O que é Zero Trust?
O termo Zero Trust foi cunhado por John Kindervag do Forrester Research em 2010 e popularizado pelo Google com o projeto BeyondCorp em 2014. O princípio central é simples: nenhum usuário, dispositivo ou sistema deve ser automaticamente confiável, independente de estar dentro ou fora da rede corporativa.
O modelo tradicional de segurança perimetral assume que tudo dentro da rede corporativa é confiável (o "castelo e fosso"). Com cloud computing, trabalho remoto e ataques de movimentação lateral, esse modelo está completamente obsoleto.
"Zero Trust não é um produto que você compra — é uma estratégia que você implementa." — NIST SP 800-207
Os 3 princípios fundamentais do Zero Trust
- Verificar explicitamente: Sempre autenticar e autorizar baseado em todos os pontos de dados disponíveis: identidade, localização, saúde do dispositivo, serviço/workload, classificação dos dados e anomalias.
- Usar acesso com menor privilégio: Limitar o acesso de usuários com Just-In-Time (JIT) e Just-Enough-Access (JEA), políticas adaptativas baseadas em risco e proteção de dados.
- Assumir violação: Minimizar o raio de explosão (blast radius), segmentar o acesso, criptografar tudo ponto a ponto e usar analytics para obter visibilidade, detecção de ameaças e melhoria de defesas.
Os 5 pilares da implementação Zero Trust
1. Identidade (Identity)
A identidade é o novo perímetro. Todo acesso começa com autenticação forte:
- MFA obrigatório para todos os sistemas — FIDO2/WebAuthn para alta segurança
- Single Sign-On (SSO) centralizado com Identity Provider (IdP): Okta, Azure AD, Google Workspace
- Análise comportamental de identidade (UBA/UEBA): detectar uso anômalo de credenciais
- Privileged Access Management (PAM): controle de contas privilegiadas
2. Dispositivos (Devices)
Apenas dispositivos gerenciados e em conformidade devem acessar recursos corporativos:
- Mobile Device Management (MDM) ou Endpoint Detection and Response (EDR)
- Device Health Attestation: verificar patch level, antivírus, criptografia de disco
- Certificados de dispositivo para autenticação mútua (mTLS)
3. Rede e Microsegmentação
Em vez de uma rede "plana" interna, o Zero Trust divide a rede em microssegmentos:
- Software-Defined Perimeter (SDP): Apenas conexões autorizadas são estabelecidas
- ZTNA (Zero Trust Network Access): Substitui o VPN tradicional — acesso por aplicação, não por rede
- East-West traffic inspection: Inspecionar tráfego interno, não apenas tráfego norte-sul
- Ferramentas: Zscaler Private Access, Cloudflare Access, Palo Alto Prisma Access
4. Aplicações
- Autenticação em cada requisição de API (OAuth 2.0, OIDC)
- WAF para proteção de aplicações web
- SAST/DAST no pipeline CI/CD (Shift Left Security)
- Inventário e classificação de aplicações e APIs
5. Dados
- Classificação de dados por sensibilidade (público, interno, confidencial, secreto)
- Data Loss Prevention (DLP) para evitar exfiltração
- Criptografia ponta a ponta para dados em trânsito e em repouso
- Information Rights Management (IRM) para documentos
Comparação: Modelo Tradicional vs. Zero Trust
| Aspecto | Modelo Tradicional | Zero Trust |
|---|---|---|
| Confiança padrão | Confiável dentro da rede | Nunca confiável por padrão |
| Acesso remoto | VPN com acesso à rede | ZTNA com acesso por aplicação |
| Identidade | Username + senha | MFA + contexto + risco |
| Dispositivos | Qualquer dispositivo na rede | Apenas dispositivos gerenciados |
| Monitoramento | Perímetro externo | Contínuo, interno e externo |
| Falha de segurança | Acesso total à rede interna | Blast radius limitado ao segmento |
Roteiro de implementação Zero Trust
O NIST recomenda uma abordagem gradual, não uma substituição completa de infraestrutura:
- Inventariar: Mapear todos os usuários, dispositivos, aplicações e dados
- Fortalecer identidade: Implementar MFA e SSO em todos os sistemas críticos
- Segmentar a rede: Criar microssegmentos para sistemas críticos
- Substituir VPN por ZTNA: Implementar para acesso remoto primeiro
- Implementar monitoramento contínuo: SIEM + UEBA + EDR integrados
- Classificar dados: Aplicar DLP e criptografia por nível de sensibilidade
- Testar e validar: Pentest red team para validar controles Zero Trust