Por Francisco Camargo*
As empresas estão nas nuvens literalmente. Para dar a dimensão disto, a cloud computing já representa, em média, 42% do processamento nas empresas do Brasil, segundo a Pesquisa Anual do Centro de Tecnologia de Informação Aplicada da Fundação Getúlio Vargas (FGVcia). Mas, à medida que as organizações movem seus aplicativos de negócios para vários ambientes cloud, surgem muitos desafios, especialmente para a proteção de dados, cujo cenário é desanimador, com pragas cibernéticas assolando implacavelmente todas as corporações.
A adoção da nuvem, somada às transformações dos modos de fazer corporativos, especialmente o trabalho híbrido, tornaram muitas tecnologias de proteção de dados obsoletas. É o caso das tradicionais VPNs (Virtual Private Network ou rede virtual privada), que ficaram ultrapassadas diante da acirrada disputa de gato e rato – cibercrime e empresas vítimas de ataques (nesta ordem mesmo) – por não acompanharem a verdadeira disrupção dos criminosos.
Para substituí-las, empresas especializadas em cibersegurança desenvolveram soluções de Private Access, baseadas na tecnologia ZTNA (Zero Trust Network Access), uma evolução das VPNs. Criada dentro do princípio de Zero Trust e do escopo necessário à gestão de acesso anytime anywhere anydevice, o ZTNA é uma estrutura de segurança e acesso a workloads e aplicações multicloud, com controles e políticas de proteção, baseados em contexto.
Nas redes virtuais privadas isso não ocorre. Portanto, o maior problema da VPN é permitir ao usuário, em sua casa, acessar toda a rede da empresa, todas as informações que estão nela, mediante o uso de login e senha. Mesmo tendo alguma limitação, a porta está sempre aberta. Essa falta de restrição e de granularidade pode comprometer a segurança. Tanto que, segundo o Thales Data Threat Report, 46% dos entrevistados afirmaram ter sofrido violação de dados nos últimos 12 meses.
Ao invés de ter acesso a toda a rede da empresa, com o ZTNA, o usuário entra apenas em aplicações específicas que ele precisa usar naquele momento. E toda vez que ele for acessar a aplicação, a validação precisa ser feita novamente, sendo considerados todos os controles a cada acesso. O caminho não fica aberto. O acesso aos aplicativos é negado por padrão. As políticas são granulares, adaptáveis e fazem reconhecimento de contexto, garantindo acesso Zero Trust seguro e contínuo a aplicativos privados hospedados em nuvens e em data centers corporativos.
O “reconhecimento de contexto” pode ser uma combinação de identidade do usuário, sua localização, horário, tipo de serviço e postura de segurança do dispositivo.
Sem querer massacrar as VPNs, mas já massacrando. Um dos seus principais entraves é não conseguir monitorar cada dispositivo de conexão para proteger o acesso ao aplicativo e evitar a exfiltração de dados. Outra dificuldade é a lentidão. As VPN não foram projetadas para atender ao trabalho remoto e distribuído. O backhaul, que leva a conexão de cada usuário por meio de hubs VPN centralizados, tem problemas de largura de banda e de desempenho, o que afeta a experiência.
Nas ZTNAs, ao contrário, os usuários podem se conectar diretamente ao aplicativo, o que torna o acesso aos recursos corporativos, hospedados em ambientes IaaS ou data centers privados, rápido e seguro.
Mas, quais são os reais benefícios do ZTNA?
Ora, um dos recursos essenciais para a proteção dos acessos é a microssegmentação das redes. Com ele, empresas podem criar perímetros definidos por software e literalmente dividir a rede corporativa em vários microssegmentos, evitando o movimento lateral de invasores e reduzindo a superfície de ataque em caso de violação.
Também torna os aplicativos invisíveis na web, criando uma darknet virtual que impede a descoberta de aplicativos na internet pública. Desta forma, o ZTNA protege contra exposição de dados que ficam na internet, malwares e ataques DDoS.
Se a empresa tiver aplicativos legados hospedados em data centers privados, o ZTNA estende todos os seus recursos para eles, facilitando enormemente a conectividade segura. E mantém o acesso remoto, seja para aplicativos privados ou SaaS, rápido e ininterrupto diretamente na nuvem, o que eleva a experiência dos usuários.
VPN x ZTNA
A diferença fundamental entre VPN e ZTNA está no acesso. Aquele protege o acesso no nível da rede e o ZTNA, no nível do aplicativo. Como mencionado, as VPNs permitem acesso total à rede privada para qualquer usuário com login e senha válidos, superexpondo recursos corporativos sensíveis a contas comprometidas e ameaças internas. Os hackers que obtêm acesso a toda a rede podem se mover livremente pelos sistemas internos sem serem detectados.
O ZTNA restringe o acesso do usuário a aplicativos específicos estritamente com base na “necessidade de saber” ou de usar, limitando a exposição de dados e a movimentação lateral de ameaças em caso de algum ataque cibernético. Há controle, menos privilégios e todas as solicitações de conexão são verificadas antes de conceder o acesso aos recursos internos, limites essenciais para evitar violações.
Às VPNs também faltam controles no nível do aplicativo e visibilidade das ações dos usuários quando estão dentro da rede privada. Já os ZTNAs registram todas as ações, propiciando visibilidade e monitoramento mais profundos sobre o comportamento e os riscos de cada usuário. Isso permite impor controles, baseados em informação e centrados em dados, para proteger o conteúdo confidencial nos aplicativos.
Outro ponto desfavorável às VPNs é que suas conexões não analisam os riscos dos dispositivos de quem entra na rede. Um dispositivo comprometido ou infectado por malware pode se conectar facilmente ao servidor e obter acesso a recursos internos. Os ZTNAs fazem avaliação contínua dos dispositivos conectados, validam a postura de segurança e permitem acesso ajustado aos recursos com base na confiança do dispositivo exigida naquele momento. Se um risco for detectado, a conexão é encerrada imediatamente.
No fundo, a segurança é um problema de proteção de dados, especialmente em um mundo que prioriza a nuvem. Não se pode mais usar abordagens antigas para proteger informações.
*Francisco Camargo é fundador e CEO da CLM