18 de agosto de 2022
Por Vishwas Manral - Tecnólogo e Diretor da Cloud Native Security, Skyhigh Security
Ouço muitos mitos sobre o que é Zero Trust Network Access (ZTNA) e como se compara com a VPN. Alguns deles são verdadeiros e muitos estão longe da verdade. Como escrevi os padrões em torno de algumas das principais tecnologias de VPN e de segurança, como IPsec/AdvPN e MPLS, decidi aprofundar um pouco mais a tecnologia e acabar com alguns mitos.
Vamos tentar mergulhar no cerne da questão - ZTNA vs VPN - qual é o facto e a ficção entre os dois? Vamos mergulhar profundamente nas semelhanças e diferenças entre a ZTNA e a VPN.
O ZTNA reduz bastante a superfície de ataque e impede o movimento lateral. Tal como se viu neste ataque à Cisco, quando os atacantes utilizam o movimento lateral de forma eficaz, pode ser muito difícil para as equipas de segurança detectarem e é por isso que o ZTNA se torna muito importante.
VPN
VPN significa Virtual Private Networks (Redes Privadas Virtuais). As VPNs estendem as redes privadas através da rede pública da Internet. A rede pode ligar-se ao nível da ligação de dados (Camada 2 ou Ethernet), ao nível da Internet (Camada 3 ou IP) ou ao nível de transporte (Camada 4 ou TCP) através de um túnel. Por exemplo, quando existe uma VPN de camada 2 entre os dois sítios, estes podem partilhar a mesma sub-rede IP através da Internet pública. Isto leva a uma grande superfície de ataque, tornando o serviço vulnerável. A VPN de acesso remoto é um caso de utilização de VPNs em que os utilizadores remotos se ligam com os seus dispositivos empresariais a redes e aplicações empresariais através de uma VPN.
ZTNA
Zero Trust Network Access (ZTNA) cria um modelo de privilégio mínimo (Zero Trust) para VPNs de Acesso Remoto, permitindo que um utilizador se ligue a aplicações. A ZTNA fornece acesso a aplicações através de um intermediário de segurança, e a aplicação torna-se indetetável sem o intermediário. Com a ZTNA, a ligação entre o utilizador e a aplicação é feita numa camada de aplicação (camada 7), permitindo que o utilizador aceda apenas à aplicação com base no contexto do dispositivo, do utilizador e da aplicação. Além disso, o intermediário pode inspecionar e proteger todo o tráfego antes de este chegar à aplicação.
Fazendo perguntas difíceis: Mitos comuns sobre a ZTNA e a VPN
A ZTNA e a Zero Trust são a mesma coisa?
Não. A Confiança Zero é um conjunto de princípios arquitectónicos que se baseiam em "verificar sempre e depois confiar". O ZTNA é o primeiro caso de utilização da Confiança Zero. Aplica os princípios da Confiança Zero ao caso de utilização da VPN de Acesso Remoto. A Confiança Zero é o "como", enquanto a ZTNA é o "o quê". Agora temos casos de utilização da Confiança Zero para acesso a dados, acesso a aplicações e muito mais.
O ZTNA é mais adequado para o acesso remoto do que a VPN?
Sim. As razões são óbvias. A ZTNA oferece-lhe uma melhor segurança, uma escalabilidade fácil e uma integração e gestão simples. Com o crescimento do trabalho remoto, as soluções da ZTNA que são fornecidas na nuvem são mais fáceis de escalar.
As VPNs vão desaparecer em breve e não existem outros casos de utilização de VPNs?
Não. As VPNs têm muitos casos de uso diferentes. Estes incluem a prevenção de eves dropping, VPNs Site to Site, download anónimo e outros casos de utilização de VPNs de acesso não remoto que a ZTNA não substitui. As soluções VPN são geralmente fornecidas como aparelhos físicos ou virtuais e são mais difíceis de escalar.
Os algoritmos de segurança ZTNA são mais seguros do que as VPNs?
Não. Os mesmos algoritmos de encriptação, geração de chaves e autenticação podem ser utilizados tanto para VPNs como para ZTNA. Não existem diferenças tecnológicas, embora possam existir diferenças nas implementações efectivas.
A ZTNA não tem sobretudo a ver com conetividade, túneis seguros e controlos de rede, tal como as VPN?
Não. Embora a ZTNA tenha começado por ser um substituto da VPN, é muito mais do que controlos centrados na rede baseados na identidade. A ZTNA está a tornar-se mais centrada nos dados e na segurança. Com a ZTNA, as políticas DLP podem ser aplicadas a todos os ficheiros de saída para evitar fugas de dados maliciosas ou inadvertidas.
Tal como a VPN, o ZTNA também necessita do cliente ZTNA para funcionar?
Não. O ZTNA pode ser suportado de uma forma sem cliente e não requer necessariamente um agente. Para aplicações Web, o ZTNA pode utilizar capacidades e plug-ins nativos do browser para criar conetividade segura para o utilizador final.
Com todos os equívocos e argumentos falaciosos que tenho ouvido em relação às soluções ZTNA e VPN, é bom olhar mais de perto para o que estas soluções realizam. Espero ter ajudado a desvendar os seus mitos sobre ZTNAs e VPNs!
Voltar aos blogues