O Acesso à Rede Zero Trust (ZTNA – Zero Trust Network Access) é uma tecnologia que permite implementar o modelo de segurança Zero Trust em ambientes corporativos. Esse modelo parte do princípio de que nenhum usuário, dispositivo ou sistema deve ser confiável automaticamente, independentemente de estar dentro ou fora da rede da empresa.
No modelo tradicional de segurança de rede, os sistemas internos costumam confiar em usuários que já estão conectados à rede corporativa. No entanto, o modelo Zero Trust assume que ameaças podem existir tanto externamente quanto internamente. Por isso, cada tentativa de acesso deve passar por verificação rigorosa de identidade, dispositivo e contexto, antes de permitir o acesso a qualquer recurso.
- Leia também: Boletim de Segurança: As Principais Ameaças Cibernéticas Detectadas Esta Semana
- Leia também: Phishing Moderno: Como Escalar a Detecção no SOC e Evitar Roubo de Credenciais
- Leia também: Firewall de Nuvem vs Firewall Tradicional: Entenda as Diferenças
Dessa forma, o ZTNA atua como uma camada de proteção que controla e limita o acesso de usuários apenas aos aplicativos e recursos específicos que eles realmente precisam utilizar, reduzindo significativamente a superfície de ataque.
Como o ZTNA se relaciona com o perímetro definido por software (SDP)
O ZTNA possui semelhanças com o conceito de Perímetro Definido por Software (SDP – Software Defined Perimeter), que também busca controlar o acesso aos recursos de uma rede de forma mais restrita.
Em ambas as abordagens:
- Os dispositivos conectados não conseguem enxergar toda a rede.
- Apenas os recursos autorizados são visíveis para o usuário.
- O acesso é concedido sob demanda e com autenticação contínua.
Isso significa que aplicativos, servidores e serviços ficam invisíveis para usuários não autorizados, dificultando ataques como varreduras de rede ou movimentos laterais dentro da infraestrutura.
Um exemplo simples para entender o ZTNA
Imagine uma cidade onde todos os moradores recebem uma lista telefônica com os números de todos os outros residentes. Nesse cenário, qualquer pessoa pode ligar para qualquer outra, sem restrições.
Agora imagine um segundo cenário:
Todos os moradores possuem números de telefone não listados. Para ligar para alguém, é necessário receber diretamente o número da pessoa com quem deseja falar.
Esse segundo modelo traz várias vantagens:
- evita chamadas indesejadas;
- reduz chamadas para pessoas erradas;
- impede que terceiros mal-intencionados usem a lista para aplicar golpes.
O ZTNA funciona de forma semelhante ao segundo cenário. Em vez de números de telefone, os recursos da rede (como aplicativos, servidores e bancos de dados) ficam “ocultos” e acessíveis apenas mediante autorização específica.
Assim, cada usuário recebe acesso somente ao recurso necessário, e não à rede inteira.
Além disso, essas conexões são verificadas e validadas constantemente, garantindo que o acesso continue seguro durante toda a sessão.
ZTNA vs VPN: quais são as diferenças?
Muitas organizações ainda utilizam VPNs (Redes Privadas Virtuais) para permitir o acesso remoto à rede corporativa. Embora a VPN tenha sido uma solução eficiente por muitos anos, ela apresenta algumas limitações de segurança em comparação ao ZTNA.
Após um usuário se autenticar em uma VPN, ele geralmente recebe acesso à rede interna completa. Esse modelo é conhecido como “castelo e fosso”: uma vez dentro do castelo, o usuário pode circular livremente.
O ZTNA funciona de forma diferente.
Em vez de liberar o acesso à rede inteira, ele:
- concede acesso apenas ao aplicativo solicitado;
- bloqueia automaticamente todos os outros recursos;
- aplica o princípio do menor privilégio.
Isso reduz significativamente o risco de ataques internos ou movimentos laterais dentro da rede.
Diferenças técnicas entre ZTNA e VPN
Além da filosofia de acesso, existem diferenças técnicas importantes entre essas tecnologias.
Camada do modelo OSI
Muitas VPNs operam utilizando o protocolo IPsec na camada 3 (camada de rede) do modelo OSI.
O ZTNA geralmente opera na camada de aplicação, permitindo controles de acesso mais granulares.
Algumas VPNs também operam na camada de aplicação usando TLS, mas ainda assim fornecem acesso à rede inteira.
Instalação de software no dispositivo
VPNs baseadas em IPsec normalmente exigem a instalação de clientes VPN em todos os dispositivos.
No caso do ZTNA:
- algumas soluções exigem agente de endpoint;
- outras funcionam diretamente via navegador ou serviço em nuvem, sem instalação.
Infraestrutura necessária
VPNs tradicionais geralmente dependem de:
- servidores VPN locais
- firewalls de perímetro
- infraestrutura de rede corporativa
Já o ZTNA é frequentemente fornecido como serviço em nuvem, permitindo acesso seguro de qualquer lugar sem sobrecarregar a infraestrutura da empresa.
Nível de conectividade
A VPN cria um túnel criptografado para a rede inteira.
O ZTNA cria conexões criptografadas individuais entre o usuário e o aplicativo específico.
