A borda de confiança zero é uma solução de segurança que conecta o tráfego da Internet a sites remotos usando princípios de acesso de confiança zero, principalmente utilizando serviços de rede e segurança com base em nuvem.
A borda de confiança zero (ZTE, pela sigla em inglês) é uma entrada mais segura para a Internet, já que as redes ZTE podem ser acessadas em praticamente qualquer lugar, abrangendo a Internet por meio do acesso de confiança zero à rede (ZTNA) para autenticar usuários e dispositivos à medida que se conectam.
Observando que a rede e a segurança cibernética estão cada vez mais interligadas, o Gartner introduziu o conceito de borda de serviços de acesso seguro (SASE, pela sigla em inglês), que inclui, em parte, a convergência dos serviços de segurança de nuvem e rede de nuvem . As soluções SASE são projetadas para proteger a nuvem, o data center e as bordas da rede de filial e fornecer uma malha SD-WAN segura em diferentes conectividades. Recentemente, a Forrester documentou um modelo mais recente de SASE em seu relatório "Introducing The Zero Trust Edge Model For Security And Network Services", que define a borda de confiança zero (ZTE, pela sigla em inglês), colocando mais ênfase no componente de "confiança zero".
Embora o perímetro da rede corporativa esteja em declínio há décadas, quando a pandemia global da COVID fez com que os funcionários se apressassem para configurar escritórios remotos em casa, o perímetro desapareceu completamente. Os funcionários do trabalho em casa (WFH, pela sigla em inglês) tornaram-se o novo padrão e as empresas estão constantemente buscando novos canais para interagir com seus clientes, incluindo aplicativos da Web e móveis.
Como esse universo de usuários e dispositivos em expansão deve se conectar aos recursos corporativos para realizar suas tarefas ou realizar transações de negócios, os profissionais de segurança estão adotando cada vez mais enfoques de rede de confiança zero à rede para oferecer suporte com segurança à força de trabalho remota.
Por esse motivo, o caso de uso prioritário da ZTE para a maioria das organizações será a proteção dos funcionários remotos e a eliminação da necessidade de redes privadas virtuais (VPNs, pela sigla em inglês), que geralmente ficam sobrecarregadas com a enxurrada de novas conexões geradas pela equipe do WFH.
A maior integração de rede e segurança está sendo impulsionada por três motivadores principais:
Embora muitas organizações tenham virtualizado suas redes por meio do uso da rede remota (SD-WAN, pela sigla em inglês) definida por software, esse enfoque não atende a vários requisitos de segurança mais recentes. Ao combinar segurança de nuvem e rede dessa maneira, a ZTE fornece alguns benefícios importantes:
Redução do risco. Como a segurança está integrada à malha da rede e cada conexão é inspecionada e protegida, os profissionais de TI não precisam se preocupar com o local de origem da conexão dos usuários, quais aplicativos estão sendo utilizados ou que tipo de criptografia (se houver) está sendo usado. Cada conexão e transação é continuamente autenticada.
Economia de custo. Como a ZTE é normalmente fornecida como um serviço automatizado na nuvem, as redes de ZTE são inerentemente dimensionáveis. Como elas fazem parte da malha da Internet, oferecem suporte à transformação digital de uma organização, independentemente das arquiteturas legadas.
Experiência aprimorada do usuário. O desempenho e o throughput da rede são aprimorados, pois os acessos estão disponíveis em todo o mundo, reduzindo a necessidade de backhaul e diminuindo a latência.
Embora o modelo da ZTE seja projetado para ser hospedado na nuvem ou na pilha de segurança hospedada na borda, as limitações de largura de banda em muitas áreas exigem que alguns elementos da pilha residam na infraestrutura local.
Atualmente, há três enfoques da ZTE que as organizações podem adotar
Espera-se que a ZTE agregue o máximo valor quando for baseada na nuvem, já que as soluções devem ser criadas de acordo com dois princípios básicos de nuvem:
Quando totalmente implantadas, as organizações podem gerenciar, monitorar e analisar centralmente o conjunto de serviços de segurança e rede que residem nas soluções ZTE, independentemente de estarem com base na nuvem ou hospedadas em um local remoto.
O modelo de borda de confiança zero chegou para transformar o modo como a segurança e a rede são tradicionalmente consumidas, e não para simplesmente romper com ele. Sempre em constante evolução, as funções de segurança cibernética foram rapidamente migradas para a borda de confiança zero.
As empresas estão sendo levadas para a borda de confiança zero pelo proxy do problema de segurança do trabalhador remoto, mas ainda há desafios significativos a serem superados para que a promessa do modelo seja integralmente cumprida:
Aplicativos e serviços legados. Os aplicativos da Web modernos que oferecem suporte à federação de identidades são mais fáceis de serem configurados em uma ZTE, mas os aplicativos criados com base em protocolos não Web, principalmente RDP/VDI para acesso remoto e SIP/VoIP para voz, não serão tão facilmente integrados, pois não há padronização para que eles sejam utilizados em um ambiente ZTE.
Equipamento de rede legado. Depois que os computadores e os aplicativos ingressam na ZTE, a TI deve considerar a infinidade de dispositivos de tecnologia operacional (TO) e Internet das Coisas (IoT, pela sigla em inglês), que podem existir aos milhares em qualquer organização.
Capacidade. Embora a ZTE possa resolver problemas de acesso tático de funcionários remotos, ela ainda não tem a capacidade de substituir os serviços de rede e segurança de alta capacidade que fornecem acesso ao data center atualmente. As organizações podem optar por realizar uma migração para a nuvem antes de adotarem a proteção da ZTE para determinados ativos corporativos.
A ZTE foi definida pela Forrester como um refinamento do modelo SASE original, com um foco maior no componente de "confiança zero" desse modelo. Como a Internet foi projetada sem considerar a segurança, ela gerou um universo de malware e superfícies dE ataque em constante mudança. A ZTE optou por ignorar as décadas de patches de segurança e paliativos aplicados para tentar uma conexão segura e assume o pior e, portanto, autentica todas as conexões usando a ZTE, mesmo que a única conexão do endpoint com a Internet seja encapsulá-lo até outro endpoint, mantendo os usuários longe das "regiões perigosas" na Internet pública.
Obtenha visibilidade e controle com um enfoque intrínseco de segurança de confiança zero
A borda de serviços de acesso seguro, ou SASE, é a convergência da rede de nuvem e da segurança de nuvem
O SD-WAN é a aplicação de tecnologias de rede com base em software