top of page

Guia para seleção de Zero Trust Network Access (ZTNA, SEE e SASE)

Atualizado: 7 de mar. de 2023

ZTNA melhora a segurança das tecnologias VPN tradicionais para acesso a aplicativos, e remove a confiança excessiva, antes necessária para permitir que funcionários e parceiros se conectem e colaborem. Os líderes de segurança e gerenciamento de riscos, devem implantar projetos ZTNA, como parte da estratégia de SSE (Security Service Edge) ou para expandir rapidamente o acesso remoto.

Visão Geral


Principais conclusões:

  • Maior atenção das organizações em estratégias de Zero Trust, mirando uma conectividade híbrida mais segura e flexível, que aumenta o interesse em ZTNA.

  • As organizações citam a substituição de VPN como sua principal motivação para avaliar as ofertas de ZTNA, mas descobrem que a justificativa vem da redução de riscos, não da redução de custos.

  • ZTNA baseada em agente é cada vez mais implantada como parte de uma arquitetura SASE e/ou oferta de SSE, enquanto ZTNA sem cliente continua a crescer em popularidade para oferecer suporte a casos de uso de terceiros e BYOD.


Recomendações:


Os líderes de segurança e gerenciamento de riscos responsáveis ​​pela segurança da infraestrutura devem:

  • Estabelecer uma estratégia de Zero Trust, e certificarem-se de que suas tecnologias e processos de gerenciamento de identidade e acesso, estejam bem compreendidas e maduras antes de selecionar e implementar ZTNA.

  • Avalie seu cenário atual de VPN no detalhe, e avalie todos os benefícios para migração para um framework ZTNA, pois muitas vezes se faz necessária uma visão do todo na perspectiva de segurança.

  • Consolide a estratégia de ZTNA / SSE como parte das decisões de arquitetura SASE mais amplas, a fim de evitar a complexidade e configurações potencialmente não suportadas de vários agentes em dispositivos gerenciados.

  • Priorize a seleção do fornecedor ZTNA, com base nos casos de uso de acesso do usuário final, assim como endpoint e arquitetura de aplicativos da organização.


Definição de mercado


O Zero Trust (ZTNA) como produto e serviço, criam um limite de acesso lógico baseado em identidade e contexto, que conectam um usuário corporativo a um aplicativo ou conjunto de aplicativos. Os aplicativos ficam ocultos eliminando a superfície de ataque, o acesso é restrito por meio de um agente de confiança a uma coleção de posturas definidas. O agente verifica a identidade, o contexto e a adesão à política dos participantes antes de permitir o acesso e minimiza a movimentação lateral. A ZTNA remove a confiança implícita excessiva (como a aplicada na VPN tradicional) e em conjunto com CASB e SWG, é uma das principais tecnologias que compõem o mercado de Security Service Edge (SSE).

Descrição do mercado

O mercado ZTNA evoluiu de uma substituição de VPN para um componente chave de arquitetura padronizada para usuários (remotos e pequenas filiais) e para redes de Zero Trust de aplicativos. A ZTNA deve ganhar grande impulso em ambientes de maior escala, devido ao investimento de valor agregado em relação a soluções baseadas em dispositivos. A tecnologia ZTNA é uma etapa organizacional importante para o aumento da maturidade de segurança juntamente com SWG, CASB, DLP, SSE e SASE.


O ZTNA fornece acesso controlado com reconhecimento de identidade e contexto aos recursos, reduzindo a superfície de ataque, com uma postura de negação padrão de Zero Trust. Pois concede acesso com base na identidade (usuários e dispositivos), além de atributos e contexto, como hora/data, geo-localização, postura do dispositivo etc., oferecendo uma seção apropriada exigida para o acesso. O resultado é um ambiente mais resiliente, com maior flexibilidade e melhor monitoramento. O ZTNA atrai organizações que buscam maneiras mais flexíveis e responsivas de se conectar e colaborar aos seus sistemas de negócios digitais, funcionários remotos e parceiros.


O isolamento proporcionado pelo ZTNA melhora a conectividade, eliminando a necessidade de expor os aplicativos diretamente à Internet. Uma vez que o agente avaliou as credenciais de um usuário e o contexto de seu dispositivo, se comunica com uma função de gateway colocada logicamente perto dos aplicativos. Na maioria dos casos, o gateway estabelece um caminho de comunicação de saída para o usuário.

Idealmente , o comportamento do usuário e do dispositivo é continuamente monitorado quanto a atividades anormais. De certo modo, o ZTNA cria “perímetros virtuais” individualizados que englobam apenas o usuário, o dispositivo e o aplicativo.


