O que é Acesso à Rede de Confiança Zero (ZTNA)?

O Acesso à Rede de Confiança Zero (ZTNA) é importante porque está alinhado com a crescente necessidade de cibersegurança adaptável e resiliente em um local de trabalho cada vez mais distribuído e digital.

Veja por que ele se tornou uma estrutura crítica:

Proteção contra ameaças em evolução. Os modelos de segurança tradicionais, que concedem amplo acesso à rede a usuários internos, são insuficientes contra as sofisticadas ameaças cibernéticas atuais, especialmente ameaças internas ou ameaças decorrentes de credenciais comprometidas. O ZTNA presume que nenhuma entidade é inerentemente confiável, limitando os vetores de ataque potenciais.

Suporte para trabalho remoto e recursos baseados em nuvem. Com o aumento do trabalho remoto e da adoção da nuvem, as empresas estão mudando das redes tradicionais locais para infraestruturas híbridas ou totalmente baseadas em nuvem. O ZTNA fornece acesso seguro a recursos de qualquer local, impondo políticas de segurança de forma consistente em ambientes locais e na nuvem.

Mitigação do movimento lateral em ataques cibernéticos. Em um cenário de violação de segurança, o acesso segmentado do ZTNA impede o movimento lateral dos invasores, limitando o escopo de possíveis danos. Como o acesso é concedido apenas com base na necessidade, os invasores têm muito mais dificuldade para se mover entre sistemas e obter acesso a ativos críticos.

O ZTNA oferece vários benefícios para as empresas, incluindo:

Segurança aprimorada. O modelo de verificação contínua de identidade e dispositivo do ZTNA reduz o risco de acesso não autorizado e mitiga ameaças de credenciais comprometidas. Verificando cada tentativa de acesso com base em fatores como identidade, localização e integridade do dispositivo, o ZTNA fortalece a postura geral de segurança e minimiza o acesso não autorizado.

Melhoria no controle de acesso e na imposição de políticas. O ZTNA permite que as organizações imponham políticas de acesso granulares baseadas em função. Os usuários têm acesso apenas aos aplicativos ou recursos de que precisam, reduzindo as chances de acesso acidental ou intencional a dados confidenciais. Ele também simplifica a conformidade com as regulamentações de proteção de dados e privacidade, garantindo que o acesso seja limitado e registrado.

Superfície de ataque reduzida. Como o ZTNA não expõe toda a rede a um único usuário ou dispositivo, ele reduz significativamente a superfície de ataque. Somente usuários e dispositivos autorizados podem acessar recursos específicos e só podem acessá-los por meio de conexões seguras e criptografadas, reduzindo o risco de violação de dados ou exposição não autorizada.

Os modelos de segurança tradicionais baseiam-se principalmente no conceito de rede interna "confiável" e rede externa "não confiável", protegidas por firewalls e VPNs. Principais diferenças entre o Acesso à Rede de Confiança Zero (ZTNA) e esses modelos tradicionais incluem:

Baseado em perímetro versus baseado em identidade. A segurança tradicional depende da proteção do perímetro da rede, presumindo que os usuários dentro da rede são confiáveis. O ZTNA trata cada tentativa de acesso como potencialmente de risco, independentemente da localização, exigindo verificação de identidade a cada vez.

Confiança implícita versus confiança explícita. Nos modelos tradicionais, uma vez autenticados, os usuários são confiáveis e geralmente se movem lateralmente dentro da rede com poucas restrições. O ZTNA, no entanto, implementa microsegmentação e acesso com privilégios mínimos para limitar o movimento lateral e reduzir os riscos associados a credenciais comprometidas.

Controle de acesso estático versus dinâmico. Os modelos de segurança herdados geralmente têm regras estáticas, que são menos flexíveis e muitas vezes desatualizadas nos ambientes atuais. O ZTNA usa políticas dinâmicas que se adaptam com base em fatores de risco, comportamento do usuário e outros sinais contextuais.

VPN versus acesso direto e seguro. Os modelos tradicionais de conectividade de rede geralmente usam VPNs para acesso remoto, o que pode introduzir latência e são difíceis de escalar. As soluções ZTNA fornecem acesso seguro diretamente aos aplicativos sem rotear todo o tráfego por meio de uma VPN, melhorando o desempenho e a escalabilidade.

O Acesso à Rede de Confiança Zero (ZTNA) faz parte da estrutura do Perímetro de Serviço de Segurança e é usado para proteger o acesso a recursos privados baseados nos princípios de Confiança Zero. Em um ambiente ZTNA, usuários, dispositivos e aplicativos devem provar continuamente sua legitimidade antes de acessar recursos, independentemente da sua localização dentro ou fora da rede. As principais mecânicas operacionais incluem:

Gerenciamento de identidades e acesso. O ZTNA começa com uma rigorosa verificação de identidade. Cada usuário ou dispositivo deve autenticar sua identidade, geralmente por meio de autenticação multifator (MFA), antes de obter acesso a qualquer aplicativo ou recurso. Isso garante que somente usuários legítimos sejam identificados e tenham acesso.

Microsegmentação. Em vez de depender de um único perímetro de rede, o ZTNA divide a rede em segmentos menores e isolados. Cada segmento contém recursos ou aplicativos específicos, dificultando o movimento lateral dos invasores dentro da rede se comprometerem um segmento.

