O que é o Acesso de Rede Confiança Zero (ZTNA)?

O Acesso de Rede Confiança Zero (ZTNA) é importante porque se alinha com as necessidades crescentes de cibersegurança adaptável e resiliente num local de trabalho cada vez mais distribuído e com primazia digital.

Eis porque se tornou num framework crítico:

Proteção contra ameaças em evolução. Os modelos de segurança tradicionais, que concedem um amplo acesso à rede aos utilizadores internos, são insuficientes contra as sofisticadas ciberameaças atuais, especialmente ameaças internas ou ameaças resultantes de credenciais comprometidas. O ZTNA assume que nenhuma entidade é inerentemente fidedigna, limitando os potenciais vetores de ataque.

Suporte para trabalho à distância e recursos com base na cloud. Com o aumento do trabalho remoto e a adoção da cloud, as empresas estão a mudar das redes locais tradicionais para infraestruturas híbridas ou totalmente baseadas na cloud. O ZTNA fornece acesso seguro a recursos a partir de qualquer localização, impondo políticas de segurança de forma consistente em ambientes locais e de cloud.

Mitigação do movimento lateral em ciberataques. Num cenário de falha de segurança da segurança, o acesso segmentado do ZTNA impede o movimento lateral dos atacantes, limitando o âmbito dos potenciais danos. Uma vez que o acesso é concedido apenas com base na necessidade de conhecimento, os atacantes têm muito mais dificuldade em moverem-se entre sistemas e obterem acesso a recursos críticos.

O ZTNA fornece inúmeros benefícios para as empresas, incluindo:

Segurança avançada. O modelo de verificação contínua da identidade e do dispositivo do ZTNA reduz o risco de acesso não autorizado e mitiga as ameaças de credenciais comprometidas. Ao verificar cada tentativa de acesso com base em fatores como identidade, localização e estado de funcionamento do dispositivo, o ZTNA reforça a postura de segurança geral e minimiza o acesso não autorizado.

Controlo de acesso e imposição de políticas melhorados. O ZTNA permite que as organizações imponham políticas de acesso granulares e baseadas em funções. Os utilizadores apenas recebem acesso às aplicações ou recursos de que necessitam, reduzindo as hipóteses de acesso acidental ou intencional a dados confidenciais. Também simplifica a conformidade com proteção de dados e regulamentos de privacidade, assegurando que o acesso é limitado e registado.

Superfície de ataque reduzida. Uma vez que o ZTNA não expõe toda a rede a um único utilizador ou dispositivo, reduz significativamente a superfície de ataque. Apenas utilizadores e dispositivos autorizados podem aceder a recursos específicos, e só podem aceder aos mesmos através de ligações seguras e encriptadas, reduzindo o risco de uma falha de segurança de dados ou exposição não autorizada.

Os modelos de segurança tradicionais baseiam-se predominantemente no conceito de uma rede interna "confiável", e uma rede externa "não fidedigna", protegida por firewalls e VPNs. As principais diferenças entre o Acesso de Rede Confiança Zero (ZTNA) e estes modelos tradicionais incluem:

Baseado em perímetro versus baseado em identidade. A segurança tradicional baseia-se na proteção do perímetro da rede, assumindo que os utilizadores dentro da rede são fidedignos. O ZTNA trata cada tentativa de acesso como potencialmente de risco, independentemente da localização, exigindo sempre a verificação da identidade.

Confiança implícita versus explícita. Nos modelos tradicionais, uma vez autenticados, os utilizadores são fidedignos e, muitas vezes, movem-se lateralmente dentro da rede com poucas restrições. No entanto, o ZTNA implementa a microssegmentação e o acesso com privilégios mínimos para limitar o movimento lateral e reduzir os riscos associados a credenciais comprometidas.

Controlo de acesso estático versus dinâmico. Os modelos de segurança legados têm normalmente regras estáticas, que são menos flexíveis e muitas vezes desatualizadas nos ambientes atuais. O ZTNA utiliza políticas dinâmicas que se adaptam com base em fatores de risco, comportamento do utilizador e outras pistas contextuais.

VPN versus acesso direto e seguro. Os modelos tradicionais de conectividade de rede utilizam frequentemente VPNs para acesso remoto, que podem introduzir latência e são difíceis de dimensionar. As soluções ZTNA fornecem acesso seguro diretamente às aplicações sem encaminhar todo o tráfego através de uma VPN, melhorando o desempenho e a escalabilidade.

O Acesso de Rede Confiança Zero (ZTNA) faz parte da estrutura do Perímetro de Serviço de Segurança e é utilizado para proteger o acesso a recursos privados baseados nos princípios de Confiança Zero. Num ambiente ZTNA, os utilizadores, dispositivos e aplicações devem provar continuamente a sua legitimidade antes de acederem a recursos, independentemente da sua localização dentro ou fora da rede. Os principais mecanismos operacionais incluem:

Gestão de identidades e acessos. O ZTNA começa com uma verificação rigorosa da identidade. Cada utilizador ou dispositivo deve autenticar a sua identidade, muitas vezes através de autenticação multifator (MFA), antes de obter acesso a qualquer aplicação ou recurso. Isto garante que apenas os utilizadores legítimos são identificados e recebem acesso.

Microssegmentação. Em vez de se basear num único perímetro de rede, o ZTNA divide a rede em segmentos mais pequenos e isolados. Cada segmento contém recursos ou aplicações específicas, dificultando aos atacantes moverem-se lateralmente dentro da rede se comprometerem um segmento.

