O que é o ZTNA?
O acesso de confiança zero à rede (ZTNA) é uma solução de segurança de TI que fornece acesso remoto seguro aos aplicativos, dados e serviços de uma organização com base em políticas de controle de acesso claramente definidas. O ZTNA difere das redes privadas virtuais (VPNs, pela sigla em inglês) porque concede acesso apenas a serviços ou aplicativos específicos, enquanto as VPNs concedem acesso a uma rede inteira. À medida que um número crescente de usuários acessa recursos em casa ou em outros locais, as soluções de ZTNA podem ajudar a eliminar lacunas de outras tecnologias e métodos de acesso remoto seguro.

Como chegar à confiança zero

Simplifique sua jornada para a confiança zero
Como o ZTNA funciona?
Quando o ZTNA está em uso, o acesso a aplicativos ou recursos específicos é concedido somente depois que o usuário é autenticado no serviço ZTNA. Após a autenticação, o ZTNA concede ao usuário acesso ao aplicativo específico por um túnel criptografado seguro, que oferece uma camada extra de segurança ao proteger aplicativos e serviços em endereços IP que, de outra forma, ficariam visíveis.
Dessa maneira, os ZTNAs agem de maneira muito semelhante aos perímetros definidos por software (SDPs, pela sigla em inglês), contando com a mesma ideia de “dark cloud” para impedir que os usuários tenham visibilidade de outros aplicativos e serviços aos quais não tenham permissão de acesso. Isso também oferece proteção contra ataques laterais, pois mesmo que um invasor obtivesse acesso, ele não seria capaz de fazer a varredura para localizar outros serviços.
Quais são os casos de uso do ZTNA?
Autenticação e acesso: a principal função do ZTNA é fornecer um mecanismo de acesso altamente detalhado com base na identidade de um usuário. Enquanto o acesso por VPN com base em IP oferece amplo acesso a uma rede, uma vez autorizado, o ZTNA oferece acesso limitado e detalhado a aplicativos e recursos específicos. O ZTNA pode fornecer mais níveis de segurança com políticas de controle de acesso específicas de dispositivos ou locais, que podem impedir que dispositivos indesejados ou comprometidos acessem os recursos da organização. Esse acesso pode ser comparado com algumas VPNs que oferecem aos dispositivos pessoais dos funcionários os mesmos privilégios de acesso concedidos a administradores locais.
Controle holístico e visibilidade: como o ZTNA não inspeciona o tráfego de usuários após a autenticação, pode haver algum problema se um funcionário mal-intencionado usar seu acesso para fins maliciosos ou se as credenciais de um usuário forem perdidas ou roubadas. Ao incorporar o ZTNA a uma solução de borda de serviço de acesso seguro (SASE, pela sigla em inglês), uma organização pode se beneficiar com os recursos de segurança, dimensionamento e rede necessários para o acesso remoto seguro, bem como do monitoramento pós-conexão para evitar perda de dados, ações mal-intencionadas ou comprometimento de credenciais de usuários.
Benefícios do ZTNA
O ZTNA permite conectar usuários, aplicativos e dados mesmo quando eles não residem na rede da organização, um cenário cada vez mais comum nos ambientes multi-cloud atuais, nos quais os aplicativos com base em microsserviços podem residir em várias nuvens, bem como em ambientes locais. As organizações modernas precisam que seus ativos digitais estejam disponíveis em qualquer lugar, a qualquer hora e em qualquer dispositivo de uma base de usuários distribuída.
O ZTNA atende a essa necessidade ao oferecer acesso detalhado e com reconhecimento de contexto a aplicativos essenciais aos negócios, sem precisar expor outros serviços a possíveis invasores.
O modelo ZTNA foi criado pelo Gartner para ajudar a eliminar a concessão de confiança excessiva a empregadores, prestadores de serviços e outros usuários que só precisam de acesso muito limitado. O modelo expressa o conceito de que nada é confiável até que se prove o contrário. E o mais importante: que a confiança deve ser reautenticada sempre que houver alguma alteração na conexão (local, contexto, endereço IP etc.).
Qual é a diferença entre VPN e ZTNA?
Existem várias diferenças entre as VPNs e o ZTNA. Basicamente, as VPNs são projetadas para oferecer acesso a toda a rede, enquanto o ZTNA concede acesso a recursos específicos e exige reautenticação frequente.
