Guia Cibersegurança

Arquitetura Zero Trust: o modelo de segurança que prioriza a identidade para organizações remotas e híbridas

Seu perímetro foi dissolvido há anos. Os usuários trabalham em casa, os dados ficam no Microsoft 365 e na AWS, e os parceiros se conectam a partir de redes que você nunca controlará. O Zero Trust trata a localização da rede como irrelevante: ele verifica a identidade e a integridade do dispositivo em cada solicitação, independentemente da origem da solicitação.

15 de junho de 2026
11 minutos de leitura
Principais conclusões
  • Zero Trust é uma arquitetura de segurança, não um produto. O princípio subjacente: verificar a identidade e a integridade do dispositivo em cada solicitação, impor privilégios mínimos e projetar como se a violação já tivesse ocorrido.
  • John Kindervag apresentou o modelo na Forrester Research em 2010. NIST o formalizou na Publicação Especial 800-207 em 2020, que continua sendo a referência oficial de implementação.
  • O Zero Trust possui cinco pilares: Identidade, Dispositivos, Rede, Aplicativos e Dados. Começar com a Identidade oferece a maior redução de risco com o mínimo de alterações na infraestrutura.
  • As políticas de acesso condicional no Microsoft Entra ID impõem os pilares de identidade e dispositivo. O Microsoft 365 Business Premium inclui-os a um preço que a maioria das PME já paga.
  • O Zero Trust funciona com a infraestrutura que você já possui. MFA, gerenciamento de dispositivos e segmentação de rede são mapeados para a estrutura. Você os estende, não os substitui.
  • O Zero Trust atende à maioria dos requisitos de controle de acesso do Artigo 21 do NIS2 e dos controles de identidade e rede do Anexo A do ISO 27001 sem a necessidade de projetos de conformidade separados.

Por que o perímetro desapareceu

A segurança de rede tradicional se baseava em uma única suposição: o tráfego dentro da rede corporativa é confiável, o tráfego externo não. Um firewall mantinha a linha. Trabalhadores remotos conectados por meio de VPN. Isso funcionava quando a maioria dos usuários estava no mesmo prédio, a maioria dos aplicativos rodava em kits que você possuía e a maioria dos dados residia em servidores que você podia tocar fisicamente.

Hoje, os usuários trabalham em casa, em cafés e escritórios de clientes. Os aplicativos são executados em Microsoft 365, Salesforce, AWS e dezenas de plataformas SaaS que você não opera. Parceiros e prestadores de serviços se conectam a partir de redes que você nunca viu. Tudo isso acontece fora do perímetro, mas o firewall continua tratando o tráfego interno como inerentemente confiável.

Um invasor que compromete um laptop, uma conta de phishing ou uma credencial de VPN entra na zona confiável. O tráfego interno passa em grande parte sem inspeção. Os sistemas internos concedem acesso a qualquer coisa que chegue pelo ponto de entrada correto. O movimento lateral é questão de minutos.

O Zero Trust remove a localização da rede da equação de confiança. As decisões de acesso dependem da sua identidade, do estado de conformidade do seu dispositivo e do recurso específico que você está tentando acessar. A rede da qual você se conecta é irrelevante.

82%
das violações envolveram ativos em nuvem, ambientes híbridos ou acesso remoto em 2024 (Verizon DBIR)
US$ 1,76 milhão
Redução média no custo de violação para organizações com Zero Trust maduro, versus aquelas sem (IBM)
76%
dos líderes de segurança citam o Zero Trust como uma prioridade estratégica para suas organizações

Os cinco pilares

O NIST SP 800-207 organiza o Zero Trust em torno de cinco planos de controle. A maioria das organizações começa com o Identity, uma vez que as credenciais comprometidas geram a maior parte do acesso inicial e prosseguem a partir daí.

