Por Jonathas MonteiroNeste artigo, vamos explorar o conceito de ZTNA (Zero Trust Network Access) e sua importância para a segurança da informação nas empresas modernas.
Segundo o National Institute of Standards and Technology (NIST), Zero Trust é um modelo de segurança que remove a confiança implícita baseada apenas na rede ou na posse de um ativo. O conceito reforça que autenticação e autorização devem ocorrer antes da liberação do acesso, com validação contínua, aplicação de menor privilégio e análise constante do contexto da conexão.
Dentro desse cenário, o ZTNA (Zero Trust Network Access) surge como uma das principais abordagens para controle de acesso seguro em ambientes corporativos modernos.
Embora muitos digam que o ZTNA substitui a VPN tradicional. Eu diria que não substitui ou substitui em poucos casos. Mais do que isso, ele representa um avanço na forma como gerenciamos identidades e uma mudança real e significativa na arquitetura de segurança. Na prática, o ZTNA é um desdobramento natural de uma estratégia madura de Gestão de Identidades e Acessos (IAM).
Uma mudança na lógica de acesso.
Ao analisar a evolução da segurança na transformação digital, fica claro que o ZTNA (Zero Trust Network Access) vai muito além da simples substituição de VPNs corporativas.
Além disso, existe uma transição evidente para um modelo em que identidade, geolocalização, comportamento do usuário, postura do dispositivo e contexto da conexão passam a definir o acesso. Ou seja, a segurança deixa de depender apenas da rede e passa a considerar fatores dinâmicos antes de permitir qualquer conexão.
No entanto, essa visão está diretamente alinhada ao conceito de Zero Trust, que exige validação contínua de cada acesso antes da permissão.
Esse, inclusive, é um dos maiores desafios atuais para quem lidera Segurança da Informação: gerenciar identidades, privilégios e acessos em ambientes cada vez mais distribuídos.
ZTNA não é só tecnologia.
O ZTNA, sem dúvida, reduz complexidade operacional e melhora o controle de acesso remoto seguro, desde que esteja corretamente implementado, como qualquer outra tecnologia de segurança.
Porém, não basta termos uma Ferrari se não sabemos como ligá-la ou dirigi-la.
A relevância do ZTNA cresce à medida que a identidade se consolida como principal superfície de ataque. Referências como o NIST SP 800-207 colocam identidade, contexto e verificação contínua no centro das arquiteturas modernas de cibersegurança.
Por todavia, na prática, os números mostram isso:
- mais de 600 milhões de ataques diários observados pela Microsoft, sendo mais de 99% baseados em senha;
- credenciais comprometidas como vetor inicial em 22% das violações, segundo a Verizon.
- Ou seja, quando uma identidade é comprometida, o caminho para movimentação lateral e escalonamento de privilégios se torna muito mais curto, principalmente sem controles baseados em contexto.
Da rede para o contexto.
Dessa forma, antes, a confiança estava baseada na topologia da rede. Se um pacote vinha de um IP de VPN ou de uma VLAN específica, o usuário era considerado seguro.
O problema é que essa abordagem frequentemente oferece visibilidade interna irrestrita, facilitando movimentos laterais maliciosos dentro do ambiente corporativo.
O ZTNA muda completamente essa lógica. A decisão de acesso deixa de ser um simples “sim ou não” e passa a ser uma análise contínua de contexto:
Quem é você?
Seu dispositivo está seguro?
Você está no domínio corporativo?
Esse acesso faz sentido neste momento?
A granularidade desse controle é ampla e adaptável a diferentes realidades de negócio, permitindo segmentação por aplicação e redução significativa da superfície de exposição.
Aplicação prática no dia a dia.
Além disso, na prática, o ZTNA resolve problemas que a VPN tradicional nunca foi projetada para resolver.
Como consultor, observo isso principalmente em cenários como:
acesso de terceiros, em que não é necessário expor toda a rede, apenas a aplicação específica (SSH, RDP, entre outros);
Conexões entre empresas com conflitos de IP, o clássico “inferno de NAT”, resolvidas via identidade;
situações em que é necessário restringir a visibilidade apenas ao recurso necessário.
Por outro lado, outro ponto relevante é a experiência do usuário. O tráfego deixa de retornar obrigatoriamente ao data center e passa a ser direcionado diretamente ao destino, com inspeção na borda, menor latência e melhor desempenho.
Casos de uso comuns de ZTNA
Contudo, no dia a dia, alguns cenários mostram claramente o valor do ZTNA:
- Acesso remoto seguro a aplicações internas sem expor toda a rede.
- Acesso de terceiros restrito ao sistema necessário e por tempo determinado.
- Substituição gradual de VPNs legadas em ambientes híbridos.
- Controle baseado na postura do dispositivo.
- Segmentação por aplicação, reduzindo o impacto de credenciais comprometidas.
O que faz o ZTNA funcionar na prática?
Embora o sucesso do ZTNA dependa muito mais de arquitetura, planejamento e implementação do que da ferramenta em si.
Algumas boas práticas fazem diferença:
- começar pela identidade (SSO, MFA e governança);
- especificar o acesso por aplicação, preferencialmente usando FQDN;
- aplicar menor privilégio, principalmente para administradores e terceiros;
- utilizar contexto e postura do dispositivo como condição de acesso;
- registrar e monitorar sessões;
- migrar em ondas, priorizando aplicações críticas e grupos de maior risco.
ZTNA e PAM caminham juntos.
Não dá para falar de ZTNA sem mencionar o PAM (Privileged Access Management).
Ambos fazem parte do conceito de Zero Trust. Não adianta implementar um ZTNA moderno mantendo uma base de identidades desorganizada e privilégios excessivos.
O ZTNA concretiza o princípio do menor privilégio na rede: ele define exatamente quais aplicações o usuário pode acessar. Se não existe necessidade operacional, o recurso simplesmente não fica visível.
Desafios existem e fazem parte.
Por fim, a transição para ZTNA pode trazer desafios importantes, como:
- aplicações legadas dependentes de protocolos antigos;
- necessidade de adaptação de ambientes;
- mapeamento de workloads e aplicações;
- identificação de Shadow IT.
- Nada fora do esperado em uma mudança estrutural de arquitetura de segurança.
Em síntese,
Por exemplo, um projeto de ZTNA bem implementado não apenas moderniza o acesso remoto corporativo. Ele melhora a segurança, reduz riscos e cria coerência entre identidade, contexto e negócio.
O mais importante é entender que ZTNA não é apenas um software instalado no ambiente. É uma mudança de visão sobre como o acesso deve funcionar em arquiteturas modernas de cibersegurança.
No final, a pergunta deixa de ser: “Como proteger a rede?” E passa a ser: “Como garantir que a pessoa certa acesse a informação certa, no momento certo?”
