O ZTNA permite conectar usuários, aplicativos e dados mesmo quando eles não residem na rede da organização, um cenário cada vez mais comum nos ambientes multi-cloud atuais, nos quais os aplicativos com base em microsserviços podem residir em várias nuvens, bem como em ambientes locais. As organizações modernas precisam que seus ativos digitais estejam disponíveis em qualquer lugar, a qualquer hora e em qualquer dispositivo de uma base de usuários distribuída.

O ZTNA atende a essa necessidade ao oferecer acesso detalhado e com reconhecimento de contexto a aplicativos essenciais aos negócios, sem precisar expor outros serviços a possíveis invasores.

O modelo ZTNA foi criado pelo Gartner para ajudar a eliminar a concessão de confiança excessiva a empregadores, prestadores de serviços e outros usuários que só precisam de acesso muito limitado. O modelo expressa o conceito de que nada é confiável até que se prove o contrário. E o mais importante: que a confiança deve ser reautenticada sempre que houver alguma alteração na conexão (local, contexto, endereço IP etc.).

Existem várias diferenças entre as VPNs e o ZTNA. Basicamente, as VPNs são projetadas para oferecer acesso a toda a rede, enquanto o ZTNA concede acesso a recursos específicos e exige reautenticação frequente.

Estas são algumas desvantagens das VPNs em relação ao ZTNA:

Utilização de recursos: à medida que o número de usuários remotos aumenta, a carga na VPN pode levar a uma latência inesperadamente alta e exigir que novos recursos sejam adicionados à VPN para atender à demanda crescente ou aos horários de pico. Isso também pode sobrecarregar a mão de obra da organização de TI.

Flexibilidade e agilidade: as VPNs não oferecem o nível de detalhamento do ZTNA. Além disso, pode ser desafiador instalar e configurar o software de VPN em todos os dispositivos de usuários finais que precisam ser conectados aos recursos da empresa. Por outro lado, é muito mais fácil adicionar ou remover políticas de segurança e autorização de usuários com base em suas necessidades comerciais imediatas. O ABAC (controle de acesso com base em atributo) e o RBAC (controle de acesso com base em função) do ZTNA simplificam essa tarefa.

Detalhamento: uma vez dentro do perímetro de uma VPN, um usuário terá acesso a todo o sistema. O ZTNA adota a abordagem oposta, não concedendo nenhum acesso, a menos que um ativo (aplicativo, dados ou serviço) seja especificamente autorizado para esse usuário. Ao contrário das VPNs, o ZTNA fornece verificação contínua de identificação com base na autenticação de identidade. Cada usuário e cada dispositivo é verificado e autenticado antes de receber acesso a aplicativos, sistemas ou outros ativos específicos. As VPNs e o ZTNA podem ser usados em conjunto, por exemplo, para fortalecer a segurança em um segmento de rede particularmente sensível, fornecendo uma camada extra de segurança caso a VPN seja comprometida.

Existem duas abordagens de implementação do ZTNA: iniciado no endpoint e iniciado no serviço. Como o próprio nome já diz, em uma arquitetura de rede confiança zero iniciada no endpoint, o usuário inicia o acesso a um aplicativo usando um dispositivo conectado por endpoint, de forma semelhante a uma SDP. Um agente instalado no dispositivo se comunica com o controlador de ZTNA, que fornece autenticação e se conecta ao serviço desejado.

Por outro lado, em um ZTNA iniciado no serviço, a conexão é iniciada por um intermediário entre o aplicativo e o usuário. Isso requer que um conector de ZTNA leve seja instalado na frente dos aplicativos corporativos no ambiente local ou em provedores de nuvem. Depois que a conexão de saída no aplicativo solicitado autenticar o usuário ou outro aplicativo, o tráfego fluirá pelo provedor de serviços de ZTNA, isolando os aplicativos do acesso direto por meio de um proxy. A vantagem aqui é que não é necessário nenhum agente nos dispositivos de usuários finais, o que torna a abordagem mais atraente para o acesso de consultores ou parceiros com dispositivos BYOD ou não gerenciados.

Existem também dois modelos de fornecimento de acesso de confiança zero à rede (ZTNA): o ZTNA independente e o ZTNA como serviço. Estas são as principais diferenças entre os dois:

O ZTNA independente requer que a organização implante e gerencie todos os elementos do ZTNA, que ficam na borda do ambiente (nuvem ou data center), intermediando conexões seguras. Embora isso seja adequado para organizações resistentes à nuvem, a implantação, o gerenciamento e a manutenção tornam-se sobrecargas adicionais.

Com o ZTNA como um serviço hospedado na nuvem, as organizações podem utilizar a infraestrutura do provedor de nuvem para tudo, desde a implantação até a aplicação de políticas. Nesse caso, a organização simplesmente adquire licenças de usuário, implanta conectores na frente de aplicativos protegidos e permite que o provedor de nuvem/fornecedor de ZTNA forneça a conectividade, a capacidade e a infraestrutura. Isso simplifica o gerenciamento e a implantação; além disso, o ZTNA fornecido na nuvem pode garantir que o percurso de tráfego ideal seja selecionado para proporcionar a latência mais baixa a todos os usuários.

O Gartner estima que mais de 90% das organizações estejam implementando o ZTNA como serviço.