O Zero Trust é a alternativa moderna e necessária para lidar com a segurança de empresas, diferente do modelo tradicional, conhecido como “castelo e fosso”. Nele, se propunha que tudo que estava dentro da rede da companhia era seguro e confiável — e tudo que estava fora, perigoso. No mundo moderno, no entanto, o advento da computação em nuvem, o trabalho remoto e o uso de dispositivos pessoais foi deixando a segurança tradicional obsoleta.
- O que é uma vulnerabilidade de dia zero (Zero-Day)?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
Como a transformação digital trouxe uma facilidade do acesso de qualquer um aos sistemas corporativos de qualquer lugar do mundo, se tornou necessário mudar o foco da segurança para a identificação dos funcionários e de todos que acessam redes internas. É aí que nasceu o princípio da Confiança Zero.
Afinal, o que é Zero Trust?
O princípio básico do Zero Trust, ou Confiança Zero, é o “Nunca confie, sempre verifique”. Isso quer dizer que nenhum usuário ou dispositivo é confiável por padrão, seja dentro ou fora da rede. Cada tentativa de acesso a dados ou aplicativos é encarada como uma ameaça em potencial, e, por isso, deve ser verificada e autenticada todas as vezes.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Imagine um prédio ultrassecreto onde, a cada porta, todos que quiserem entrar precisem mostrar identificação, mesmo que já tenha passado por ali antes.
Os 3 pilares do Zero Trust
A arquitetura Zero Trust é baseada em três conceitos fundamentais, norteando as ações de segurança da empresa ou instituição. São eles:
- Verificação Explícita;
- Acesso de Privilégio Mínimo;
- Admitir a Violação.
O primeiro conceito define a necessidade de verificar explicitamente todas as tentativas de acesso. Elas devem ser autorizadas com base em todos os pontos de dados disponíveis, como identidade do usuário, localização, saúde do dispositivo, serviço acessado, classificação dos dados e muito mais. A autenticação por dois ou mais fatores, por exemplo, é um requisito mínimo para login.
Já o privilégio mínimo garante que cada usuário só tenha o acesso necessário para fazer o seu trabalho, sem autorizações a mais. Com isso, surgem conceitos como acesso just-in-time (apenas no momento, em tradução livre) e just-enough-access (apenas o acesso suficiente), o que limita o tempo e o escopo da permissão concedida. Com isso, é reduzido o “raio de explosão” no caso de invasão ou comprometimento de uma conta.
Por fim, admitir a violação é saber que, por mais que se tente impedir, é impossível barrar 100% das invasões. Portanto, ajuda a presumir que um invasor esteja na rede, o que leva a estratégias como a microssegmentação, dividindo a rede em zonas seguras para evitar a movimentação lateral de invasores. Isso quer dizer que hackers não conseguirão acessar outros sistemas caso invadam a conta de apenas um funcionário.
Como a Confiança Zero é implementada?
Para implementar o Zero Trust, não é usado um único produto, mas sim uma série de ferramentas, combinando aplicativos e políticas internas. Algumas tecnologias envolvidas, por exemplo, são soluções de Gerenciamento de Identidade e Acesso (IAM), determinando qual funcionário tem acesso a qual setor da empresa, segmentando os privilégios.
Outro aspecto importante é a Segurança de Endpoint, basicamente a garantia de que os dispositivos usados para o acesso à rede, como notebooks, celulares, tablets e desktops estão seguros, atualizados e em conformidade com os requisitos da empresa.
Há, ainda, as VPNs e seus conceitos relacionados, como o Zero Trust Network Access (ZTNA), que prioriza conexões seguras e específicas para cada aplicativo, não cedendo acesso do usuário a toda a rede.
Por fim, é importante considerar Políticas de Acesso Adaptativas: em outras palavras, regras que mudam de maneira dinâmica com base no contexto do acesso.
Um exemplo é um usuário que tenta fazer login do Brasil e, 5 minutos depois, tem outra tentativa de acesso da Rússia e é bloqueado, já que isso indica uma possível invasão por agentes maliciosos. Duas tentativas de login de uma mesma localização não causariam problemas.
Zero Trust em ação
Algumas empresas podem mostrar exemplos reais da Confiança Zero em ação, como a Google. Há mais de dez anos, a companhia implementou a arquitetura BeyondCorp, que permite o trabalho remoto dos funcionários a partir de qualquer lugar do mundo. As medidas de segurança desse sistema interno garantem o acesso sem a necessidade de uma VPN tradicional, economizando e facilitando o serviço.
Imagine um caso de invasão acontecendo em uma empresa tradicional, que ainda usa a estratégia Castelo e Fosso: um funcionário clica em um e-mail de phishing e seu notebook acaba infectado com um ransomware. Nesse caso, o vírus se espalha pela rede rapidamente e acaba tomando a companhia inteira de refém.
Com Zero Trust e microssegmentação, o ataque acaba contido no dispositivo do funcionário, não se espalha e pode ser mitigado sem grandes problemas. Em 2025, a KNP Logistics, empresa com 158 anos de funcionamento, faliu por conta de um único acesso de hackers a partir de uma senha fraca, levando a um caso de ransomware para o qual a companhia não tinha resgate.
Isso demonstra que o Zero Trust não é mais meramente uma opção, mas uma necessidade estratégica crucial para o bom funcionamento de qualquer empresa que queira proteger seus dados no mundo tecnológico moderno. Em um mundo onde o perímetro de segurança desapareceu, a identidade virou a nova e mais importante fronteira a ser defendida — eis o papel da Confiança Zero.
Leia também:
- O que é phishing e como se proteger?
- Criptografia para iniciantes: o que é e por que é importante?
- Desmistificando o Doxxing: o que é, como funciona e como se proteger
VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]
Leia a matéria no Canaltech.