🔐
1. Identidade
Verifique cada usuário e conta de serviço antes de conceder acesso. Isso significa MFA em todas as contas, políticas de acesso condicional que avaliam o risco em cada login e PIM que requer ativação por tempo limitado para funções administrativas. As credenciais geram a maior parte do acesso inicial em violações corporativas, e é por isso que o Identity retorna o maior ganho de segurança por hora de trabalho de implementação.
💻
2. Dispositivos
Os recursos confidenciais devem ser acessíveis apenas a partir de dispositivos gerenciados e compatíveis: sistema operacional corrigido, disco criptografado, EDR em execução, registrado no MDM. O Acesso Condicional impõe isso no login. Um usuário que autentica a partir de um laptop pessoal é bloqueado ou redirecionado para uma sessão somente do navegador.
🖧
3. Rede
A microssegmentação divide a rede interna em zonas com controles de acesso explícitos entre elas, de forma que um dispositivo comprometido em um segmento não possa alcançar sistemas em outro. ZTNA substitui VPN por túneis em nível de aplicativo: o usuário se conecta a um serviço específico, nada mais. A inspeção de tráfego leste-oeste monitora o movimento lateral dentro da fronteira.
📦
4. Aplicações
Trate todos os aplicativos como voltados para a Internet. Imponha a autenticação na camada de aplicação, esteja o usuário na rede corporativa ou em casa. As ferramentas CASB ampliam a visibilidade para plataformas SaaS que você não opera. Remova qualquer aplicativo que conceda acesso não autenticado de dentro da rede.
📂
5. Dados
Classifique os dados por confidencialidade e aplique controles de acesso que seguem os dados, não o perímetro da rede. As políticas de DLP bloqueiam a exfiltração para armazenamento em nuvem pessoal. A criptografia de gerenciamento de direitos evita que um documento aberto em um dispositivo não gerenciado seja impresso ou encaminhado. A maioria das organizações aborda este pilar por último – é o que exige mais esforço e depende da implementação dos outros quatro.

Começando pela identidade

O pilar da identidade é o ponto de partida padrão. Ele aborda o caminho de ataque mais comum, funciona com ferramentas que você provavelmente já licencia e não requer alterações na infraestrutura de rede.

Políticas de acesso condicional

O Acesso Condicional é o mecanismo de fiscalização. Cada login é avaliado em relação a um conjunto de sinais: identidade do usuário, estado do dispositivo, local de login, aplicativo de destino e sinais de risco do mecanismo de proteção de identidade. A política então permite, bloqueia ou exige verificação progressiva.

Um conjunto de políticas básicas deve: exigir o MFA em todos os aplicativos em nuvem; bloquear logins de países onde você não está presente; bloquear protocolos de autenticação legados que não conseguem completar os desafios do MFA; exigir conformidade do dispositivo para aplicações sensíveis; e acionar a autenticação progressiva quando o mecanismo de risco sinalizar um login anômalo.

Gerenciamento de Identidade Privilegiado

As contas de administrador são o alvo de maior valor em qualquer ambiente. O PIM remove o privilégio persistente: um administrador solicita, justifica e ativa uma função para uma sessão por tempo limitado. Entre as sessões, a conta não possui permissões administrativas. Uma credencial roubada fora de uma sessão ativa não dá ao invasor nada com que trabalhar.

Microsoft 365 e Zero Trust

O Microsoft 365 Business Premium inclui acesso condicional Entra ID, Intune para gerenciamento de dispositivos, Defender for Business como EDR e Defender for Cloud Apps como CASB. Uma licença cobre os pilares de identidade, dispositivo e aplicação para a maioria das PMEs. A parte difícil é a configuração, não o custo.

Confiança e conformidade do dispositivo

Confirmar a identidade do usuário é apenas metade da verificação. Um login válido do MFA em um laptop executando software não corrigido ou com uma infecção ativa ainda representa um risco real de acesso.

As políticas de conformidade no Intune ou Jamf definem a barra mínima: versão do sistema operacional, criptografia, agente EDR, bloqueio de tela e detecção de jailbreak para dispositivos móveis. O Acesso Condicional verifica a conformidade no login e bloqueia o acesso de dispositivos que não atendem às necessidades.

Se você permitir dispositivos pessoais, divida o modelo de acesso: os dispositivos gerenciados obtêm acesso total aos recursos; dispositivos não gerenciados obtêm sessões somente de navegador por meio de um proxy reverso, com DLP aplicado na camada de sessão para bloquear downloads.

Segmentação de rede na prática

Comece com seus ativos de maior valor: sistemas financeiros, controladores de domínio do Active Directory, infraestrutura de backup e qualquer TO, se houver. Isole-os com regras de entrada negadas por padrão, permitindo apenas os fluxos específicos que cada serviço necessita legitimamente. Você não precisa segmentar toda a rede para obter a maior parte do valor.

Cloudflare Access, Zscaler Private Access e plataformas ZTNA semelhantes ficam na frente de aplicativos internos e executam verificações de identidade e dispositivos antes de abrir uma conexão. O dispositivo do usuário nunca ingressa na rede corporativa. Ele atinge um serviço por meio de um túnel no nível do aplicativo. Uma credencial VPN comprometida não abre mais toda a rede.

Zero Trust e conformidade regulatória

Os controles Zero Trust atendem aos requisitos das principais estruturas enfrentadas pelas organizações europeias.

NIS2 (Artigo 21) requer políticas de controle de acesso, autenticação multifatorial e medidas de segurança de rede para entidades no escopo. Os pilares de identidade e rede abordam cada um deles diretamente. As políticas de conformidade do dispositivo cobrem os requisitos de segurança do endpoint. O registo de todas as tentativas de acesso satisfaz as obrigações de auditoria.

