O Acesso à Rede Zero Trust (ZTNA) é a tecnologia que permite implementar um modelo de segurança Zero Trust. Esse modelo de segurança de TI parte do princípio de que ameaças podem existir tanto dentro quanto fora da rede corporativa.
Por esse motivo, o Zero Trust exige verificação rigorosa de identidade e contexto para cada usuário e cada dispositivo antes de permitir o acesso a recursos internos.
- Leia também: Codex para Windows: OpenAI disponibiliza agente de IA para programadores
- Leia também: O perigo de usar IA para criar ou guardar senhas
- Leia também: PDF malicioso: como hackers usam documentos para roubar seus dados
O ZTNA é semelhante à abordagem de perímetro definido por software (SDP) utilizada para controlar o acesso à rede. Nesse modelo, os dispositivos conectados não conseguem visualizar todos os recursos da rede. Eles só conseguem acessar os aplicativos ou serviços que foram explicitamente autorizados.
Para entender melhor, imagine dois cenários.
No primeiro cenário, cada residente de uma cidade recebe uma lista telefônica com os números de todos os outros moradores. Qualquer pessoa pode ligar para qualquer número.
Agora imagine um segundo cenário. Nesse caso, todos os números de telefone são privados. Para fazer uma ligação, o residente precisa primeiro obter o número da pessoa com quem deseja falar.
Esse segundo cenário oferece diversas vantagens:
- evita chamadas indesejadas
- reduz ligações por engano
- impede que pessoas mal-intencionadas usem a lista para enganar moradores
O funcionamento do ZTNA se parece com esse segundo exemplo. Porém, em vez de números de telefone, o sistema trabalha com endereços IP, aplicativos e serviços ocultos.
O ZTNA cria conexões individuais entre usuários e os recursos que eles precisam acessar. É como se duas pessoas trocassem números diretamente. Entretanto, diferentemente de uma simples troca de números, as conexões ZTNA são verificadas continuamente e recriadas periodicamente, garantindo que o acesso continue seguro.
ZTNA x VPN
Muitas organizações ainda utilizam VPNs (Redes Privadas Virtuais) para controlar o acesso remoto à rede corporativa.
Quando um usuário se conecta a uma VPN, ele normalmente recebe acesso amplo à rede inteira. Esse modelo é frequentemente chamado de modelo “castelo e fosso”, no qual tudo dentro da rede é considerado confiável.
O ZTNA funciona de forma diferente. Ele concede acesso apenas ao aplicativo específico solicitado, enquanto bloqueia o acesso a todos os outros recursos por padrão.
Além dessa diferença conceitual, existem também diferenças técnicas importantes entre ZTNA e VPN.
Camada do modelo OSI
Muitas VPNs utilizam o protocolo IPsec, que opera na camada 3 do modelo OSI (camada de rede).
Já o ZTNA normalmente opera na camada de aplicação, onde é possível aplicar controles de acesso mais detalhados.
Algumas VPNs modernas também utilizam TLS na camada de aplicação, mas o ZTNA foi projetado desde o início para trabalhar com esse modelo.
Instalação de software no dispositivo
As VPNs baseadas em IPsec normalmente exigem a instalação de um cliente VPN em cada dispositivo do usuário.
No ZTNA, essa instalação pode ou não ser necessária, dependendo da arquitetura utilizada.
Infraestrutura e hardware
As VPNs geralmente dependem de servidores VPN instalados localmente dentro da infraestrutura da empresa. Os dispositivos dos usuários se conectam a esses servidores, normalmente passando pelo firewall corporativo.
Já o ZTNA costuma ser oferecido como um serviço em nuvem, permitindo que os usuários se conectem de qualquer lugar sem sobrecarregar a rede corporativa.
Nível de conectividade
O ZTNA cria conexões criptografadas individuais entre o dispositivo do usuário e um aplicativo específico.
As VPNs, por outro lado, fornecem acesso criptografado a toda a rede interna. Assim que o endereço IP do usuário entra na rede, ele pode potencialmente acessar vários outros endereços internos.
Precisão no controle de acesso
As VPNs tratam muitos usuários e dispositivos de maneira semelhante, independentemente do contexto ou do nível de risco.
Isso se torna especialmente problemático em ambientes BYOD (Bring Your Own Device), nos quais os usuários utilizam dispositivos pessoais para acessar recursos corporativos.
Se um desses dispositivos estiver comprometido por malware, ele pode infectar toda a rede corporativa.
Por esse motivo, as VPNs se tornaram alvos frequentes de ataques cibernéticos.
Como funciona o ZTNA
Cada organização pode implementar o ZTNA de maneira ligeiramente diferente. No entanto, alguns princípios fundamentais permanecem os mesmos em todas as arquiteturas Zero Trust.
Acesso ao aplicativo em vez de acesso à rede
O ZTNA separa o acesso ao aplicativo do acesso à rede.
Conectar-se à rede não garante automaticamente acesso aos aplicativos. Cada solicitação de acesso é avaliada individualmente.
Endereços IP ocultos
O ZTNA não expõe os endereços IP internos da rede.
Isso significa que grande parte da infraestrutura permanece invisível para dispositivos conectados. O usuário só consegue ver o aplicativo ou serviço autorizado.
Segurança do dispositivo
O ZTNA também avalia o nível de segurança do dispositivo utilizado para acessar a rede.
Esse processo pode incluir:
- verificação do sistema operacional
- análise de configurações de segurança
- avaliação de softwares instalados
- análise do tráfego de rede do dispositivo
Avaliação de fatores contextuais
Ao contrário dos modelos tradicionais de controle de acesso, o ZTNA pode avaliar diversos fatores adicionais, como:
- localização do usuário
- horário do acesso
- frequência das solicitações
- tipo de dispositivo utilizado
- sensibilidade dos dados solicitados
Mesmo que o usuário esteja autenticado, o sistema pode negar o acesso se o dispositivo ou o contexto forem considerados de risco.
