ZTNA x VPN

Embora uma arquitetura de rede de confiança zero (ZTNA, Zero Trust Network Architecture) e uma rede privada virtual (VPN, Virtual Private Network) ofereçam soluções seguras para acesso remoto ao seu ambiente, elas funcionam com diferentes estruturas e regras para autenticação e autorização de usuários. Permitir o acesso remoto ao seu ambiente de rede apresenta um grande risco à segurança dos dados, mas a ZTNA e a VPN oferecem estratégias para bloquear usuários não autorizados e espionagem de dados. Saber a diferença entre as duas estratégias pode ajudar a determinar qual é a melhor para sua organização.

O que é ZTNA?

Uma estratégia de confiança zero incorpora “nunca confie e sempre verifique”, o que significa que cada solicitação de dados passa por um processo de verificação. Cada solicitação de dados pressupõe que a rede está comprometida e a solicitação pode ser causada por uma ameaça. Isso significa que, embora um usuário já esteja autenticado na rede, nunca é confiável que ele acesse dados sem que o sistema de rede verifique se o usuário está autorizado a fazer a solicitação.

Por exemplo, suponha que um usuário seja autenticado na rede usando suas credenciais. Agora, eles precisam acessar dados usando um aplicativo interno de negócios. A ZTNA exige verificação adicional da conta (por exemplo, nome de usuário e senha do aplicativo) para autenticação no software e acesso aos dados. Os administradores podem usar soluções de logon único (SSO, single sign-on), mas essas soluções devem se integrar à arquitetura de rede de confiança zero para proteção de dados.

O que é VPN?

Uma rede privada virtual (VPN, Virtual Private Network) autentica os usuários conforme eles solicitam acesso ao ambiente local. Normalmente, os usuários estão localizados em um local remoto fora do escritório corporativo, mas algumas organizações implementam VPN para usuários localizados em escritórios auxiliares. A VPN integra-se aos serviços de autenticação de rede, mas também funciona com soluções multifator (MFA, Multi-factor) para melhor segurança.

Depois que os usuários se autenticam com o sistema VPN, eles têm permissão para acessar qualquer área da rede, desde que o usuário faça parte de um grupo autorizado. A verificação secundária pode ser integrada à VPN, incluindo ZTNA. A maior vantagem da VPN é que ela é fácil de implementar e muitas soluções funcionam diretamente com o Active Directory ou LDAP.

Principais diferenças entre ZTNA e VPN

Embora uma VPN possa fazer parte das estratégias ZTNA, apenas uma VPN não segue a estrutura ZTNA. A ZTNA exige que os administradores sempre verifiquem as contas de usuário antes de acessar qualquer recurso corporativo, por isso é uma prática muito mais segura do que estruturas de segurança mais antigas. A VPN apenas autentica usuários e verifica se eles devem ter acesso à rede corporativa, mas não verifica após a autenticação inicial.

Em um ambiente ZTNA, os usuários só têm acesso aos recursos necessários para realizar seu trabalho. Esse princípio da estratégia de privilégios mínimos limita os riscos se um invasor comprometer uma conta. Uma VPN permite acesso desde que os administradores de rede tenham acesso a um recurso ou grupo de recursos, mesmo que os privilégios sejam extensos e desnecessários para a função de trabalho de um usuário.

Benefícios do ZTNA em relação à VPN

À medida que mais violações de dados ocorrem, as organizações precisam de uma maneira melhor de proteger seus arquivos e dados. Contas de usuário comprometidas usando VPN deixam todo o ambiente vulnerável. Com a VPN, um usuário tem acesso a todo o ambiente sem validação além da autenticação e autorização usadas com soluções de VPN. Com o ZTNA, uma conta de usuário pode ser comprometida, mas a validação adicional impede que o invasor cause danos adicionais.

Por exemplo, um usuário pode autenticar na rede, mas todo software que acessa dados requer autenticação adicional. Os usuários precisam inserir uma senha antes de abrir o software, e os usuários sem a senha do software não conseguiriam abri-la. Essa segurança adicional limita a quantidade de dados divulgados quando uma conta de rede de usuário é comprometida.

Casos de uso para ZTNA

Toda organização deve considerar o ZTNA como segurança, mas ambientes com usuários remotos e dados confidenciais devem usar o ZTNA especialmente. Com o ZTNA, os usuários devem sempre validar o acesso antes de acessar os dados, mesmo que já tenham acessado os dados antes e autenticado na rede. Os usuários devem validar sua conta para cada solicitação de dados, que normalmente é tratada pelo sistema em vez de solicitar que os usuários insiram constantemente sua senha.

Os aplicativos também validam sua autorização. Por exemplo, um script solicitando dados precisa ser autenticado sempre que for executado. Se os invasores comprometerem o script, os dados que eles podem acessar serão limitados. Ransomware também seria interrompido antes que pudesse acessar dados e criptografá-los.

Casos de uso para VPN

Os usuários remotos precisam de uma maneira de acessar a rede interna, e a VPN é uma excelente solução. Ele pode ser integrado ao ZTNA, mas algumas pequenas organizações usam apenas autenticação VPN. A VPN é excelente para acesso simples a um aplicativo ou servidor. Usuários remotos com solicitações para extrair dados da rede enquanto trabalham podem se beneficiar de uma conexão VPN simples.

A VPN é necessária para acesso remoto quando os usuários estão em uma rede Wi-Fi insegura. O Wi-Fi público pode ser comprometido, mas a VPN criptografa os dados para que fiquem protegidos contra espionagem. A VPN também protege os dados contra espionagem à medida que passam pela Internet. Ele também impede a espionagem de dados de um ataque man-in-the-middle (MITM).

Conclusão

A segurança para usuários remotos é necessária para proteger dados corporativos, mas a ZTNA protege os dados se uma conta de usuário for comprometida. Tanto a ZTNA quanto a VPN têm benefícios de segurança e podem ser usadas juntas para criar um plano de segurança completo que limita os riscos cibernéticos.

Para ajudar na recuperação de desastres e na promoção de uma melhor segurança ZTNA, a Pure Storage tem várias soluções:

• Snapshots do SafeMode. Proteja-se contra ataques ransomware com snapshots de dados para recuperação de dados após um incidente
• Arquitetura Evergreen: Faça upgrade da sua infraestrutura e mantenha-a segura sem interrupções
• ActiveDR (AtivaDR –: Recuperação de desastres ativa e sempre ativa
• ActiveCluster (Ativo: Replicação síncrona em seu ambiente para failover rápido