O que é Acesso à Rede Zero Trust (ZTNA)?

Acesso à Rede Zero Trust (ZTNA) é a tecnologia que permite que as organizações implementem um modelo de segurança Zero Trust.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina Zero Trust e ZTNA
  • Explique como funciona a arquitetura ZTNA
  • Compare ZTNA x VPNs

Copiar o link do artigo

O que é ZTNA?

Acesso à Rede Zero Trust (ZTNA) é a tecnologia que torna possível implementar um modelo de segurança Zero Trust. "Zero Trust" é um modelo de segurança de TI que assume que as ameaças estão presentes dentro e fora de uma rede. Consequentemente, a Zero Trust requer verificação estrita para cada usuário e cada dispositivo antes de autorizá-los a acessar os recursos internos.

O ZTNA é semelhante à abordagem de perímetro definido por software (SDP) para controlar o acesso. No ZTNA, como no SDP, os dispositivos conectados não estão cientes de nenhum recurso (aplicativos, servidores, etc.) na rede além daqueles aos quais estão conectados.

Imagine um cenário em que cada residente recebe uma lista telefônica com os números de telefone de todos os outros residentes de sua cidade e qualquer um pode discar qualquer número para entrar em contato com qualquer outra pessoa. Agora imagine um cenário em que todos têm um número de telefone não listado e um residente precisa saber o número de outro residente para ligar para ele. Este segundo cenário oferece algumas vantagens: nenhuma chamada indesejada, nenhuma chamada acidental para a pessoa errada e nenhum risco de pessoas inescrupulosas usarem a lista telefônica da cidade para enganar ou enganar os residentes.

O ZTNA é como o segundo cenário. Mas, em vez de números de telefone, o ZTNA usa endereços de IP, aplicativos e serviços "não listados". Ele configura conexões um para um entre os usuários e os recursos de que precisam, como quando duas pessoas que precisam entrar em contato trocam números de telefone. Mas, ao contrário de duas pessoas trocando números, as conexões com ZTNA precisam ser verificadas novamente e recriadas periodicamente.

ZTNA X VPN

Redes privadas virtuais (VPNs) são o que muitas organizações usam para controlar o acesso em vez de ZTNA. Depois que os usuários estão logados em uma VPN, eles ganham acesso a toda a rede e a todos os recursos dessa rede (isso geralmente é chamado de modelo de castelo e fosso). Em vez disso, o ZTNA apenas concede acesso ao aplicativo específico solicitado e nega o acesso a aplicativos e dados por padrão.

Existem diferenças entre ZTNA e VPNs em um nível técnico também. Algumas dessas diferenças incluem:

  1. Camada de modelo OSI: muitas VPNs são executadas no protocolo IPsec na camada 3, a camada de rede no modelo OSI. O ZTNA normalmente opera na camada de aplicativos. (Algumas VPNs são executadas na camada de aplicativos usando o protocolo TLS para criptografia em vez de IPsec; O ZTNA geralmente tem uma abordagem semelhante).
  2. Instalação do software de endpoint: VPNs IPsec requerem a instalação de software em todos os dispositivos do usuário. Às vezes, esse é o caso do ZTNA, mas nem sempre.
  3. Hardware: As VPNs geralmente exigem o uso de servidores VPN locais e os dispositivos do usuário se conectam a esses servidores, normalmente passando pelo firewall de perímetro da organização. O ZTNA pode ser configurado dessa forma, mas na maioria das vezes é fornecido por meio da nuvem, permitindo que os usuários se conectem de qualquer lugar sem afetar a performance da rede.
  4. Nível de conectividade: O ZTNA configura conexões criptografadas um para um entre o dispositivo de um usuário e um determinado aplicativo ou servidor. As VPNs fornecem aos usuários acesso criptografado a uma LAN inteira de uma vez. Se o endereço de IP de um usuário se conecta à rede, ele pode se conectar a todos os endereços de IP dessa rede.

Por fim, as VPNs são imprecisas, tratando em grande parte os usuários e dispositivos da mesma forma, independentemente de onde estejam e do que precisam acessar. Com as abordagens "traga seu próprio dispositivo" (BYOD) se tornando cada vez mais comuns, é perigoso permitir esse acesso, pois qualquer endpoint comprometido por malware pode infectar uma rede inteira. Por esses motivos, as VPNs são um alvo frequente de ataques.

Como funciona o ZTNA?

