O que é ZTNA (Zero Trust Network Access)?
ZTNA (Zero Trust Network Access, ou acesso à rede com confiança zero) é um modelo de segurança que verifica cada usuário e cada dispositivo antes de liberar o acesso a uma aplicação específica, e nunca confia em ninguém apenas por estar 'dentro da rede'. Segue o princípio 'nunca confie, sempre verifique': o acesso é concedido por aplicação, não à rede inteira, e pode ser revogado a qualquer momento.
Como funciona o ZTNA
Em vez de abrir a rede inteira depois de um login, o ZTNA trata cada pedido de acesso como não confiável até prová-lo. A verificação acontece toda vez, não só na entrada.
Verifica a identidade
Confirma quem é o usuário com autenticação forte, quase sempre com uma segunda verificação (MFA). Senha sozinha não basta.
Verifica o dispositivo
Checa se o aparelho está em condições seguras: atualizado, com proteção ativa. Um dispositivo comprometido não passa.
Libera só a aplicação certa
Concede acesso àquele sistema específico, não à rede toda. O resto da infraestrutura fica invisível para o usuário.
Reavalia o tempo todo
A confiança não é permanente: se mudam o comportamento, o local ou o risco, o acesso é reavaliado ou cortado na hora.
Fonte: Cyber Encyclopedia da N-able e NIST SP 800-207 (Zero Trust Architecture).
ZTNA e VPN: a diferença que importa
- Acesso: rede inteira ou só a aplicação A VPN funciona como a ponte levadiça de um castelo: quem entra circula por dentro. O ZTNA é como o cartão de um hotel, que abre só o seu quarto: acesso a uma aplicação por vez.
- Confiança: uma vez ou sempre A VPN confia depois do login inicial. O ZTNA reverifica a cada acesso, porque uma sessão pode ser sequestrada.
- Se uma conta é roubada Na VPN, o invasor com a credencial anda pela rede. No ZTNA, fica preso a um único recurso: o resto está invisível, o que limita a movimentação lateral.
- Trabalho remoto A VPN foi feita para poucos acessos ocasionais. O ZTNA nasceu para equipes distribuídas e nuvem, sem gargalo nem exposição da rede.
Por que a VPN sozinha virou um risco
A VPN foi feita para outra época: poucas pessoas conectando de vez em quando a uma rede de escritório confiável. Ela dá acesso amplo depois de um único login, então uma credencial roubada, a via de entrada número um (22%, Verizon DBIR 2025), deixa o invasor circular e se mover lateralmente. Com o trabalho remoto e a nuvem, essa confiança ampla virou o risco. O ZTNA inverte isso: nunca confiar na rede, verificar cada pedido, liberar só a aplicação específica. Por isso o Gartner projetou que, até 2025, ao menos 70% das novas implantações de acesso remoto usariam ZTNA em vez de VPN, ante menos de 10% em 2021. Não apaga a violação (custo médio de $ 4,44 milhões, IBM 2025), mas a contém: o atacante recebe um quarto trancado, não o prédio inteiro.
Como adotar o ZTNA na prática
ZTNA é mais uma questão de mentalidade do que a troca de uma ferramenta. Na prática, o que sustenta um bom modelo de confiança zero é:
- Comece pela identidade forteConfiança zero começa com MFA. Sem uma segunda verificação, não há 'nunca confie, sempre verifique'.
- Acesso por aplicação, não por redeDê a cada pessoa só o que ela precisa acessar. O resto deve ser invisível, não apenas bloqueado.
- Verifique a saúde do dispositivoUm acesso legítimo de um aparelho infectado ainda é uma porta. Cheque a postura do dispositivo antes de liberar.
- Menor privilégio, sempreO acesso mínimo necessário, pelo tempo necessário. Privilégio que sobra é risco parado.
- Trate como jornada, não interruptorMigrar da VPN é gradual: comece pelas aplicações mais críticas e pelo acesso remoto, e amplie.
Na prática
A pergunta que revela o risco da VPN: se a credencial de um funcionário vazasse hoje, o invasor teria acesso à rede inteira ou a um único sistema?
Como a Zamak trata o ZTNA
A Zamak Technologies desenha o acesso pelo princípio da confiança zero: identidade verificada, dispositivo checado e acesso concedido por aplicação, para que uma credencial roubada não abra a rede inteira. Um bom ponto de partida é o diagnóstico de cibersegurança, que mostra onde o acesso ainda é amplo demais. Faz parte da Cibersegurança do Método Zamak.