Isso significa que:
- VPN → acesso amplo à rede
- ZTNA → acesso restrito ao recurso autorizado
Por que as VPNs estão se tornando menos seguras?
Com o crescimento de modelos de trabalho remoto e políticas BYOD (Bring Your Own Device), as VPNs passaram a representar um risco maior.
Isso acontece porque:
- dispositivos pessoais podem estar comprometidos por malware;
- uma vez conectado à VPN, o dispositivo ganha acesso à rede inteira;
- invasores podem usar esse acesso para se movimentar lateralmente.
Por esses motivos, VPNs se tornaram alvos frequentes de ataques cibernéticos.
O ZTNA reduz esse risco ao limitar o acesso e validar continuamente a segurança do dispositivo.
Como funciona o ZTNA?
Embora as implementações variem entre fornecedores, as arquiteturas ZTNA compartilham alguns princípios fundamentais.
Separação entre acesso à rede e acesso ao aplicativo
No ZTNA, conectar-se à rede não significa automaticamente ter acesso aos aplicativos.
Cada aplicativo exige autorização própria.
Ocultação de endereços IP
Os recursos da rede permanecem invisíveis para usuários não autorizados.
Somente o aplicativo liberado aparece para o usuário.
Verificação da segurança do dispositivo
O ZTNA pode avaliar a postura de segurança do dispositivo, verificando fatores como:
- sistema operacional atualizado
- presença de antivírus
- status de segurança do endpoint
Caso o dispositivo não seja considerado seguro, o acesso pode ser bloqueado.
Avaliação de fatores contextuais
Diferente dos sistemas tradicionais que verificam apenas login e senha, o ZTNA pode considerar vários fatores adicionais:
- localização do usuário
- horário de acesso
- frequência das solicitações
- tipo de dispositivo
- sensibilidade do aplicativo solicitado
Uso da internet pública em vez de MPLS
Redes corporativas tradicionais costumam usar conexões MPLS privadas.
O ZTNA utiliza a internet pública com criptografia TLS, criando túneis seguros entre usuários e aplicativos.
Isso torna a arquitetura mais escalável e flexível.
Integração com IdP e SSO
A maioria das soluções ZTNA se integra com:
- Provedores de identidade (IdP)
- Single Sign-On (SSO)
O IdP gerencia identidades e permissões, enquanto o SSO permite que os usuários façam login uma única vez para acessar vários aplicativos autorizados.
ZTNA baseado em agente vs ZTNA baseado em serviço
Existem dois modelos principais de implementação.
ZTNA baseado em agente
Nesse modelo, um agente de software é instalado em todos os dispositivos dos usuários.
Esse agente:
- monitora a segurança do dispositivo
- autentica o usuário
- criar conexões seguras com os aplicativos
Esse modelo é útil quando a organização precisa de maior controle sobre dispositivos corporativos.
ZTNA baseado em serviço (cloud)
O ZTNA baseado em serviço funciona diretamente na nuvem, sem necessidade de instalar agentes.
Ele pode operar por meio de:
- navegadores
- gateways de acesso
- serviços de segurança em nuvem
Esse modelo é mais rápido de implementar e ideal para ambientes baseados em aplicações web e SaaS.
Considerações importantes ao escolher uma solução ZTNA
Antes de implementar ZTNA, as organizações devem considerar alguns fatores.
Especialização do fornecedor
Soluções ZTNA podem envolver diferentes áreas:
- gerenciamento de identidade (IAM)
- redes corporativas
- segurança de rede
Alguns fornecedores se especializam em apenas uma dessas áreas, enquanto outros oferecem plataformas integradas completas.
Nível de implementação
Algumas empresas já possuem tecnologias relacionadas, como:
- provedores de identidade
- ferramentas de proteção de endpoint
- autenticação multifator
Outras podem precisar construir toda a arquitetura Zero Trust do zero.
Suporte a aplicações legadas
Embora o ZTNA funcione muito bem com aplicações em nuvem, aplicativos legados locais podem exigir configurações adicionais para funcionar corretamente.
Integração com IdP
Alguns fornecedores exigem o uso de provedores de identidade específicos, enquanto outros são compatíveis com diversos sistemas.
Escolher soluções compatíveis com o IdP existente pode simplificar a implementação.
Diferença entre ZTNA e ZTAA
O Zero Trust Application Access (ZTAA) aplica os princípios Zero Trust diretamente ao acesso a aplicativos.
Enquanto o ZTNA controla o acesso à rede e aos recursos, o ZTAA se concentra especificamente em controlar o acesso aos aplicativos.
Ele realiza:
- verificação de identidade
- criptografia de conexões
- avaliação de cada solicitação de acesso individualmente
Assim como o ZTNA, o ZTAA pode funcionar com agente ou sem agente, dependendo da solução.
O papel do ZTNA em arquiteturas SASE
O ZTNA é um componente fundamental da arquitetura SASE (Secure Access Service Edge).
Dentro desse modelo, o ZTNA trabalha junto com outras tecnologias de segurança, como:
- CASB (Cloud Access Security Broker)
- SWG (Secure Web Gateway)
- SD-WAN
- NGFW (Next Generation Firewall)
Juntas, essas soluções fornecem segurança integrada para ambientes modernos, distribuídos e baseados em nuvem.
