Em meio a hackers, crackers e as mais diversas ameaças cibernéticas como vírus, malwares, ransomwares, phishings e afins, as VPNs (“Virtual Private Network”, isto é, Redes Privadas Virtuais) têm sido as “queridinhas” das áreas de tecnologia da informação de grandes, médias e pequenas empresas. Elas viabilizam o acesso remoto seguro de usuários, protegendo seus dados de navegação, especialmente a identificação de seu endereço de IP (número de identificação de um dispositivo conectado à internet), por meio de criptografia.
Mas se as VPNs são tão eficientes na proteção da conexão de acesso remoto entre um usuário e o servidor remoto da empresa ou terceirizado, por que as áreas de TI corporativas ainda têm tanto receio na sua utilização? A resposta é simples. Se alguém mal-intencionado conseguir violar a proteção daquela VPN, apropriando-se indevidamente de um login e senha, por exemplo, ele terá acesso a toda a rede da organização. Dependendo da sua habilidade e dos demais meios de proteção, ele poderá derrubá-la ou até mesmo sequestrá-la, a fim de exigir o pagamento de resgastes para liberar o acesso a seus dados.
Além disso, as VPNs possuem outras fragilidades. Por exemplo, dependendo da quantidade de pessoas acessando um servidor remotamente, as VPNs acabam sendo gargalo. Outro importante ponto negativo da VPN é que quaisquer dispositivos conectados por meio dela não podem ser gerenciados pelas equipes de TI, as quais ficam cegas em relação aos respectivos equipamentos. E, finalmente, as VPNs não são capazes de alertar qualquer tentativa de invasão, já que não foram projetadas com tal finalidade.
Com isso em mente, em 2010, John Kindervag, atual vice-presidente da empresa Forrester, trabalhava em um modelo de confiança zero. Já em 2017, analistas da empresa Gartner desenvolveram o conceito similar denominado CARTA (“Continous Adaptative Risk and Trust Assessment”, isto é, Análise Contínua e Adaptável de Riscos e Confiança). Finalmente, em 2019, Steve Riley, um dos analistas da Gartner, escreveu um relatório para o mercado sobre o CARTA, mas acabou convencendo a todos os colegas da empresa que o acrônimo ZTNA (“Zero Trust Network Access”, isto é, Acesso à Rede de Confiança Zero) seria um título mais interessante para o mercado. E ele tinha razão, já que atualmente o termo “confiança zero” é utilizado por praticamente todo o mercado de cibersegurança.
Assim, o ZTNA é um modelo de segurança da informação que nega, por padrão, o acesso a aplicativos e dados, já que assume que não se deve confiar automaticamente em ninguém, seja dentro ou fora da rede, sendo ou não alguém da própria organização. Ele atribui acesso com privilégios mínimos e um monitoramento da segurança altamente abrangente.
Dessa forma, cada acesso é auferido e autenticado, independentemente do local de onde estiver ocorrendo, por meio de uma combinação de tecnologias. Dentre estas, usam-se a verificação baseada em risco, autenticação multifatorial, microssegmentação, controle de acesso baseado em políticas, criptografia, monitoramento de segurança e autenticação de dispositivo.
Um conceito fundamental no ZTNA é o papel de um agente para estabelecer o nível de confiança. Ele reside fora da rede, à frente de aplicativos corporativos, isolando-os do acesso direto por meio de um proxy e fornece o nível certo de confiança para um usuário autenticado acessar um aplicativo específico. Ele verifica a integridade do dispositivo, sua geolocalização e outras biometrias comportamentais do usuário, gerando uma pontuação de confiança. Se essa pontuação for adequada para o aplicativo especificado, o usuário receberá acesso por meio do agente, sendo que o usuário tem acesso permitido apenas ao aplicativo especificado. Assim, se um usuário desejar acessar um aplicativo diferente, ele precisa se autenticar novamente para esse aplicativo e os requisitos de autenticação podem ser diferentes, evitando movimentos laterais dentro da rede.
Os pontos fracos do ZTNA residem em 2 aspectos. O primeiro deles é o agente que estabelecerá o nível de confiança, já que, se ele for comprometido, poderá atribuir nível de confiança a alguém que não o merece. O segundo é a pontuação de credibilidade para estabelecer o nível de confiança que, se for manipulada, alguém também poderá valer-se maliciosamente disso.
Ainda que esses 2 aspectos sejam um motivo de grande preocupação para quem defende o conceito, já que a criatividade e a capacidade inventiva de hackers surpreendem mais e mais os especialistas em cibersegurança, o ZTNA é, sem dúvidas, mais seguro que firewalls e VPNs atualmente. E considerando os ambientes corporativos, os quais cada vez mais se utilizando de ambientes em cloud, o ZTNA realmente parecer ser a solução mais segura para permitir que seus ativos digitais estejam disponíveis em qualquer lugar, a qualquer hora e em qualquer dispositivo.