VPN vs Zero Trust
Com ascensão do trabalho remoto (e, posteriormente, do híbrido), decorrente da pandemia de Covid-19, as empresas que trabalham com tecnologia, ou dependem dela para continuar existindo, tiveram que se adequar e buscar soluções de trabalho para seus colaboradores. A VPN (Virtual Private Network) foi a mais utilizada.
A ferramenta permite que funcionários tenham acesso remoto a uma rede corporativa, a partir de suas próprias máquinas. Isso porque a VPN oferece uma forte segurança criptografada de todo o tráfego da internet, guiando os dados através de seu “túnel”.
Por isso, a VPN possibilita mais anonimato na navegação pela internet, não expondo o endereço de IP do usuário, impossibilitando o rastreio de identidade e localização.
Dessa forma, pessoas podem usar a VPN por diversos motivos, tais como:
- Maior segurança de navegação online;
- Privacidade;
- Possibilidade de liberdade, já que é possível burlar censuras e restrições;
- Utilizar redes Wi-Fi públicas com maior segurança.
Em organizações, a VPN é bastante utilizada por ser uma solução de segurança baseada em datacenter que oferece aos usuários autorizados acesso à rede, independentemente de sua localização e estado.
E é justamente esta característica da VPN que preocupa profissionais de Tecnologia da Informação, já que ela pode permitir que toda rede da empresa fique suscetível a ataques.
O problema é que para a VPN, todos que passam pelos controles do perímetro de segurança são confiáveis. Surge então uma outra possibilidade de segurança, que, ao contrário da VPN, tem como premissa que todos não são confiáveis até que se prove o contrário: A Zero Trust.
Mas o que é Zero Trust?
Zero Trust, ou Zero Trust Network Access (ZTNA), é uma estratégia de segurança de TI mais abrangente e que permite a restrição dos controles de acesso a redes, aplicativos e ambiente de trabalho – sem diminuir o desempenho e experiência dos usuários.
Diferente das VPNs, que são soluções que estabelecem um túnel privado e criptografado entre um funcionário remoto e uma rede corporativa, a ZTNA oferece uma abordagem ampla e mais flexível.
Zero Trust é principalmente um serviço de nuvem gerenciado pelo fornecedor, com políticas de segurança adaptáveis de confiança zero. Os usuários e dispositivos são verificados não apenas no momento do login. Todos são verificados e validados continuamente durante a sessão do usuário.
Com a estratégia ZTNA, não existe confiança implícita a um usuário, dispositivo ou aplicativo, com base apenas em alguma propriedade sobre eles, como sua localização na rede.
Ela possui três princípios:
1 – Nunca confie, sempre verifique – Um usuário da rede pode não ser quem diz ser, ou pior, pode não ter boas intenções. Então, sempre que o usuário tentar fazer uma nova conexão, mesmo que já esteja dentro do perímetro da rede, ela deve ser autenticada rigorosamente.
2 – Implementar privilégios mínimos – O acesso deve ser concedido de forma mínima, permitindo apenas o necessário para a performance de trabalho do usuário.
3 – Assuma a violação – Ela encoraja o time a se preparar para o pior cenário, criar, testar e reparar incidentes, antes que eles aconteçam.
Benefícios de segurança Zero Trust
A adoção de uma estratégia Zero Trust pode ajudar na definição de regras da política de uma empresa/organização, que podem ser atualizadas continuamente com base nos riscos identificados. Além disso, a ZTNA também pode colaborar na identificação de processos de negócios, usuários, fluxos de dados, dados e riscos associados.
A mudança no formato de segurança de perímetro tradicional para o de Zero Trust aumenta o nível de verificação contínua, o que possibilita a detecção e reparos rápidos de possíveis perigos. Além disso, no que diz respeito a benefícios de segurança, a ZTNA também oferece:
- Evita que credenciais de banco de dados de aplicativos roubados
- Evita o roubo de senhas de desenvolvedores
- Reduz muito a movimentação lateral através da rede corporativa
- Credenciais de bancos de dados de aplicativos roubados
- Proteção de forma eficaz do acesso remoto do usuário
- Garantia de forte autenticação
- Implementação de governança eficaz do acesso a recursos
- Redução do potencial de violação e de danos
- Evita a exfiltração de banco de dados via host de aplicativo comprometido
- Evita a utilização de senha do desenvolvedor para elevar os privilégios do host do aplicativo
- Evita o acesso irregular para estação de trabalho privilegiada
- Suporta iniciativas de auditoria de conformidade
- Acelera uma transição para a nuvem
- Transforma a segurança — iniciando substituições de VPN e adotando soluções definidas por software
A segurança da estratégia Zero Trust também se estende para a nuvem! Isso porque os ambientes de nuvem são diferentes das redes tradicionais e mudam de forma contínua. Isso significa que a abordagem de segurança precisa ser abrangente e adaptável.