Estas são algumas desvantagens das VPNs em relação ao ZTNA:
Utilização de recursos: à medida que o número de usuários remotos aumenta, a carga na VPN pode levar a uma latência inesperadamente alta e exigir que novos recursos sejam adicionados à VPN para atender à demanda crescente ou aos horários de pico. Isso também pode sobrecarregar a mão de obra da organização de TI.
Flexibilidade e agilidade: as VPNs não oferecem o nível de detalhamento do ZTNA. Além disso, pode ser desafiador instalar e configurar o software de VPN em todos os dispositivos de usuários finais que precisam ser conectados aos recursos da empresa. Por outro lado, é muito mais fácil adicionar ou remover políticas de segurança e autorização de usuários com base em suas necessidades comerciais imediatas. O ABAC (controle de acesso com base em atributo) e o RBAC (controle de acesso com base em função) do ZTNA simplificam essa tarefa.
Detalhamento: uma vez dentro do perímetro de uma VPN, um usuário terá acesso a todo o sistema. O ZTNA adota a abordagem oposta, não concedendo nenhum acesso, a menos que um ativo (aplicativo, dados ou serviço) seja especificamente autorizado para esse usuário. Ao contrário das VPNs, o ZTNA fornece verificação contínua de identificação com base na autenticação de identidade. Cada usuário e cada dispositivo é verificado e autenticado antes de receber acesso a aplicativos, sistemas ou outros ativos específicos. As VPNs e o ZTNA podem ser usados em conjunto, por exemplo, para fortalecer a segurança em um segmento de rede particularmente sensível, fornecendo uma camada extra de segurança caso a VPN seja comprometida.
Como implementar o ZTNA?
Existem duas abordagens de implementação do ZTNA: iniciado no endpoint e iniciado no serviço. Como o próprio nome já diz, em uma arquitetura de rede confiança zero iniciada no endpoint, o usuário inicia o acesso a um aplicativo usando um dispositivo conectado por endpoint, de forma semelhante a uma SDP. Um agente instalado no dispositivo se comunica com o controlador de ZTNA, que fornece autenticação e se conecta ao serviço desejado.
Por outro lado, em um ZTNA iniciado no serviço, a conexão é iniciada por um intermediário entre o aplicativo e o usuário. Isso requer que um conector de ZTNA leve seja instalado na frente dos aplicativos corporativos no ambiente local ou em provedores de nuvem. Depois que a conexão de saída no aplicativo solicitado autenticar o usuário ou outro aplicativo, o tráfego fluirá pelo provedor de serviços de ZTNA, isolando os aplicativos do acesso direto por meio de um proxy. A vantagem aqui é que não é necessário nenhum agente nos dispositivos de usuários finais, o que torna a abordagem mais atraente para o acesso de consultores ou parceiros com dispositivos BYOD ou não gerenciados.
Existem também dois modelos de fornecimento de acesso de confiança zero à rede (ZTNA): o ZTNA independente e o ZTNA como serviço. Estas são as principais diferenças entre os dois:
O ZTNA independente requer que a organização implante e gerencie todos os elementos do ZTNA, que ficam na borda do ambiente (nuvem ou data center), intermediando conexões seguras. Embora isso seja adequado para organizações resistentes à nuvem, a implantação, o gerenciamento e a manutenção tornam-se sobrecargas adicionais.
Com o ZTNA como um serviço hospedado na nuvem, as organizações podem utilizar a infraestrutura do provedor de nuvem para tudo, desde a implantação até a aplicação de políticas. Nesse caso, a organização simplesmente adquire licenças de usuário, implanta conectores na frente de aplicativos protegidos e permite que o provedor de nuvem/fornecedor de ZTNA forneça a conectividade, a capacidade e a infraestrutura. Isso simplifica o gerenciamento e a implantação; além disso, o ZTNA fornecido na nuvem pode garantir que o percurso de tráfego ideal seja selecionado para proporcionar a latência mais baixa a todos os usuários.
O Gartner estima que mais de 90% das organizações estejam implementando o ZTNA como serviço.
Produtos e soluções relacionados
Implemente a segurança de confiança zero
Proteja seus dados e apps com a verificação contínua.
Soluções Anywhere Workspace
Habilite os funcionários a trabalhar em qualquer lugar.