Direção do mercado


O mercado está convergindo cada vez mais para uma arquitetura SSE na maioria das implantações. É notável uma demanda crescente por implantações onde não há presença do agente nos dispositivos não gerenciados e/ou acesso de terceiros. Os gestores de segurança e risco precisão garantir que o fornecedor escolhido, ofereça suporte para ambas abordagens cobrindo os casos de uso mais comuns.

Em curto ou médio prazo, implantar soluções SSE e SASE totalmente integradas incluindo ofertas de SWG, DLP e CASB.


Análise de mercado


Benefícios e usos


Os benefícios do ZTNA são imediatos. Ao substituir o acesso VPN por solução ZTNA, esta fornece acesso contextual, baseado em risco e com menos privilégios a aplicativos (não a redes). Ao substituir aplicativos expostos em DMZs por ZTNA, os serviços não são mais visíveis na Internet pública e, portanto, protegidos contra invasores. Além disso, o ZTNA traz benefícios significativos na experiência do usuário, agilidade, adaptabilidade e facilidade de gerenciamento de políticas. O ZTNA é baseado em nuvem, escalabilidade e facilidade de adicionar recursos, são benefícios adicionais. Como resultado dos esforços de transformação digital, a maioria das empresas terá mais aplicativos, serviços e dados fora de suas fronteiras do que dentro delas. Os serviços ZTNA baseados em nuvem colocam os controles de segurança onde os usuários e aplicativos estão.


Casos de uso ZTNA:

  • Acesso a aplicativos e serviços para membros colaborativos (local, remoto, terceiro), como canais de distribuição, fornecedores, contratados ou pontos de venda sem exigir uma VPN ou DMZ. O acesso é associado a usuários, aplicativos e serviços.

  • Cria critérios com base no comportamento do usuário, por exemplo, se o telefone de um usuário estiver em um país, mas seu PC estiver em outro país e ambos estiverem tentando fazer logon no mesmo aplicativo, o acesso legítimo deve ser permitido, enquanto os dispositivos comprometidos devem ser bloqueados.

  • Aplica a criptografia desde o endpoint até o gateway, protegendo o usuário mesmo em pontos de acesso não confiáveis como rede publica sem fio, operadora ou provedor de nuvem.

  • Fornece acesso específico ao aplicativo correspondente a terceiros e/ou funcionários remotos ou móveis como uma alternativa ao acesso baseado em VPN.

  • Controla o acesso administrativo a aplicativos IaaS/PaaS como uma alternativa de baixo custo para ferramentas de gerenciamento de acesso privilegiado (PAM).

  • Prove acesso a uma organização M&A, sem a necessidade de combinar redes, combinar diretórios ou configurar VPN site-to-site e regras de firewall.

  • Isola aplicativos corporativos de alto valor na rede interna ou na nuvem para reduzir ameaças internas com a divisão de tarefas para acesso administrativo.

  • Autenticação de usuários em dispositivos pessoais , assim o ZTNA pode melhorar a segurança e simplificar o acesso por dispositivo (BYOD), reduzindo privilégios com acesso direto a aplicação, não a rede.

  • Acesso seguro a dispositivos (IoT) com um conector virtual no segmento de rede IoT.

  • Protege os sistemas internos de redes hostis, como a Internet pública, removendo o acesso de entrada e reduzindo a superfície de ataque .

Recomendações de mercado


Dado o risco significativo que a Internet pública representa, e a atratividade de comprometer os sistemas expostos na Internet, as empresas precisam considerar o isolamento dos serviços de negócios digitais da visibilidade da Internet pública. O ZTNA oculta serviços de descoberta e reconhecimento, e cria verdadeiras barreiras baseadas em identidade que estão provando ser mais desafiadoras para os invasores contornarem do que VPNs e firewalls tradicionais em nível de rede.


A transição da VPN tradicional para uma solução ZTNA, pode ser gradativa, começar permitindo o acesso de terceiros e, em seguida, passar para aplicativos voltados para funcionários à medida que substitui progressivamente sua VPN herdada. Um projeto ZTNA é um passo em direção a uma postura de segurança de rede de Zero Trust ampliada (negação padrão, confiança implícita zero). Especificamente, nada pode se comunicar (ou mesmo ver) um recurso de aplicativo até que a relação de confiança suficiente seja estabelecida, dado o risco e o contexto atual para conectividade de rede.


Para aplicativos baseados em DMZ, avalie quais conjuntos de usuários requerem acesso. Para os aplicativos com um conjunto definido de usuários, planeje migrá-los para um serviço ZTNA. Use a migração desses aplicativos para IaaS de nuvem pública como um catalisador para essa mudança de arquitetura.


No entanto a ZTNA é uma das tendências de crescimento mais rápidas em segurança e fornece a você total acesso a uma rede Zero Trust!


20 visualizações0 comentário

Comments


bottom of page