Saltar para o conteudo
Avanet
Sophos Zero Trust Network Access – uma alternativa a VPN

Sophos Zero Trust Network Access – uma alternativa a VPN

2. JUNHO 2021

A Sophos lançou recentemente a versão beta pública do novo produto Sophos Zero Trust Network Access (ZTNA). Qualquer pessoa pode agora inscrever‑se no ZTNA Early Access Program. Vamos ver em que consiste o modelo de segurança de zero trust e porque é considerado um dos frameworks de cibersegurança mais seguros do mundo.

O que é o modelo de zero trust?

De forma simples, o modelo de zero trust defende que uma empresa não pode confiar em todos os pedidos de acesso a dados e deve verificar sempre primeiro a origem. Em três palavras: não confies em ninguém. Não concedas acesso à rede a ninguém, a menos que saibas exatamente quem quer aceder aos dados e concordes com isso.

Porque faria sentido utilizar este modelo de segurança, que parece tão extremo e quase paranoico? Convém lembrar que a Cybersecurity Ventures previu que o cibercrime iria causar, até 2021, danos de 6 biliões de dólares americanos a nível mundial. Este é o prejuízo esperado apesar dos elevados investimentos em cibersegurança por parte de algumas das maiores empresas do mundo. Ninguém está totalmente protegido contra ciberataques, injeções SQL e acessos não autorizados.

O modelo de zero trust propõe mudar o paradigma tradicional, em que as organizações se concentram nas ameaças externas e presumem que tudo o que já se encontra dentro da rede não precisa de mais autorizações e é inofensivo. A maioria das quebras de segurança ocorre porque, uma vez concedido o acesso, é fácil para os atacantes deslocarem‑se lateralmente no sistema e chegarem a mais informações. Antes de depositar toda a confiança no modelo de zero trust, vale a pena analisar as suas vantagens e desvantagens.

Vantagens do modelo de zero trust

  • A empresa torna‑se muito menos vulnerável a ciberameaças.
  • Os processos de autenticação são muito rigorosos.
  • Maior proteção dos dados empresariais.
  • Estrutura de segurança altamente sofisticada.

Desvantagens do modelo de zero trust

  • Exige bastante tempo de implementação.
  • A gestão de muitos utilizadores é exigente, porque cada pedido de acesso tem de ser autenticado.
  • As cópias de segurança tornam‑se mais complexas, uma vez que os dados estão distribuídos por vários locais.

O que é o ZTNA?

ZTNA é o mais recente produto Sophos Central, totalmente fornecido e gerido na cloud. O seu objetivo é disponibilizar aos utilizadores remotos um acesso seguro às aplicações. O que faz exatamente o ZTNA? Baseia‑se no framework de zero trust, o que significa que o utilizador é verificado por todos os meios razoáveis para minimizar o risco de compromissos de segurança. Isto inclui a autenticação do utilizador (normalmente autenticação de dois fatores, para evitar que credenciais roubadas sejam utilizadas indevidamente), a validação do estado do dispositivo e a verificação da conformidade do mesmo com as políticas para decidir se se deve conceder ou não o acesso.

Procedimento ZTNA para conceder acesso aos utilizadores

Como se compara o ZTNA com a VPN?

Embora a VPN tenha sido, durante muito tempo, uma boa opção, o ZTNA oferece uma solução melhor quando comparamos as duas tecnologias. Em que aspetos o ZTNA supera a VPN?

  • Melhor segurança: A segurança das aplicações ligadas melhora significativamente porque, ao contrário da VPN, o ZTNA verifica também a integridade e o estado do dispositivo. Um dispositivo comprometido pode causar danos graves a outros sistemas.
  • Transparência: O ZTNA oferece aos utilizadores uma experiência transparente e uma gestão de ligações fluida. A VPN pode ser pouco intuitiva e tende a originar pedidos de suporte.
  • Controlo granular: O ZTNA proporciona um acesso segmentado aos dados das aplicações, enquanto a VPN tende a conceder um acesso mais amplo à rede assim que a autenticação é concluída. Isto agrada aos atacantes: uma vez dentro, dispõem de tempo para se deslocarem de dispositivo em dispositivo. Uma única autenticação bem‑sucedida pode abrir a porta a milhares de sistemas.

Como a VPN é uma tecnologia desenvolvida há mais de 20 anos, começa agora a revelar as suas limitações. Foi criada com o objetivo de expandir redes de confiança e ligar os colaboradores de uma empresa numa única rede. Hoje, no entanto, as aplicações na cloud são utilizadas por um grande número de utilizadores que se ligam a partir de vários dispositivos, o que torna a VPN uma opção vulnerável e pouco segura. Os atacantes exploram repetidamente estas fragilidades, pelo que as vulnerabilidades nas VPNs se tornaram um risco sério para as organizações.

Comparação entre ZTNA e VPN

Que aplicações podem ser protegidas pelo ZTNA?

O ZTNA protege as aplicações ligadas que estão alojadas nas redes da própria empresa ou disponíveis na cloud pública. Isto inclui aplicações como wikis, Jira ou qualquer outro tipo de repositório ou ferramenta de ticketing. O ZTNA não protege aplicações que não sejam propriedade do cliente.

Componentes do ZTNA

O Sophos ZTNA é composto por três componentes principais:

  • Sophos Central: fornece uma plataforma de gestão na cloud para todos os produtos Sophos, incluindo o Sophos ZTNA. Está preparado para a cloud e simplifica a implementação, a gestão de políticas e a criação de relatórios.
  • Sophos ZTNA Gateway: um appliance virtual que protege aplicações ligadas em ambientes on‑premises ou na cloud pública, com suporte inicial para AWS e VMware ESXi e compatibilidade futura com Azure, Hyper‑V e Nutanix.
  • Sophos ZTNA Client: oferece uma conectividade transparente com as aplicações com base na identidade do utilizador final e no estado do dispositivo. É fácil de implementar e obtém informações sobre o estado do dispositivo a partir do Windows Security Center. Numa primeira fase, será compatível apenas com Windows; posteriormente, será adicionado suporte para macOS, Linux e os sistemas operativos móveis iOS e Android.

Quando estará disponível o Sophos ZTNA?

A Sophos já deu início ao Early Access Program para o Sophos Zero Trust Network Access (ZTNA). A primeira fase permite o acesso sem cliente a aplicações baseadas em browser, como CRM e ferramentas de ticketing (por exemplo, JIRA). A fase seguinte irá trazer melhorias adicionais, como um cliente para Windows com implementação integrada juntamente com o Intercept X, Synchronized Security para o estado de saúde do dispositivo, fornecedores de identidade adicionais e um gateway para AWS.

Licenciamento e preços

Tal como outros produtos Sophos Central, o ZTNA é licenciado por utilizador e não por dispositivo. Um utilizador com vários dispositivos precisa apenas de uma licença. No lançamento, estará também disponível uma versão de avaliação gratuita, para que as organizações possam testar o produto em profundidade antes de decidir adquirir licenças.

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.