Acesso de privilégio mínimo. Cada utilizador e dispositivo apenas recebem acesso às aplicações ou dados específicos necessários para as suas funções, limitando a exposição potencial. Esta abordagem de privilégio mínimo minimiza o risco de falhas de segurança de dados ou de acesso não autorizado, limitando o acesso de qualquer conta comprometida.

Acesso ao nível da aplicação. Em vez de conceder um acesso alargado ao nível da rede, o ZTNA suporta ligações específicas a aplicações. Isto significa que, mesmo que seja concedido acesso a um dispositivo, este apenas comunica com a aplicação ou recurso específico a que está autorizado a aceder. Isto reduz ainda mais a superfície de ataque, uma vez que os utilizadores e dispositivos não têm visibilidade ou acesso a toda a rede.

Avaliação contínua de acesso. A avaliação contínua do comportamento do utilizador e do dispositivo é um componente central do ZTNA. Isto inclui a monitorização de quaisquer padrões de atividade invulgares, postura do dispositivo (como, por exemplo, se as atualizações de segurança estão instaladas) e alterações na localização. Quando são detetadas anomalias, o acesso pode ser revogado ou poderá ser necessária autenticação adicional.

A Confiança Zero Network continua a evoluir para lidar com as crescentes complexidades das ciberameaças modernas e dos ambientes de trabalho à distância. Inicialmente, o ZTNA introduziu os princípios fundamentais da Confiança Zero, fornecendo acesso baseado em identidade do utilizador e postura do dispositivo, em vez das defesas tradicionais do perímetro da rede. No entanto, à medida que as ciberameaças evoluíram, o mesmo aconteceu com a necessidade de uma abordagem mais abrangente e adaptável, conduzindo ao desenvolvimento de avanços no ZTNA, incluindo:

Controlo de acesso a aplicações granulares. O ZTNA fornece agora um controlo de acesso mais detalhado ao nível das aplicações, transitando para além do simples acesso baseado em rede ou IP. Garante que os utilizadores têm acesso apenas às aplicações e recursos específicos de que necessitam e, dentro dessas aplicações, limita-os aos dados e operações específicos que estão autorizados a realizar.

Avaliação contínua da confiança. O ZTNA tradicional geralmente confiava numa avaliação de confiança única no início de uma sessão. O ZTNA adota agora um modelo de confiança contínuo, avaliando o comportamento do utilizador e do dispositivo de forma dinâmica ao longo da sessão. A monitorização contínua ajuda a detetar e responder a anomalias ou comportamentos de risco em tempo real.

Prevenção integrada de ameaças. O ZTNA integra agora capacidades de prevenção de ameaças, como a deteção de malware, a prevenção de intrusões e outras verificações de segurança, diretamente no modelo de acesso. Esta camada de segurança proativa ajuda a impedir que os atacantes se movam lateralmente dentro de uma rede, mesmo que obtenham acesso inicial.

Conhecimento melhorado do contexto do utilizador e do dispositivo. O ZTNA vai agora além da simples verificação da identidade do utilizador e da postura do dispositivo, incorporando mais fatores contextuais, como padrões de comportamento do utilizador, histórico do dispositivo e fatores ambientais, como geolocalização e hora de acesso. Isto ajuda a criar um perfil de risco mais preciso para cada pedido de acesso.

O Perímetro de Serviço de Segurança (SASE) é um framework de cibersegurança que combina serviços de rede e de segurança num modelo unificado e nativo de cloud. O seu objetivo é fornecer acesso seguro aos utilizadores, independentemente da sua localização, integrando funções de segurança - como gateways Web seguros, mediadores de segurança de acesso à cloud, firewall como serviço e Acesso de Rede Confiança Zero - com capacidades de rede de área ampla. O SASE oferece uma maneira dimensionável e flexível de proteger uma força de trabalho distribuída, especialmente útil em ambientes modernos em que o trabalho remotamente e os ambientes multicloud são padrão.

O ZTNA é um componente-chave dentro do modelo SASE, focado especificamente no controlo de acesso baseado na arquitetura Confiança Zero. Enquanto o ZTNA impõe controlos de acesso rigorosos ao nível das aplicações e dos recursos, a SASE alarga este âmbito ao fornecer um modelo abrangente de segurança e de rede. Essencialmente, o ZTNA é um elemento crítico da SASE, centrando-se na gestão de acesso de granularidade fina, enquanto a SASE incorpora o ZTNA num conjunto mais vasto de ferramentas de segurança para fornecer uma proteção unificada e de ponto a ponto em toda a rede.

As soluções de Acesso de Rede Confiança Zero da Microsoft (ZTNA) foram concebidas para fornecer acesso seguro a aplicações e recursos, independentemente da localização dos utilizadores.


O componente principal desta abordagem é o Acesso Privado do Microsoft Entra, que substitui as VPNs tradicionais. Ajuda a proteger o acesso a todas as aplicações e recursos privados para utilizadores em qualquer lugar com uma solução ZTNA centrada na identidade. O Acesso Privado do Microsoft Entra permite-lhe substituir a sua VPN legada pelo ZTNA. Sem fazer quaisquer alterações às suas aplicações, pode expandir as políticas de Acesso Condicional à sua rede com controlos de acesso centrados na identidade e permitir o início de sessão único (SSO) e a autenticação multifator (MFA) em todas as aplicações e recursos privados. Através da rede privada global da Microsoft, os colaboradores obtêm uma experiência de acesso rápida e totalmente integrada que equilibra a segurança com a produtividade.