Acesso à Rede Zero Trust (ZTNA) é a tecnologia que permite que as organizações implementem um modelo de segurança Zero Trust.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Segurança Zero Trust
Perímetro definido por software
Segurança do tipo castelo e fosso
VPN
Segurança de VPN
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Acesso à rede Zero Trust (ZTNA) é a tecnologia que torna possível implementar um modelo de segurança Zero Trust. "Zero Trust" é um modelo de segurança de TI que assume que as ameaças estão presentes dentro e fora de uma rede. Consequentemente, o Zero Trust requer verificação rigorosa para cada usuário e cada dispositivo antes de autorizá-los a acessar os recursos internos.
O ZTNA é semelhante à abordagem de perímetro definido por software (SDP) para controlar o acesso. No ZTNA, como no SDP, os dispositivos conectados não estão cientes de nenhum recurso (aplicativos, servidores, etc.) na rede além daqueles aos quais estão conectados.
Imagine um cenário em que cada residente recebe uma lista telefônica com os números de telefone de todos os outros residentes de sua cidade e qualquer um pode discar qualquer número para entrar em contato com qualquer outra pessoa. Agora imagine um cenário em que todos têm um número de telefone não listado e um residente precisa saber o número de outro residente para ligar para ele. Este segundo cenário oferece algumas vantagens: nenhuma chamada indesejada, nenhuma chamada acidental para a pessoa errada e nenhum risco de pessoas inescrupulosas usarem a lista telefônica da cidade para enganar ou enganar os residentes.
O ZTNA é como o segundo cenário. Mas, em vez de números de telefone, o ZTNA usa endereços de IP, aplicativos e serviços "não listados". Ele configura conexões um para um entre os usuários e os recursos de que precisam, como quando duas pessoas que precisam entrar em contato trocam números de telefone. Mas, ao contrário de duas pessoas trocando números, as conexões com ZTNA precisam ser verificadas novamente e recriadas periodicamente.
Redes privadas virtuais (VPNs) são o que muitas organizações usam para controlar o acesso em vez de ZTNA. Depois que os usuários estão logados em uma VPN, eles ganham acesso a toda a rede e a todos os recursos dessa rede (isso geralmente é chamado de modelo de castelo e fosso). Em vez disso, o ZTNA apenas concede acesso ao aplicativo específico solicitado e nega o acesso a aplicativos e dados por padrão.
Existem diferenças entre ZTNA e VPNs em um nível técnico também. Algumas dessas diferenças incluem:
Por fim, as VPNs são imprecisas, tratando em grande parte os usuários e dispositivos da mesma forma, independentemente de onde estejam e do que precisam acessar. Com as abordagens "traga seu próprio dispositivo" (BYOD) se tornando cada vez mais comuns, é perigoso permitir esse acesso, pois qualquer endpoint comprometido por malware pode infectar uma rede inteira. Por esses motivos, as VPNs são um alvo frequente de ataques.
O ZTNA é configurado de forma ligeiramente diferente para cada organização ou fornecedor. No entanto, existem vários princípios subjacentes que permanecem consistentes nas arquiteturas ZTNA:
O ZTNA baseado em agente requer a instalação de um aplicativo de software denominado "agente" em todos os dispositivos endpoint.
O ZTNA baseado em serviço ou em nuvem é um serviço em nuvem e não um aplicativo de endpoint. Não requer o uso ou instalação de um agente.
As organizações que buscam implementar uma filosofia Zero Trust devem considerar que tipo de solução ZTNA melhor atende às suas necessidades. Por exemplo, se uma organização está preocupada com uma combinação crescente de dispositivos gerenciados e não gerenciados, o ZTNA baseado em agente pode ser uma opção eficaz. Alternativamente, se uma organização está focada principalmente em bloquear certos aplicativos baseados na web, então o modelo baseado em serviço pode ser implementado rapidamente.
Outra consideração é que o ZTNA baseado em serviço pode se integrar facilmente com aplicativos em nuvem, mas não tão facilmente com a infraestrutura local. Se todo o tráfego de rede tiver que ir de dispositivos endpoint locais para a nuvem e voltar para a infraestrutura local, a performance e a confiabilidade podem ser afetadas drasticamente.
Especialização do fornecedor: como o gerenciamento de identidade e acesso (IAM), os serviços de rede e a segurança de rede são tradicionalmente separados, a maioria dos fornecedores de ZTNA normalmente se especializa em uma dessas áreas. As organizações devem procurar um fornecedor com uma área de especialização que atenda às suas necessidades ou um que combine todas as três áreas em uma solução de segurança de rede coesa.
Nível de implementação: algumas organizações podem já ter investido em tecnologia adjacente para apoiar uma estratégia Zero Trust (por exemplo, IdP ou provedores de proteção de endpoint), enquanto algumas podem precisar construir sua arquitetura ZTNA inteira do zero. Os fornecedores de ZTNA podem oferecer soluções pontuais para ajudar as organizações a aperfeiçoar suas implantações ZTNA, criar arquiteturas ZTNA inteiras ou ambos.
Suporte para aplicativos legados: muitas organizações ainda têm aplicativos legados no local que são essenciais para seus negócios. Por ser executado na internet, o ZTNA oferece suporte a aplicativos em nuvem com facilidade, mas pode precisar de configuração adicional para oferecer suporte a aplicativos legados.
Integração de IdP: muitas organizações já têm um IdP em vigor. Alguns fornecedores de ZTNA trabalham apenas com determinados IdPs, forçando seus clientes a migrar seu banco de dados de identidade para usar seu serviço. Outros são independentes em relação ao IdP — eles podem se integrar a qualquer IdP.
O Zero Trust Application Access (ZTAA), também chamado de segurança de aplicativos Zero Trust, aplica os mesmos princípios do ZTNA ao acesso a aplicativos mas não ao acesso à rede. As soluções ZTAA verificam o acesso do usuário aos aplicativos por meio da integração com provedores de IdP e SSO, criptografando conexões, considerando cada solicitação de acesso a um aplicativo individualmente e bloqueando ou permitindo com base em cada solicitação. O ZTAA pode ser oferecido sem agente por meio do navegador ou usando um agente de endpoint.
Para saber mais, consulte segurança Zero Trust.
A Cloudflare oferece uma solução ZTNA construída na Rede global de ponta da Cloudflare para performance rápida. Consulte a página da solução ZTNA.
Para obter mais informações sobre a filosofia Zero Trust, consulte nosso artigo sobre segurança Zero Trust.