O ZTNA é configurado de forma ligeiramente diferente para cada organização ou fornecedor. No entanto, existem vários princípios subjacentes que permanecem consistentes nas arquiteturas ZTNA:

  • Aplicativo X acesso à rede: o ZTNA trata o acesso ao aplicativo separadamente do acesso à rede. Conectar-se a uma rede não concede automaticamente a um usuário o direito de acessar um aplicativo.
  • Endereços de IP ocultos: o ZTNA não expõe endereços de IP à rede. O resto da rede permanece invisível para os dispositivos conectados, exceto para o aplicativo ou serviço ao qual eles estão conectados.
  • Segurança do dispositivo: o ZTNA pode incorporar a postura de risco e segurança dos dispositivos como fatores nas decisões de acesso. Ele faz isso executando o software no próprio dispositivo (consulte "ZTNA baseado em agente X ZTNA baseado em serviço" abaixo) ou analisando o tráfego de rede de e para o dispositivo.
  • Fatores adicionais: ao contrário do controle de acesso tradicional, que só concede acesso com base na identidade e função do usuário, o ZTNA pode avaliar os riscos associados a fatores adicionais, como localização do usuário, tempo e frequência das solicitações, os aplicativos e dados solicitados e mais. Um usuário pode entrar em uma rede ou aplicativo, mas se o dispositivo não for confiável, o acesso será negado.
  • Sem MPLS: o ZTNA usa conexões criptografadas com a internet por TLS em vez de conexões WAN baseadas em MPLS. As redes corporativas tradicionais são construídas em conexões MPLS privadas. Em vez disso, o ZTNA é construído na internet pública, usando criptografia TLS para manter o tráfego da rede privado. O ZTNA configura pequenos túneis criptografados entre um usuário e um aplicativo, em oposição a conectar um usuário a uma rede maior.
  • IdP e SSO: a maioria das soluções ZTNA se integra com provedores de identidade (IdPs), plataformas de logon único (SSO) 3 ou ambos. O SSO permite que os usuários autentiquem a identidade de todos os aplicativos; o IdP armazena a identidade do usuário e determina os privilégios associados ao usuário.
  • Agente X serviço: o ZTNA pode usar um agente de endpoint ou ser baseado na nuvem. A diferença é explicada a seguir.

ZTNA baseado em agente X ZTNA baseado em serviço

O ZTNA baseado em agente requer a instalação de um aplicativo de software denominado "agente" em todos os dispositivos endpoint.

O ZTNA baseado em serviço ou em nuvem é um serviço em nuvem e não um aplicativo de endpoint. Não requer o uso ou instalação de um agente.

As organizações que buscam implementar uma filosofia Zero Trust devem considerar que tipo de solução ZTNA melhor atende às suas necessidades. Por exemplo, se uma organização está preocupada com uma combinação crescente de dispositivos gerenciados e não gerenciados, o ZTNA baseado em agente pode ser uma opção eficaz. Alternativamente, se uma organização está focada principalmente em bloquear certos aplicativos baseados na web, então o modelo baseado em serviço pode ser implementado rapidamente.

Outra consideração é que o ZTNA baseado em serviço pode se integrar facilmente com aplicativos em nuvem, mas não tão facilmente com a infraestrutura local. Se todo o tráfego de rede tiver que ir de dispositivos endpoint locais para a nuvem e voltar para a infraestrutura local, a performance e a confiabilidade podem ser afetadas drasticamente.

Quais são as outras considerações importantes sobre a solução ZTNA?

Especialização do fornecedor: como gerenciamento de identidade e acesso (IAM), serviços de rede e segurança de rede tradicionalmente são separados, a maioria dos fornecedores de ZTNA normalmente se especializam em uma dessas áreas. As organizações devem procurar um fornecedor com uma área de especialização que atenda às suas necessidades ou um que combine todas as três áreas em uma solução coesa.

Nível de implementação: algumas organizações podem já ter investido em tecnologia adjacente para apoiar uma estratégia Zero Trust (por exemplo, IdP ou provedores de proteção de endpoint), enquanto algumas podem precisar construir sua arquitetura ZTNA inteira do zero. Os fornecedores de ZTNA podem oferecer soluções pontuais para ajudar as organizações a aperfeiçoar suas implantações ZTNA, criar arquiteturas ZTNA inteiras ou ambos.

Suporte para aplicativos legados: muitas organizações ainda têm aplicativos legados no local que são essenciais para seus negócios. Por ser executado na internet, o ZTNA oferece suporte a aplicativos em nuvem com facilidade, mas pode precisar de configuração adicional para oferecer suporte a aplicativos legados.

Integração de IdP: muitas organizações já têm um IdP em vigor. Alguns fornecedores de ZTNA trabalham apenas com determinados IdPs, forçando seus clientes a migrar seu banco de dados de identidade para usar seu serviço. Outros são independentes em relação ao IdP — eles podem se integrar a qualquer IdP.

Como começar a usar o ZTNA

A Cloudflare oferece uma solução ZTNA construída na Rede global de ponta da Cloudflare para performance rápida. Consulte a página da solução ZTNA.

Para obter mais informações sobre a filosofia Zero Trust, consulte nosso artigo sobre segurança Zero Trust.