Com relação às vantagens do modelo Enclave-Based Deployment ...

Alternativa correta: B

Vamos analisar cada afirmativa em detalhe para entender a questão e o porquê da alternativa correta ser a II apenas.

I. Requer mais PEPs implantados, porém tem menos conflitos com recursos fim-a-fim.

Essa afirmativa sugere que a implantação baseada em enclave exigiria mais PEPs (Policy Enforcement Points), o que não necessariamente é uma vantagem. O aumento do número de PEPs pode levar a mais complexidade e gerenciamento, o que não é ideal. Portanto, essa afirmativa é incorreta.

II. Tem bom desempenho com cargas de trabalho efêmeras e ambientes bem dinâmicos.

Esse ponto destaca uma vantagem real do modelo baseado em enclave. Ambientes dinâmicos e cargas de trabalho efêmeras se beneficiam da flexibilidade e do isolamento proporcionado pelo modelo de enclaves. Portanto, essa afirmativa é correta.

III. As DMZs podem ser executadas na borda de uma PEP servindo como caminho seguro de roteamento.

Essa afirmativa confunde o conceito de DMZs (Demilitarized Zones) e PEPs. No modelo Zero Trust, as DMZs tradicionais não são usadas da mesma maneira, e atribuir a função de roteamento seguro diretamente a um PEP não é uma prática comum ou recomendada. Portanto, essa afirmativa é incorreta.

Explicação adicional sobre o tema:

A Arquitetura Zero Trust é um modelo de segurança que presume que as ameaças podem vir de dentro ou fora da rede. Portanto, nenhuma entidade, seja ela interna ou externa à organização, é automaticamente confiável. O Enclave-Based Deployment é uma abordagem onde sistemas e dados são isolados em enclaves, proporcionando maior controle e segurança, especialmente em ambientes altamente dinâmicos.

Quando falamos em PEPs (Policy Enforcement Points), nos referimos a componentes que aplicam as políticas de segurança definidas. Aumentar o número de PEPs pode aumentar a complexidade do sistema.

Portanto, a afirmativa II está correta ao ressaltar a eficiência do modelo de enclaves em lidar com cargas de trabalho efêmeras e ambientes dinâmicos.

O modelo de implementação baseado em enclave no contexto da ZTA envolve a organização de recursos e controles de segurança em enclaves ou zonas isoladas. Os enclaves são domínios de segurança independentes e discretos que abrigam conjuntos específicos de recursos, aplicativos e serviços. Este modelo visa compartimentalizar e isolar diferentes componentes da rede de uma organização, minimizando efetivamente a superfície de ataque e reduzindo o impacto de falhas de segurança.

Do NIST (p.19): Policy enforcement point (PEP): This system is responsible for enabling, monitoring, and eventually terminating connections between a subject and an enterprise resource. The PEP communicates with the PA to forward requests and/or receive policy updates from the PA. This is a single logical component in ZTA but may be broken into two different components: the client (e.g., agent on a laptop) and resource side (e.g., gateway component in front of resource that controls access) or a single portal component that acts as a gatekeeper for communication paths. Beyond the PEP is the trust zone hosting the enterprise resource.

I. Requer mais PEPs implantados, porém tem menos conflitos com recursos fim-a-fim.

ERRADO

Do que entendo do modelo, a ideia é que exista um PEP por fronteira e, com mais PEPs, há mais chances de conflito.

II. Tem bom desempenho com cargas de trabalho efêmeras e ambientes bem dinâmicos.

CORRETO

Creio que seja necessário um pouco mais de contexto para afirmar isso, mas o modelo parece trabalhar bem com automação e integração com ferramentas de orquestração.

III. As DMZs podem ser executados na borda de uma PEP servindo como caminho seguro de roteamento.

ERRADO

PEPs servem para fazer valer a policy no enclave. Eles podem conter uma DMZ ou estar dentro de uma. Talvez o erro seja considerar que necessariamente a DMZ seja um caminho seguro para roteamento.

FONTE:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

https://www.securitymagazine.com/articles/96025-zero-trust-architecture-zta-modern-work-anywhere-architecture-without-vpn

Agradeço quem puder corrigir/complementar o comentário