DADO CRÍTICO: 88% das organizações admitem ter enfrentado desafios significativos na implementação de Zero Trust devido à falta de interoperabilidade entre ferramentas de segurança (Accenture).

Zero Trust ajuda as organizações a reduzir sua superfície de ataque e responder a ameaças mais rapidamente, mas muitas ainda lutam para implementá-lo porque suas ferramentas de segurança não compartilham sinais de forma confiável. Quando os produtos não conseguem se comunicar, as decisões de acesso em tempo real falham.

O Shared Signals Framework (SSF) visa corrigir isso com uma maneira padronizada de trocar eventos de segurança. No entanto, a adoção é desigual. Por exemplo, o Kolide Device Trust atualmente não suporta SSF.

Scott Bean, Engenheiro Sênior de IAM e Segurança na MongoDB, propôs uma maneira de resolver o problema, dando às equipes uma forma fácil e intuitiva de operacionalizar o SSF em todo o seu ambiente.

Neste guia, compartilharemos uma visão geral do fluxo de trabalho, além de instruções passo a passo para colocá-lo em funcionamento.

O Problema - Ferramentas de IAM não suportam SSF

Um requisito fundamental do Zero Trust são sinais contínuos e confiáveis sobre a postura do usuário e do dispositivo. Mas muitas ferramentas não suportam SSF para o Continuous Access Evaluation Protocol (CAEP), dificultando o compartilhamento ou ação com base nesses sinais.

Desafios Comuns:

  1. Ferramentas não possuem suporte nativo ao SSF
  2. Sinais exigem enriquecimento ou correlação
  3. Gerenciamento de endpoints SSF e tratamento de tokens adicionam sobrecarga

Sem essa interoperabilidade, as organizações lutam para aplicar políticas consistentes — e em casos como o Kolide Device Trust, eventos críticos do dispositivo nunca alcançam sistemas como o Okta.

A Solução - Um Transmissor SSF que Transforma Problemas do Kolide em Eventos CAEP

Como o SSF é construído sobre requisições HTTPS, o padrão OpenID funciona com a Ação HTTP do Tines.

Scott desenvolveu um novo fluxo de trabalho integrando o Kolide Device Trust com o Tines, permitindo que ele envie sinais SSF para o Okta. Se um dispositivo estiver fora de conformidade, o Kolide envia uma mensagem para o fluxo de trabalho via webhook. O Tines enriquece o sinal, garante que possa ser vinculado a um usuário, constrói um Security Event Token (SET) e, em seguida, o envia para o Okta.

// Estrutura do Security Event Token (SET) { "iss": "https://ssf-transmitter.example.com", "iat": 1639951200, "jti": "urn:uuid:a5f0b8c1-d4e5-f6a7-b8c9-d0e1f2a3b4c5", "aud": "https://example.okta.com", "events": { "https://schemas.openid.net/secevent/caep/event-type/device-compliance-change": { "subject": { "format": "email", "email": "user@example.com" }, "device_id": "device-12345", "compliance_status": "non-compliant", "reason": "disk_encryption_disabled" } } }

Dessa forma, o Tines atua como o tecido conjuntivo que faz o SSF funcionar em todo o ambiente de TI distribuído, mesmo que ferramentas individuais não suportem nativamente o padrão.

O que o Tines pode fazer:

  • Receber sinais do Kolide (e ferramentas semelhantes) via webhook quando um dispositivo se torna fora de conformidade
  • Enriquecer e correlacionar esses sinais (ex: mapear dispositivo para usuário)
  • Gerar e assinar SETs que atendem à especificação SSF
  • Entregá-los ao Okta (e outros provedores de identidade) para aplicar Zero Trust
  • Hospedar endpoints de metadados SSF necessários usando prefixos de caminho de API, dando aos sistemas consumidores um local compatível com os padrões para buscar chaves e descriptografar tokens

Visão Geral do Fluxo de Trabalho

Benefícios: Tudo isso torna a aplicação do Zero Trust mais rápida, confiável e muito mais fácil de operacionalizar. As equipes de TI são capacitadas com avaliação de risco contínua e em tempo real dos dispositivos, resposta mais rápida a ameaças e orquestração de políticas mais flexível.

