Ao longo dos últimos anos, muitas organizações introduziram uma solução de zero trust network access (ZTNA) nos negócios e começaram a ver os benefícios disso. Mas muitas outras adiaram esse processo por causa do trabalho que a transição para um modelo de acesso baseado em zero trust e a integração técnica associada a ela exigem. Neste blog, vou desvendar os aspectos que devem ser considerados e compartilhar alguns insights sobre como as organizações podem começar sua mudança para a ZTNA agora e fazer uma transição completa ao longo do tempo, ao desmascarar alguns dos mitos comuns que ouço falar a respeito do assunto.
Muitas das questões relacionadas à VPN fazem sentido, sejam elas sobre criptografia e autenticação, inadequação de sua premissa original à forma híbrida que trabalhamos hoje e, é claro, a segurança de conexões remotas.
E o ZTNA procura resolver cada um desses problemas, usando uma camada da nuvem para intermediar conexões entre usuários e aplicações. Porém, a conectividade confiável e rápida com as aplicações continua sendo um problema para as organizações. Um relatório recente da Cisco afirma que 51% delas teve problemas para conectar os funcionários aos recursos da empresa nos últimos 18 meses.
Conectar as pessoas às aplicações não deve ser uma tarefa difícil e os cinco mitos abaixo são as razões que comumente ouço de organizações que ainda não adotaram a abordagem ZTNA.
Mito 1: Ainda não senti necessidade de criar uma política baseada em zero trust
Este mito pode ser dividido em duas partes: ou você não entendeu direito o cenário geral em que a aplicação está inserida, ou não entendeu direito como funcionam grupos de usuários e permissão de acesso.
Ambos podem ser resolvidos com uma migração bem estruturada e um planejamento prévio para identificar os principais casos de uso e dados mais valiosos do negócio. Processos que podem ser facilitados quando aliados à outras inciativas, como migração para nuvem. A questão relacionada a aplicações também pode ser resolvida por ferramentas de descoberta integradas em soluções ZTNA e SSE.
E por fim, vale lembrar que migração de usuários sempre acontecerá por estágios durante a implementação de uma solução ZTNA, o que permitirá a construção de políticas de acesso corretas ao longo do tempo. Deve-se começar por aplicações e usuários de alto risco para obter ganhos rápidos, construir políticas de acesso baseadas em zero trust para ambos e migrar serviços ao longo do tempo, desenvolvendo uma política abrangente baseada em zero trust para sustentar o ZTNA.
Mito 2 - Implementar zero trust e ZTNA soa como fechar um grande negócio
Apesar de entender por que este mito existe, é importante lembrar que zero trust e ZTNA não são a mesma coisa – e há um jeito bem simples de comprovar isso. Zero trust é um conceito e pode ser traduzido em uma estratégia de segurança - algo que permite a você remover sistematicamente a confiança implícita. ZTNA é um mecanismo, uma tecnologia usada para implementar um modelo de segurança baseado em zero trust para acesso remoto às aplicações. Dito isto, ZTNA é um grande primeiro passo que muitas empresas dão para iniciar sua jornada zero trust sem que seja necessário gastar muitos recursos.
Mito 3: ZTNA adicionará mais um client ao meu endpoint
É verdade que muitas soluções ZTNA têm um client a mais para gerenciar conexões, além de executar verificações de postura e fornecer integração com fornecedores de autenticação. O ZTNA também pode ser fornecido através de conexões baseadas em um navegador da web, o que, embora resolva a questão "Não estamos incluindo outro client ao endpoint", não permite muitos dos benefícios que a implantação da tecnologia traz. A abordagem da Netskope é única no mercado, fornecendo uma única instância para todos os aspectos de acesso seguro à arquitetura SASE. Uma instância que não só fornece acesso remoto, mas também direciona o tráfego de aplicações web e na nuvem, inspeciona o conteúdo, facilita o DLP do endpoint e fornece treinamento e feedback ao usuário final.
Esta é uma razão pela qual as organizações devem sempre considerar seus planos a longo prazo para SASE. Se o ZTNA for o primeiro passo em sua jornada SASE, é preciso certificar-se de que a plataforma escolhida forneça todas as capacidades necessárias para uma oferta SASE unificada no futuro.
Mito 4: ZTNA é apenas um substituto da VPN
Apesar de ZTNA substituir a VPN em muitos casos de uso, o projeto inicial de adoção dessa tecnologia dentro de muitas organizações é impulsionado pela necessidade de fornecer ao contratante e a terceiros acesso a aplicações internas.
Essas iniciativas de acesso são muitas vezes completamente separadas das iniciativas de acesso remoto para funcionários, e são os casos perfeitos para primeira utilização de ZTNA, onde o mesmo nível de confiança implícita não pode ser aplicado ao dispositivo ou usuário que se conecta à aplicação ou à rede.
Outro caso de uso comum de ZTNA é para o suporte a fusões e aquisições, já que elas permitem o provisionamento muito rápido e o escalonamento que VPNs tradicionais não conseguem, especialmente em um mundo mais híbrido, onde a maioria dos concentradores de VPN estão funcionando em próxima a capacidade máxima.
Mito 5: VPN e ZTNA não podem correr lado a lado
Para meu mito final, gostaria de abordar um ponto de discussão comum. Muitas organizações precisam manter a capacidade limitada da VPN em execução para aplicações legadas e ainda acreditam que podem mantê-la disponível para todos os usuários.
Este pensamento não leva em conta um dos principais motivos para a implantação da ZTNA: o fornecimento de controle de políticas granulares, incluindo políticas de reconhecimento de conteúdo para acesso a aplicações. Soluções ZTNA reduzem o risco, não apenas de acesso direto não autorizado ou de ações suspeitas, mas também de movimento lateral.
Muitas organizações executam VPN e ZTNA lado a lado, fazendo mudanças nas políticas de acesso e roteamento VPN após a implementação do ZTNA, para reduzir o risco associado ao comprometimento da VPN. Com o tempo, à medida que as organizações concluem seus projetos de transformação digital, eliminam aplicações legadas e soluções VoiP, elas podem desativar inteiramente sua VPN.
Rodar VPN e ZTNA ao mesmo tempo também ajuda a destacar uma solução para alguns dos problemas mais comuns com VPN atualmente relacionados ao desempenho, rede/conectividade e custo do tráfego em um data center. A migração de tráfego de VPN para ZTNA e para uma plataforma SASE ou SSE mais ampla resolve esses dois problemas, reduzindo, em última análise, os custos gerais.
Para mais informações sobre alguns dos pontos abordados neste blog, leia nosso Guia Prático para o ZTNA.