Acesso com privilégios mínimos. Cada usuário e dispositivo tem acesso apenas aos aplicativos ou dados específicos necessários para suas funções, limitando a possível exposição. Essa abordagem de privilégios mínimos minimiza o risco de violações de dados ou acesso não autorizado, limitando o que qualquer conta comprometida pode acessar.

Acesso no nível do aplicativo. Em vez de conceder amplo acesso ao nível da rede, o ZTNA dá suporte a conexões específicas de aplicativos. Isso significa que, mesmo que um dispositivo tenha acesso, ele se comunicará apenas com o aplicativo ou recurso específico que está autorizado a acessar. Isso reduz ainda mais a superfície de ataque, pois os usuários e dispositivos não têm visibilidade ou acesso a toda a rede.

Avaliação contínua de acesso. A avaliação contínua do comportamento do usuário e do dispositivo é um componente central do ZTNA. Isso inclui o monitoramento de quaisquer padrões de atividade incomuns, postura do dispositivo (como se as atualizações de segurança estão instaladas) e alterações de localização. Quando forem detectadas anomalias, o acesso poderá ser revogado ou será necessária uma autenticação adicional.

A Rede de Confiança Zero continua a evoluir para lidar com as crescentes complexidades das ameaças cibernéticas modernas e dos ambientes de trabalho remoto. Inicialmente, o ZTNA introduziu os princípios básicos de Confiança Zero ao fornecer acesso com base na identidade do usuário e na postura do dispositivo, em vez de nas defesas tradicionais do perímetro da rede. No entanto, à medida que as ameaças cibernéticas evoluíram, também evoluiu a necessidade de uma abordagem mais abrangente e adaptável, levando ao desenvolvimento de avanços no ZTNA, incluindo:

Controle de acesso granular ao aplicativo. O ZTNA agora fornece controle de acesso mais detalhado no nível do aplicativo, indo além do acesso simples à rede ou baseado em IP. Ele garante que os usuários tenham acesso apenas aos aplicativos e recursos específicos de que precisam e, dentro desses aplicativos, limita-os aos dados e operações específicos que estão autorizados a executar.

Avaliação contínua de confiança. O ZTNA tradicional geralmente dependia de uma avaliação de confiança única no início de uma sessão. O ZTNA agora adota um modelo de confiança contínua, avaliando o comportamento do usuário e do dispositivo dinamicamente durante toda a sessão. O monitoramento contínuo ajuda a detectar e responder a anomalias ou comportamentos de risco em tempo real.

Prevenção contra ameaças integrada. O ZTNA agora integra funcionalidades de prevenção contra ameaças, como detecção de malware, prevenção de intrusões e outras verificações de segurança, diretamente no modelo de acesso. Essa camada de segurança proativa ajuda a impedir que invasores se movam lateralmente em uma rede, mesmo que obtenham acesso inicial.

Avançado reconhecimento do contexto do usuário e do dispositivo. O ZTNA agora vai além da verificação da identidade do usuário e da postura do dispositivo, incorporando mais fatores contextuais, como padrões de comportamento do usuário, histórico do dispositivo e fatores ambientais, como geolocalização e horário de acesso. Isso ajuda a criar um perfil de risco mais preciso para cada solicitação de acesso.

Perímetro do serviço de acesso seguro (SASE) é uma estrutura de segurança cibernética que combina serviços de rede e segurança em um modelo unificado e nativo de nuvem. Ele tem como objetivo fornecer acesso seguro a usuários, independentemente da sua localização, por meio da integração de funções de segurança, como gateways da Web seguros, agentes de segurança de acesso à nuvem, firewall como serviço e Acesso à Rede de Confiança Zero, com funcionalidades de rede de longa distância. O SASE oferece uma forma escalonável e flexível de proteger uma força de trabalho distribuída, especialmente útil em ambientes modernos, onde o trabalho remoto e os ambientes multinuvem são padrão.

O ZTNA é um componente essencial do modelo SASE, com foco específico no controle de acesso com base na Arquitetura de confiança zero. Embora o ZTNA imponha controles de acesso rigorosos no nível de aplicativos e recursos, o SASE amplia esse escopo ao fornecer um modelo abrangente de segurança e rede. Em essência, o ZTNA é um elemento crítico do SASE, com foco no gerenciamento de acesso detalhado, enquanto o SASE incorpora o ZTNA em um conjunto maior de ferramentas de segurança para fornecer proteção unificada e de ponta a ponta em toda a rede.

As soluções de Acesso à Rede de Confiança Zero (ZTNA) da Microsoft são projetadas para fornecer acesso seguro a aplicativos e recursos, independentemente de onde os usuários estejam localizados.


O principal componente dessa abordagem é o Acesso privado do Microsoft Entra, que substitui as VPNs tradicionais. Ele ajuda a proteger o acesso a todos os aplicativos e recursos privados para usuários em qualquer lugar com uma solução ZTNA centrada em identidades. O Acesso privado do Microsoft Entra permite substituir sua VPN herdada pelo ZTNA. Sem fazer alterações nos seus aplicativos, você pode estender as políticas de Acesso Condicional à sua rede usando controles de acesso centrados em identidades e habilitar o logon único (SSO) e a autenticação multifator (MFA) em todos os aplicativos e recursos privados. Por meio da rede privada global da Microsoft, os funcionários têm uma experiência de acesso rápida e fluida que equilibra segurança e produtividade.