ZTNA vs VPN: Qual é a melhor solução de segurança?

Uma VPN é uma tecnologia concebida para criar uma ligação segura e encriptada através da Internet entre o dispositivo de um utilizador e uma rede. A segurança dos dados VPN baseia-se na criação de túneis encriptados para os dados que são transferidos entre dispositivos e redes. 

Originalmente, as VPNs foram desenvolvidas nos anos 90 pela Microsoft quando introduziu o PPTP (Point-to-Point Tunneling Protocol). Com a evolução da Internet e a crescente sofisticação dos ciberataques, a utilização de VPNs aumentou entre organizações e indivíduos. É uma solução integral em várias aplicações empresariais, incluindo a concessão de acesso remoto seguro a recursos internos, a ligação de filiais à sede e o aumento da privacidade durante as viagens de negócios. 

As VPNs começam por autenticar os utilizadores para verificar a sua identidade, normalmente utilizando uma palavra-passe ou autenticação de dois factores. Em seguida, o cliente VPN e o servidor efectuam um aperto de mão, um processo que confirma o método de encriptação e desencriptação de dados, utilizando um protocolo VPN como o L2TP, IKEv2 ou OpenVPN. Durante a sessão, os pacotes de dados são encapsulados e transferidos de forma segura através de redes potencialmente inseguras. 

Existem dois tipos principais de VPN, as de acesso remoto e as site-to-site. As redes de acesso remoto são utilizadas por indivíduos para se ligarem a redes remotas. As redes site-to-site são utilizadas para ligar redes inteiras, criando uma ligação segura e encriptada entre várias localizações. 

As VPNs concedem acesso a toda a rede a utilizadores autenticados. Esta abordagem tem os seus inconvenientes, uma vez que aumenta a superfície de ataque a explorar pelos agentes de ameaças, o que levou muitas organizações a procurar uma solução mais restritiva para fornecer acesso seguro às suas redes. 

A ZTNA é uma solução moderna para proteger o acesso à rede com base no princípio da confiança zero. Numa rede ZTNA, um dispositivo ligado não é de confiança por defeito. Não pode ter conhecimento de outros recursos, tais como aplicações e servidores, exceto aqueles a que está autorizado a ligar-se. O acesso do utilizador na ZTNA é concedido após a avaliação do estado de segurança de cada dispositivo com base na identidade, postura do dispositivo e conformidade. 

Com a sua crescente popularidade, o ZTNA foi adotado pelas organizações como uma solução robusta para gerir o acesso seguro em ambientes baseados na nuvem. O seu acesso condicional que não encaminha os dados através de uma rede central tornou-a uma solução favorável para organizações com equipas distribuídas.

O modelo de segurança da ZTNA baseia-se no pressuposto de que não existe confiança dentro ou fora do perímetro da rede. Verifica cada utilizador e dispositivo individualmente antes de permitir o acesso a recursos específicos. Este processo envolve a autenticação da identidade do utilizador e a avaliação da postura de segurança do dispositivo para garantir a concessão de acesso apenas a dispositivos compatíveis e autorizados. 

A ZTNA aplica constantemente verificações de segurança contextuais a cada acesso, como a avaliação da localização, do estado do dispositivo e de outros indicadores de risco. A verificação do utilizador utiliza várias tecnologias, incluindo MFA (autenticação multi-fator) e IAM (gestão de identidade e acesso). Além disso, avalia a segurança do dispositivo através de vários métodos, como a verificação de malware, a confirmação de actualizações de segurança recentes e a garantia de que a proteção dos terminais está ativa. 

Ao empregar o princípio do menor privilégio, a ZTNA concede acesso apenas aos recursos necessários para cada sessão. Isto contrasta com as VPNs que concedem acesso a segmentos de rede inteiros, expondo potencialmente aplicações e dados não essenciais aos utilizadores.

Modelo de segurança

• VPN: Os utilizadores são autenticados apenas uma vez, sendo depois estabelecida uma confiança em toda a rede. 
• ZTNA: Cada sessão requer verificação, centrando-se na autenticação contínua e contextual de utilizadores e dispositivos. 

Controlo de acesso granular

• VPN: A ligação concede acesso a toda a rede após a autenticação dos utilizadores, aumentando a superfície de ataque e o risco de violações de dados.
• ZTNA: Fornece acesso granular a aplicações ou recursos específicos com base em políticas de segurança contextuais.

Desempenho e escalabilidade

• VPN: Os utilizadores podem ter um desempenho mais lento em alturas de grandes transferências de dados e de maior número de utilizadores ligados em simultâneo. Encaminha os dados através de vários servidores para um ponto central num centro de dados, o que dificulta a escalabilidade com ambientes de nuvem.
• ZTNA: A sua abordagem direta à aplicação elimina a necessidade de uma ligação centralizada e oferece um melhor desempenho, tornando-a uma solução mais adequada para escalar em ambientes de nuvem.

Experiência do utilizador

• VPN: Requer que os utilizadores finais instalem software cliente nas suas máquinas locais. A instalação e configuração de clientes VPN pode ser um desafio para muitos utilizadores. Além disso, velocidades de ligação mais lentas durante períodos de elevado tráfego na rede podem levar à frustração e a uma menor produtividade.
• ZTNA: A maior parte da sua complexidade está relacionada com a configuração inicial, que é tratada por profissionais de TI e da nuvem. Ao nível do utilizador, a ligação torna-se uma experiência tranquila assim que o utilizador final é autenticado, proporcionando um acesso mais rápido e contínuo às aplicações necessárias.

Adaptabilidade da força de trabalho remota

• VPN: O acesso alargado aos recursos da empresa pode não ser adequado a uma força de trabalho remota dinâmica e expansível que se liga às redes da empresa a partir de vários locais.
• ZTNA: Adequado para proteger o acesso de funcionários remotos sem necessidade de instalar aplicações cliente e apenas permite o acesso aos recursos necessários.