Ferramentas Necessárias:

Tines Kolide Okta SSF CAEP

1. Gerar e Armazenar Chaves de Assinatura SET

As SETs são JSON Web Tokens assinados. O fluxo cria um par de chaves RSA e o converte para o formato JWK, publicando a chave pública para os receptores SSF validarem as assinaturas SET.

# Gerar par de chaves RSA openssl genrsa -out private.key 2048 openssl rsa -in private.key -pubout -out public.key

2. Expor API do Transmissor SSF

Os receptores SSF (como Okta) precisam de endpoints específicos: .well-known/sse-configuration e um endpoint JWK que expõe a chave pública.

// Endpoint .well-known/sse-configuration { "issuer": "https://ssf-transmitter.example.com", "jwks_uri": "https://ssf-transmitter.example.com/jwks", "delivery_methods_supported": ["https://schemas.openid.net/secevent/risc/delivery-method/push"], "critical_subject_members": ["email"] }

3. Criar, Assinar e Enviar SETs a partir de Eventos do Kolide

Recebe eventos de problemas do Kolide via webhook, busca metadados do dispositivo e usuário, constrói um SET para um evento de alteração de conformidade do dispositivo e assina o token com a chave privada.

# Webhook do Kolide para o Tines POST https://tines-instance.example.com/webhook/kolide Content-Type: application/json X-Kolide-Signature: {signature} { "event": "device.compliance_change", "device_id": "device-12345", "user_email": "user@example.com", "status": "non-compliant", "reason": "os_version_outdated" }

Credenciais Necessárias

  • Tines API Key: Escopo "Team" com função "Editor"
  • Kolide API Key: Apenas leitura
  • Kolide Webhook Signing Secret: Para validação de webhooks
  • Domínio Okta: exemplo.okta.com, exemplo.oktapreview.com ou domínio personalizado

Registrando o Transmissor no Okta

Uma vez que a API esteja ativa, as equipes podem registrar um novo receptor SSF no Okta em:

Security → Device Integrations → Receive shared signals

E criar um novo stream usando a URL da API e o novo endpoint .well-known.

Por que Isso é Importante para Zero Trust

A implementação bem-sucedida do Zero Trust requer:

  1. Sinais Contínuos: Monitoramento constante da postura de segurança
  2. Decisões em Tempo Real: Acesso baseado no contexto atual, não em credenciais estáticas
  3. Orquestração Automática: Resposta automática a mudanças no nível de risco

Caso de Uso Real:

Quando um funcionário tenta acessar um recurso crítico usando um dispositivo sem criptografia de disco, o Kolide detecta, envia para o Tines via webhook, que enriquece com informações do usuário, cria um SET e envia para o Okta, que imediatamente revoga o acesso até que o dispositivo seja corrigido.

Considerações de Implementação

Pontos de Atenção:

  • Gerenciamento de Chaves: Rotação regular de chaves de assinatura SET
  • Logging e Auditoria: Log completo de todos os eventos SSF
  • Resiliência: Tratamento adequado de falhas de rede
  • Conformidade: Atenção a requisitos regulatórios como GDPR, HIPAA

VEREDITO: O Shared Signals Framework representa um avanço crucial na implementação prática do Zero Trust. Ao resolver o problema de interoperabilidade entre ferramentas de segurança através de uma abordagem baseada em padrões abertos, organizações podem finalmente alcançar a visão de acesso contínuo avaliado e adaptativo. A solução apresentada por Scott Bean usando Tines como middleware SSF fornece um caminho prático e escalável para organizações que lutam com a fragmentação de seus ecossistemas de segurança.

zero-trust shared-signals-framework ssf caep iam identity-management tines kolide okta automation security
1.9k visualizações 22 comentários 45 compartilhamentos ALTA RELEVÂNCIA