O que é borda de confiança zero?

A borda de confiança zero é uma solução de segurança que conecta o tráfego da Internet a sites remotos usando princípios de acesso de confiança zero, principalmente utilizando serviços de rede e segurança com base em nuvem. 

A borda de confiança zero (ZTE, pela sigla em inglês) é uma entrada mais segura para a Internet, já que as redes ZTE podem ser acessadas em praticamente qualquer lugar, abrangendo a Internet por meio do acesso de confiança zero à rede (ZTNA) para autenticar usuários e dispositivos à medida que se conectam. 

Observando que a rede e a segurança cibernética estão cada vez mais interligadas, o Gartner introduziu o conceito de borda de serviços de acesso seguro (SASE, pela sigla em inglês), que inclui, em parte, a convergência dos serviços de segurança de nuvem e rede de nuvem . As soluções SASE são projetadas para proteger a nuvem, o data center e as bordas da rede de filial e fornecer uma malha SD-WAN segura em diferentes conectividades. Recentemente, a Forrester documentou um modelo mais recente de SASE em seu relatório "Introducing The Zero Trust Edge Model For Security And Network Services", que define a borda de confiança zero (ZTE, pela sigla em inglês), colocando mais ênfase no componente de "confiança zero". 

Embora o perímetro da rede corporativa esteja em declínio há décadas, quando a pandemia global da COVID fez com que os funcionários se apressassem para configurar escritórios remotos em casa, o perímetro desapareceu completamente. Os funcionários do trabalho em casa (WFH, pela sigla em inglês) tornaram-se o novo padrão e as empresas estão constantemente buscando novos canais para interagir com seus clientes, incluindo aplicativos da Web e móveis. 

Como esse universo de usuários e dispositivos em expansão deve se conectar aos recursos corporativos para realizar suas tarefas ou realizar transações de negócios, os profissionais de segurança estão adotando cada vez mais enfoques de rede de confiança zero à rede para oferecer suporte com segurança à força de trabalho remota. 

Por esse motivo, o caso de uso prioritário da ZTE para a maioria das organizações será a proteção dos funcionários remotos e a eliminação da necessidade de redes privadas virtuais (VPNs, pela sigla em inglês), que geralmente ficam sobrecarregadas com a enxurrada de novas conexões geradas pela equipe do WFH. 

A maior integração de rede e segurança está sendo impulsionada por três motivadores principais: 

• Os profissionais de segurança exigem que o tráfego permitido na rede atenda aos rigorosos níveis de confiança de segurança em monitoramento e análise do tráfego para garantir a conformidade com as políticas
• Os profissionais de rede precisam adotar as políticas da ZTE e executar a rede sob uma perspectiva de segurança, em vez de trabalhar com equipes de segurança que sobrepõem redes corporativas.
• É necessário fornecer acesso seguro à Internet para cada cliente e endpoint e deter ou driblar qualquer malware que venha a surgir na rota da rede

Embora muitas organizações tenham virtualizado suas redes por meio do uso da rede remota (SD-WAN, pela sigla em inglês) definida por software, esse enfoque não atende a vários requisitos de segurança mais recentes. Ao combinar segurança de nuvem e rede dessa maneira, a ZTE fornece alguns benefícios importantes: 

Redução do risco. Como a segurança está integrada à malha da rede e cada conexão é inspecionada e protegida, os profissionais de TI não precisam se preocupar com o local de origem da conexão dos usuários, quais aplicativos estão sendo utilizados ou que tipo de criptografia (se houver) está sendo usado. Cada conexão e transação é continuamente autenticada. 

Economia de custo. Como a ZTE é normalmente fornecida como um serviço automatizado na nuvem, as redes de ZTE são inerentemente dimensionáveis. Como elas fazem parte da malha da Internet, oferecem suporte à transformação digital de uma organização, independentemente das arquiteturas legadas. 

Experiência aprimorada do usuário. O desempenho e o throughput da rede são aprimorados, pois os acessos estão disponíveis em todo o mundo, reduzindo a necessidade de backhaul e diminuindo a latência. 

Embora o modelo da ZTE seja projetado para ser hospedado na nuvem ou na pilha de segurança hospedada na borda, as limitações de largura de banda em muitas áreas exigem que alguns elementos da pilha residam na infraestrutura local.