ISO 27001 Anexo A os controles A.5.15 (controle de acesso), A.5.16 (gerenciamento de identidade), A.5.17 (informações de autenticação), A.8.20 (segurança de rede) e A.8.22 (segregação de rede) são todos abordados por uma implementação Zero Trust. Os controles exigidos pelo ISO 27001 e aqueles exigidos pelo Zero Trust se sobrepõem a ponto de a implementação de um construir a maior parte do outro.

DORA requer segmentação lógica de rede e autenticação multifatorial para entidades financeiras. O Zero Trust oferece uma arquitetura única que cobre essas obrigações, em vez de tratar cada requisito como um projeto separado.

O Zero Trust foi construído com base em uma única premissa: você será violado. A questão que ele responde é até que ponto um invasor pode alcançar desde seu primeiro ponto de apoio.

Cinco passos para começar

1
Identidade de auditoria
Liste todas as contas de usuário, contas de serviço e funções privilegiadas. Remova ou desative qualquer coisa que não esteja mais em uso. Habilite o MFA em todas as contas e bloqueie protocolos de autenticação legados. É aqui que entra a maioria dos ataques baseados em credenciais.
2
Implantar acesso condicional
Definir e impor um conjunto básico de políticas de acesso condicional. Comece exigindo o MFA para todos os aplicativos em nuvem, bloqueando logins arriscados e bloqueando a autenticação legada. Adicione requisitos de conformidade do dispositivo assim que o gerenciamento do dispositivo estiver implementado.
3
Registrar dispositivos
Registre todos os dispositivos corporativos na sua plataforma MDM e defina políticas de conformidade. Exija conformidade no Acesso Condicional para aplicações confidenciais. Para dispositivos não gerenciados, crie um caminho somente de navegador com DLP na camada de sessão.
4
Segmente sua rede
Isole seus ativos de maior valor por trás de controles de rede explícitos. Restrinja o acesso de entrada à infraestrutura de identidade, sistemas de backup e plataformas financeiras. Avalie o ZTNA como um substituto para VPN legado para acesso remoto.
5
Amplie a visibilidade
Registre todos os eventos de identidade e acesso e encaminhe-os para um SIEM ou serviço de monitoramento. Defina alertas sobre viagens impossíveis, logins de dispositivos vistos pela primeira vez e ativações de funções de administrador fora do horário comercial.

Perguntas comuns

O Zero Trust é um produto que você pode comprar?

Não. Zero Trust é uma arquitetura de segurança, não um produto. Os fornecedores vendem coisas que chamam de 'soluções Zero Trust', mas a arquitetura exige que você mude a forma como gerencia identidade, dispositivos, acesso à rede e controles de aplicativos. As plataformas Entra ID, Okta, Intune, Jamf e ZTNA suportam partes dele. Nenhum deles cobre tudo isso.

Uma pequena empresa pode implementar o Zero Trust?

Sim. O ponto de partida é o mesmo, independentemente do tamanho: MFA em todas as contas, políticas de acesso condicional e verificação de conformidade do dispositivo. O Microsoft 365 Business Premium inclui acesso condicional Entra ID e Intune. Os pilares de identidade e dispositivo por si só eliminam a maior parte do risco e são alcançáveis ​​em poucos meses. O programa completo de cinco pilares é um esforço plurianual para organizações maiores.

Qual é a diferença entre ZTNA e uma VPN?

Uma VPN concede acesso em nível de rede: uma vez conectado, um usuário pode acessar qualquer coisa na rede interna que não esteja explicitamente bloqueada. ZTNA concede acesso em nível de aplicativo: o usuário se conecta a um serviço específico e não pode acessar mais nada. ZTNA verifica a conformidade do dispositivo e a identidade em todas as sessões, não apenas na conexão inicial. Uma conta comprometida de uma sessão ZTNA dá ao invasor acesso a um aplicativo, não a toda a rede.

Como o Zero Trust se relaciona com o NIS2 e o ISO 27001?

Nenhum dos dois exige o Zero Trust pelo nome, mas ambos exigem controle de acesso, privilégios mínimos, segmentação de rede e gerenciamento de identidade. Esses são os controles principais do Zero Trust. O Zero Trust atende aos requisitos do Artigo 21 do NIS2 para controle de acesso, autenticação e segurança de rede e cobre os controles do Anexo A do ISO 27001 A.5.15 a A.5.18 cobrindo gerenciamento de identidade e acesso e A.8.20 a A.8.22 cobrindo controles de rede e segregação.

Avaliação Zero Trust

Descubra onde estão seus controles de identidade

Auditamos suas políticas de acesso condicional, postura de acesso privilegiado e segmentação de rede em relação à estrutura Zero Trust e oferecemos um plano de correção priorizado.