Uso da internet em vez de MPLS
O ZTNA utiliza conexões criptografadas pela internet usando TLS.
As redes corporativas tradicionais frequentemente dependem de conexões MPLS privadas para interligar escritórios e data centers.
No modelo ZTNA, a comunicação ocorre pela internet pública com criptografia forte, criando pequenos túneis seguros entre usuários e aplicativos específicos.
Integração com IdP e SSO
A maioria das soluções ZTNA se integra a:
- provedores de identidade (IdP)
- plataformas de logon único (SSO)
O SSO permite que o usuário faça login uma única vez para acessar vários aplicativos.
Já o IdP armazena as identidades dos usuários e determina quais privilégios cada usuário possui.
ZTNA baseado em agente x ZTNA baseado em serviço
Existem dois modelos principais de implementação de ZTNA.
ZTNA baseado em agente
Nesse modelo, é necessário instalar um agente de software em cada dispositivo endpoint.
Esse agente coleta informações sobre o dispositivo e aplica políticas de segurança antes de permitir o acesso.
ZTNA baseado em serviço (nuvem)
No modelo baseado em serviço, o ZTNA funciona como uma plataforma em nuvem.
Nesse caso, não é necessário instalar um agente no dispositivo do usuário.
Cada organização deve avaliar qual modelo atende melhor às suas necessidades.
Por exemplo:
- ambientes com muitos dispositivos não gerenciados podem se beneficiar de agentes
- empresas que utilizam muitos aplicativos web podem preferir soluções baseadas em nuvem
Também é importante considerar que soluções baseadas em serviço se integram facilmente a aplicativos em nuvem, mas podem exigir ajustes adicionais para suportar infraestruturas locais.
Caso todo o tráfego precise passar pela nuvem antes de retornar ao ambiente local, a performance e a confiabilidade podem ser afetadas.
Outras considerações importantes sobre soluções ZTNA
Antes de adotar uma solução ZTNA, as organizações devem avaliar alguns fatores importantes.
Especialização do fornecedor
Historicamente, três áreas de tecnologia evoluíram separadamente:
- gerenciamento de identidade e acesso (IAM)
- redes corporativas
- segurança de rede
Por isso, muitos fornecedores de ZTNA se especializam apenas em uma dessas áreas.
O ideal é escolher um fornecedor cuja especialização esteja alinhada às necessidades da organização.
Nível de implementação existente
Algumas empresas já possuem tecnologias relacionadas ao Zero Trust, como:
- provedores de identidade
- plataformas de proteção de endpoint
- ferramentas de gerenciamento de acesso
Nesse caso, a empresa pode apenas expandir a arquitetura existente.
Outras organizações precisam construir toda a arquitetura Zero Trust do zero.
Suporte para aplicativos legados
Muitas empresas ainda dependem de aplicativos locais antigos (legados).
Embora o ZTNA funcione muito bem com aplicativos em nuvem, aplicações legadas podem exigir configurações adicionais.
Integração com IdP
Algumas soluções ZTNA funcionam apenas com determinados provedores de identidade.
Isso pode obrigar empresas a migrar seus bancos de dados de identidade.
Outros fornecedores oferecem soluções independentes de IdP, capazes de integrar-se com diferentes plataformas.
Diferença entre ZTNA e ZTAA
O Zero Trust Application Access (ZTAA) aplica os mesmos princípios do ZTNA, mas com foco específico no acesso a aplicativos.
As soluções ZTAA verificam cada solicitação de acesso a aplicativos individualmente.
Para isso, elas utilizam:
- integração com IdP
- integração com SSO
- criptografia das conexões
- análise de contexto de acesso
O sistema então decide permitir ou bloquear o acesso com base em cada solicitação individual.
O ZTAA pode funcionar:
- diretamente pelo navegador
- por meio de um agente instalado no dispositivo
Perguntas frequentes
Qual a diferença entre ZTNA e SDP?
Tanto o ZTNA quanto o perímetro definido por software (SDP) criam uma barreira virtual ao redor dos recursos internos.
No entanto, o SDP normalmente opera na camada de rede, enquanto o ZTNA atua principalmente na camada de aplicação.
Além disso, o ZTNA inclui verificações contínuas de segurança do dispositivo e análise de contexto, tornando o modelo mais abrangente.
Como o ZTNA funciona com controles de acesso baseados em identidade?
As soluções ZTNA integram-se com provedores de identidade externos para verificar credenciais e atributos contextuais antes de conceder acesso.
Essa abordagem permite aplicar controle de acesso baseado no princípio do menor privilégio.
O ZTNA substitui a microssegmentação de rede?
Não necessariamente.
Em uma arquitetura Zero Trust, o ZTNA complementa a microssegmentação.
Enquanto o ZTNA controla o acesso aos aplicativos, a microssegmentação controla o isolamento em nível de rede.
Juntos, esses mecanismos dificultam o movimento lateral de invasores dentro da rede.
Qual é o papel do ZTNA em uma arquitetura SASE?
O ZTNA é um componente fundamental da arquitetura SASE (Secure Access Service Edge).
Ele fornece acesso seguro a aplicativos, enquanto outros componentes do SASE oferecem funções adicionais, como:
- CASB
- SWG
- SD-WAN
- NGFW
Essas tecnologias trabalham juntas para proteger forças de trabalho distribuídas e ambientes baseados em nuvem.