Atualmente, há três enfoques da ZTE que as organizações podem adotar

1. Serviço fornecido na nuvem baseado na rede de terceiros ou operada por fornecedores com vários a centenas de pontos de presença (POPs, pela sigla em inglês) com recursos da ZTE. Esse enfoque assume a dimensão de software como serviço (SaaS, pela sigla em inglês).
2. ZTE como parte de um serviço de conexão de rede remota, com a operadora fornecendo funcionalidade ZTE e segurança terceirizada. A Comcast Enterprise e a Akami oferecem a funcionalidade ZTE. Além disso, muitos provedores de SD-WAN estão fazendo parceria com fornecedores de segurança com foco na ZTE para concluir uma oferta. Embora haja muitas opções, as ofertas locais não terão a agilidade dos sistemas com base em nuvem, e as combinações de SD-WAN/ZTE exigirão que as políticas sejam configuradas para cada serviço, sem uma solução geral de painel único de controle.
3. Enfoque local, plausível apenas para empresas de grande porte e ágeis que tenham capacidade de criar sua própria oferta de ZTE utilizando provedores de serviços de nuvem para POPs, firewalls hospedados em nuvem e outros serviços de segurança que residam na nuvem pública. Embora seja flexível, esse enfoque exige o monitoramento constante dos componentes de segurança em evolução, dos serviços de computação em nuvem e das habilidades de TI para criar e gerenciar essa oferta.

Espera-se que a ZTE agregue o máximo valor quando for baseada na nuvem, já que as soluções devem ser criadas de acordo com dois princípios básicos de nuvem:

• Gerenciamento de rede e segurança, que baseia-se na nuvem e fornece um conjunto único de políticas para usuários em toda a empresa, além de ferramentas de gerenciamento para rede, firewall e outras funcionalidades de SD-WAN. Isso reduzirá os erros, aumentará a eficiência e facilitará a configuração de políticas semelhantes para vários sistemas.
• Ferramentas de monitoramento, gerenciamento e análise que vinculam rede e segurança. Essa marca registrada da ZTE permite uma melhor utilização dos links, ajuda a detectar anomalias de rede que podem levar a problemas de segurança e insere toda a rede, incluindo quilômetros de emparelhamento, na bolha de monitoramento. O grande volume de dados coletados e analisados exige soluções com base em nuvem para armazenamento e processamento a fim de que se obtenha as técnicas de análise desejadas.

Quando totalmente implantadas, as organizações podem gerenciar, monitorar e analisar centralmente o conjunto de serviços de segurança e rede que residem nas soluções ZTE, independentemente de estarem com base na nuvem ou hospedadas em um local remoto.

O modelo de borda de confiança zero chegou para transformar o modo como a segurança e a rede são tradicionalmente consumidas, e não para simplesmente romper com ele. Sempre em constante evolução, as funções de segurança cibernética foram rapidamente migradas para a borda de confiança zero.

As empresas estão sendo levadas para a borda de confiança zero pelo proxy do problema de segurança do trabalhador remoto, mas ainda há desafios significativos a serem superados para que a promessa do modelo seja integralmente cumprida:

Aplicativos e serviços legados. Os aplicativos da Web modernos que oferecem suporte à federação de identidades são mais fáceis de serem configurados em uma ZTE, mas os aplicativos criados com base em protocolos não Web, principalmente RDP/VDI para acesso remoto e SIP/VoIP para voz, não serão tão facilmente integrados, pois não há padronização para que eles sejam utilizados em um ambiente ZTE.

Equipamento de rede legado. Depois que os computadores e os aplicativos ingressam na ZTE, a TI deve considerar a infinidade de dispositivos de tecnologia operacional (TO) e Internet das Coisas (IoT, pela sigla em inglês), que podem existir aos milhares em qualquer organização.

Capacidade. Embora a ZTE possa resolver problemas de acesso tático de funcionários remotos, ela ainda não tem a capacidade de substituir os serviços de rede e segurança de alta capacidade que fornecem acesso ao data center atualmente. As organizações podem optar por realizar uma migração para a nuvem antes de adotarem a proteção da ZTE para determinados ativos corporativos.

A ZTE foi definida pela Forrester como um refinamento do modelo SASE original, com um foco maior no componente de "confiança zero" desse modelo. Como a Internet foi projetada sem considerar a segurança, ela gerou um universo de malware e superfícies dE ataque em constante mudança. A ZTE optou por ignorar as décadas de patches de segurança e paliativos aplicados para tentar uma conexão segura e assume o pior e, portanto, autentica todas as conexões usando a ZTE, mesmo que a única conexão do endpoint com a Internet seja encapsulá-lo até outro endpoint, mantendo os usuários longe das "regiões perigosas" na Internet pública.