E é exatamente aqui onde a Zero Trust entra. Para se ter um bom sistema de segurança para nuvem, as empresas devem implementar uma arquitetura única e unificada, que:
- Possibilita aos usuários acesso seguro aos aplicativos e dados de uma empresa na nuvem pública, aplicativos SaaS e nuvem privada/data centers.
- Controla e limita quem tem acesso a esses ativos e como eles podem ser usados
- Inspeciona o tráfego e aplica as políticas de segurança continuamente.
Além destas características acima, a implementação da Zero Trust para a nuvem também traz benefícios como:
- Melhor visibilidade dos dados, ativos e riscos.
- Segurança consistente e abrangente.
- Velocidade e agilidade para ficar à frente das tecnologias em evolução.
- Custo operacional e complexidade reduzidos.
Como a Zero Trust pode ajudar o usuário
As vantagens da implementação da Zero Trust não se restringem apenas à segurança. As suas soluções também podem facilitar toda a experiência de trabalho dos usuários.
Toda a complexidade, lentidão e problemas de conexão com a VPN se tornam passados com a ZTNA, já que ela fornece acesso remoto a aplicativos privados, em nuvens privadas, de forma muito mais fluida aos usuários.
Como a Zero Trust é nativa da nuvem, ela está disponível em todas as localizações geográficas. Ela também é dimensionada automaticamente com base no número de usuários. Isso permite que eles obtenham excelente desempenho sem gargalos na escalabilidade.
As vantagens na produtividade do usuário incluem a interrupção direta do tráfego de nuvem e SaaS, já que a estratégia não requer backhauling de nenhum tráfego.
O que é preciso para executar a Zero Trust em uma empresa?
As organizações que buscam implementar uma estrutura de segurança Zero Trust devem se atentar aos seguintes tópicos:
Identificação de dados confidenciais – Zero Trust exige uma organização! Identifique e priorize seus dados. É necessário saber exatamente onde os dados estão e todos que possuem acesso a eles.
Detecção de ameaças – ZTNA requer monitoramento contínuo de todas as atividades relacionadas ao acesso e compartilhamento de dados, comparando a atividade atual com as linhas de base construídas no comportamento e nas análises anteriores. A combinação de monitoramento, comportamentos, regras e análises de segurança aprimoram a capacidade de detectar ameaças internas e externas.
Limitação e controle de acesso – Uma mudança para um modelo de segurança Zero Trust exigirá o estabelecimento de limites para usuários, dispositivos, aplicativos e processos que buscarão acesso aos dados identificados. Um modelo de controle de acesso de privilégio mínimo será limitado a uma base de “necessidade de saber”.
Ainda sobre esta limitação, uma abordagem abrangente de Zero Trust inclui usuários, aplicativos e infraestrutura:
Usuários – A primeira etapa de qualquer esforço Zero Trust requer autenticação forte da identidade do usuário, aplicação de políticas de “acesso mínimo” e verificação da integridade do dispositivo do usuário.
Aplicativos – Aplicar Zero Trust a aplicativos remove a confiança implícita com vários componentes de aplicativos quando eles conversam entre si. Um conceito fundamental de Zero Trust é que os aplicativos não podem ser confiáveis e o monitoramento contínuo em tempo de execução é necessário para validar seu comportamento.
Infraestrutura – Tudo relacionado à infraestrutura – roteadores, switches, nuvem, IoT e cadeia de suprimentos – deve ser tratado com uma abordagem Zero Trust.
E como fica o VPN nisso?
A Zero Trust traz a solução de um problema de segurança que se tornou explícito desde 2020. À medida que o trabalho se transformou, também foi necessário se adaptar aos riscos que surgiram provenientes de todos os seus novos formatos.
Neste sentido, a ZTNA, ou Zero Trust, surge não apenas como uma opção, mas também como uma evolução do VPN. Uma estratégia mais segura, eficaz, dinâmica e hábil, tanto para as organizações, pensando em segurança de dados, como também para os usuários, levando em consideração a sua fluidez de trabalho.
Isso quer dizer que o VPN vai cair em desuso do dia para a noite? Não, o processo pode ser lento e gradual! E sabendo que a Zero Trust é uma estratégia para ser adotada, e não apenas um pacote de serviços que pode ser comprado, talvez a sua implementação e difusão ainda leve algum tempo.
Porém, em critérios de segurança e de performance de usuários de uma companhia, a Zero Trust representa uma excelente alternativa para o futuro.
Comments are closed.