component in ZTA but may be broken into two different components: the client (e.g., agent on a laptop) and resource side (e.g., gateway component in front of resource that controls access) or a single portal component that acts as a gatekeeper for communication paths. Beyond the PEP is the trust zone hosting the enterprise resource.
I. Requer mais PEPs implantados, porém tem menos conflitos com recursos fim-a-fim.
ERRADO
Do que entendo do modelo, a ideia é que exista um PEP por fronteira e, com mais PEPs, há mais chances de conflito.
II. Tem bom desempenho com cargas de trabalho efêmeras e ambientes bem dinâmicos.
CORRETO
Creio que seja necessário um pouco mais de contexto para afirmar isso, mas o modelo parece trabalhar bem com automação e integração com ferramentas de orquestração.
III. As DMZs podem ser executados na borda de uma PEP servindo como caminho seguro de roteamento.
ERRADO
PEPs servem para fazer valer a policy no enclave. Eles podem conter uma DMZ ou estar dentro de uma. Talvez o erro seja considerar que necessariamente a DMZ seja um caminho seguro para roteamento.
FONTE:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
https://www.securitymagazine.com/articles/96025-zero-trust-architecture-zta-modern-work-anywhere-architecture-without-vpn
Agradeço quem puder corrigir/complementar o comentário
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo