Zero Trust para Acesso de Terceiros: Quatro Camadas de Identidade, Dispositivo, Acesso e Monitoramento
Este artigo explora a aplicação do modelo Zero Trust para o acesso de terceiros, detalhando as quatro camadas essenciais: Identidade, Dispositivo, Acesso e Monitoramento. Ele oferece uma análise prática de como evitar ataques através de acessos legítimos, com passos concretos, scripts e verificações para implementação.
MundiX News·29 de maio de 2026·28 min de leitura·👁 18 views
Zero Trust para Acesso de Terceiros: Quatro Camadas de Identidade, Dispositivo, Acesso e Monitoramento
De acordo com dados da BI.ZONE, quase um terço dos incidentes de ransomware na Rússia em 2025 foram resultado de ataques através de terceiros. Não através do perímetro de firewall, mas sim por meio de um canal legítimo: a conta de um prestador de serviços externo, uma rede compartilhada, privilégios concedidos para uma tarefa específica e que permanecem ativos indefinidamente. Este é um guia prático sobre como evitar tais situações utilizando o modelo Zero Trust e como construir um sistema de acesso para terceiros, com foco em passos concretos, scripts prontos e verificações para avaliar o que já funciona e o que precisa ser implementado. O material é direcionado a profissionais que projetam ou operam o acesso de terceiros: engenheiros de segurança, arquitetos e administradores de sistemas.
O Zero Trust para acesso de terceiros é construído em quatro camadas: Identidade (quem está se conectando), Dispositivo (de qual dispositivo), Acesso (a quê e como) e Monitoramento (o que foi feito). Vamos analisar cada camada passo a passo: de IdP e MFA a Posture Check, ZTNA e VDI, PAM e monitoramento em SIEM, UEBA (User and Entity Behavior Analytics, análise de comportamento de usuários e entidades) e SOAR, com estudos de caso, dados, diagramas e dois scripts bash funcionais para Linux.
É possível começar em uma semana de trabalho: auditoria de contas, MFA no sudo, primeiros relatórios sobre acessos esquecidos. A implementação completa leva de alguns meses a um par de anos, dependendo da escala. Ao final deste artigo, você terá um mapa das quatro camadas e um primeiro passo claro, que pode ser implementado em sua infraestrutura amanhã.
Situação Inicial
Imagine a seguinte situação hipotética: é sexta-feira à noite e um integrador de um determinado serviço precisa urgentemente de acesso: uma correção crítica, caso contrário, o serviço não será iniciado pela manhã. A maneira mais rápida é abrir a rede corporativa e conceder acesso root ao servidor. Uma atualização, o executor fará e desconectará. Desconectará, certo?
Mas, por negligência, a conta permanece ativa após o trabalho, e após alguns meses, é comprometida em um fórum clandestino. A partir daí, não é mais o integrador que acessa.
Cada passo aqui parece justificado no momento. O problema não está na solução específica, mas sim na falta de três elementos no acesso: tempo de vida, vínculo à tarefa e capacidade de observação. É isso que o Zero Trust adiciona, e é isso que construiremos em camadas a seguir.
Nos últimos anos, o Zero Trust tem sido impulsionado aos clientes não tanto pelo CISO, mas pelo CFO: ele está cansado de pagar por contratos de terceiros vencidos, horas de SOC “reais” e observações de auditoria sobre gerenciamento de direitos. A segurança tem uma economia, e ela se mostrou mais convincente do que as métricas de risco.
Em seguida, na ordem: como o cenário de ataques mudou, por que os mecanismos clássicos protegem mal o acesso de terceiros e como a arquitetura Zero Trust é construída passo a passo.
Parte 1. Questões de Negócios e Conceito
Por que um terceiro é seu usuário interno
Quando uma empresa diz: “Temos um problema com terceiros”, geralmente significa três coisas: prazos, qualidade e pagamento. A segurança cibernética é lembrada com menos frequência, mas isso é um erro.
Um terceiro em sua infraestrutura é um usuário interno. Ele tem os mesmos direitos que um funcionário em tempo integral, trabalha em seus sistemas, tem acesso a dados, escreve em bancos de dados. A única diferença é: você não controla sua máquina. Você não sabe quem mais está usando esse laptop à noite, não sabe quando sua organização terceirizada encerrará o relacionamento de trabalho com ele, não sabe quais outros sistemas de outros clientes ele mantém abertos em outras guias do navegador.
A combinação de direitos internos e controle externo sobre a máquina torna o terceiro o canal de ataque mais atraente em 2026. O invasor não precisa quebrar seu perímetro. Basta comprar a conta de um de seus terceiros em um fórum clandestino.
Anatomia de um ataque típico
Aqui está um cenário que se repete com pequenas variações:
Um infostealer é instalado na estação de trabalho do terceiro. Isso geralmente acontece por meio de sua atividade pessoal: baixou um programa pirateado, abriu um documento de phishing, instalou uma extensão de navegador. Isso não acontece porque o terceiro é descuidado. Isso acontece porque ele tem vida pessoal e profissional em uma única máquina, antivírus do trabalho anterior, senhas no navegador desde 2019. Seu perímetro não tem nada a ver com isso, porque ele nunca viu essa máquina.
O infostealer coleta tudo: senhas salvas no navegador, tokens de sessão, chaves SSH, credenciais para serviços corporativos. Em seguida, ele as transmite ao operador, que as publica em um site clandestino. Uma nova conta corporativa custa alguns milhares de rublos no mercado negro. Uma conta com acesso a uma empresa específica é mais cara, mas ainda assim barata.
O invasor entra na rede corporativa. Dentro da rede, ele tem exatamente os mesmos direitos que o terceiro legítimo: acesso ao ambiente de teste, ao ambiente de produção, às vezes ao monitoramento. Em seguida, reconhecimento, movimento lateral, busca por contas privilegiadas. Em média, 258 dias se passam entre a infecção e a detecção, de acordo com o relatório IBM Cost of a Data Breach Report 2024. Para ataques com contas roubadas, o prazo é ainda maior: 292 dias. Ou seja, por mais de nove meses, o invasor fica em sua infraestrutura - e ninguém percebe.
A principal conclusão deste esquema é que a proteção de perímetro não ajudará. O invasor não quebra o perímetro, ele entra por meio de um canal legítimo com uma conta legítima. Do ponto de vista de sua infraestrutura, o terceiro está trabalhando como de costume neste momento.
O que os relatórios de 2024–2025 mostram
Primeiro, uma visão geral do que está acontecendo no mundo:
A participação de ataques através de terceiros dobrou em 2024. De acordo com o Verizon Data Breach Investigations Report 2025 (o relatório mais conservador em metodologia), a participação de invasões através de terceiros aumentou de aproximadamente 15% em 2023 para quase um terço em 2024. O tempo médio de detecção de incidentes é de cerca de 258 dias, para ataques com credenciais roubadas - cerca de 292 dias (IBM Cost of a Data Breach 2024). A maioria dos ataques web envolve o uso de contas roubadas, e os ataques a VPNs de perímetro e corporativas aumentaram muitas vezes em 2024.
Os números russos são paralelos aos globais, mas com suas próprias especificidades, e são mais importantes para o nosso contexto:
Cerca de um terço dos incidentes de criptografia na Rússia em 2025 estão relacionados a ataques através de terceiros, o que representa o dobro em comparação com 2024. Essa dinâmica é registrada pela BI.ZONE DFIR em análises de incidentes reais (dados dos primeiros três trimestres de 2025). Uma imagem detalhada está em seu “Guia Definitivo para Proteger a Infraestrutura contra Ransomware e Wiper” e no relatório anual Threat Zone 2025.
Mais de 40% das empresas russas citam terceiros como a causa do incidente, e cerca de 22% dos incidentes ocorrem precisamente através da cadeia de suprimentos de software: dependências comprometidas, atualizações, código de terceiros. Números do relatório trimestral da Positive Technologies “Ameaças cibernéticas atuais: IV trimestre de 2024 - I trimestre de 2025”. Uma análise mais recente - para o primeiro semestre de 2025.
A quantidade de sistemas infectados por infostealers no mundo é estimada em 15 milhões no final de 2024 - esta é a principal fonte de contas que são vendidas em sites clandestinos e, em seguida, usadas por invasores para entrar em redes corporativas. Os dados do relatório anual de tendências da dark web da Kaspersky Digital Footprint Intelligence mostram um aumento de 40% no número de publicações sobre vazamentos de bancos de dados corporativos de agosto a novembro de 2024.
A previsão para 2026 das empresas russas de segurança cibernética é um aumento de 30 a 35% nos ataques bem-sucedidos, com uma expansão do foco do setor de TI para finanças e varejo.
A breve conclusão de todas essas estatísticas é que o terceiro é hoje o vetor mais provável de entrada em sua infraestrutura. Não é phishing de funcionários, não é 0-day em um serviço público, não é adivinhação de senhas. É a conta de um terceiro, comprada por alguns milhares de rublos em um fórum clandestino. O resto do artigo é sobre como fechar essa porta.
Separadamente, adicionaremos mais sobre o contexto russo. Após a saída de fornecedores ocidentais (Cisco, Palo Alto, Okta, CyberArk), a montagem da pilha Zero Trust tem que ser feita a partir de componentes domésticos. Isso não é uma desvantagem, mas uma oportunidade de olhar para novos fornecedores: o mercado de soluções ZTNA, IdP, PAM e SIEM na Federação Russa cresceu significativamente em 2023–2025, e produtos maduros apareceram para substituição. UserGate, Ideco, PT NGFW fecham o ZTNA. MaxPatrol SIEM, KUMA, R-Vision - camada SIEM. VK Cloud e outros provedores de nuvem são a base de infraestrutura para tudo isso, incluindo VDI pronto, IdPs federados, serviços gerenciados para SIEM. Não é mais necessário montar uma pilha completa - tudo é montado localmente.
Zero Trust em poucas palavras
O termo não veio do marketing. Foi introduzido por John Kindervag da Forrester Research em 2010, após uma série de ataques que mostraram que o perímetro não funciona mais. Em 2014, o Google publicou o modelo BeyondCorp, uma descrição de como eles reconstruíram o acesso a serviços internos após o ataque Operation Aurora em 2009. Em 2020, o NIST lançou o padrão SP 800-207, que fixou a terminologia e a arquitetura. Em 2021, o ataque à Colonial Pipeline através de uma conta VPN sem MFA interrompeu o oleoduto por cinco dias e se tornou um ponto de não retorno para os reguladores dos EUA.
Se um colega lhe disser: “Zero Trust é marketing moderno”, mostre a ele o NIST 800-207. O padrão tem cinco anos, nos EUA é um requisito básico para sistemas governamentais desde 2021.
A definição de Zero Trust se encaixa em duas frases.
Nunca confie. Verifique cada solicitação.
Implica desconfiança em tudo: rede, dispositivo, até mesmo uma conta válida. Cada solicitação é uma verificação separada.
Na prática, isso significa três coisas.
Identidade.
Quem é? É comprovado através do provedor de identidade corporativa (IdP) e autenticação multifator para cada solicitação, e não uma vez por dia de trabalho.
Contexto.
De qual dispositivo? De qual rede? A que horas? Se o terceiro geralmente acessa de São Petersburgo em horário comercial, e agora a solicitação veio do Cairo às três da manhã, o sistema deve ver isso e reagir.
Privilégios mínimos.
O que é permitido fazer agora? Somente para uma tarefa específica, por um tempo limitado. Não “ter acesso à produção sempre”, mas “ter acesso à tabela X por quatro horas sob o ticket nº 12 345”.
Como isso funciona na prática
Se você desdobrar a definição em uma arquitetura, você obtém o seguinte caminho de uma solicitação de um terceiro para um recurso:
O terceiro inicia a solicitação. Tenta entrar em contato com um aplicativo específico: CRM, banco de dados, console de monitoramento.
A solicitação chega à verificação de Identidade: IdP e MFA. Aqui também está a federação. A conta pode ser do IdP da organização terceirizada, prova através do token SAML ou OIDC. Se o token for válido e o MFA for aprovado, vamos em frente.
Em seguida, a verificação do Dispositivo - Posture Check. Versão do sistema operacional, relevância dos patches, presença de EDR, criptografia do disco. Se o dispositivo não estiver em conformidade com a política, ele não será permitido.
Se as duas primeiras verificações forem aprovadas, a solicitação chega ao Policy Engine. Este é o coração do Zero Trust. O mecanismo toma uma decisão com base em todas as informações de entrada: Identidade OK, Dispositivo OK, contexto adequado, horário de trabalho, recurso corresponde à função. Decisão: permitir, exigir autenticação Step-up ou negar.
Se for permitido, a conexão vai via ZTNA ou VDI. Não é a abertura de um canal de rede, mas o proxy de um aplicativo específico. O terceiro trabalha com o aplicativo. Todas as ações são registradas.
O monitoramento está em andamento em paralelo. Em cada etapa, os eventos vão para o SIEM. UEBA analisa desvios. SOAR pode interromper automaticamente a sessão por regras.
Seis nós, quatro verificações e monitoramento contínuo - e a negação é possível em cada etapa.
O que isso traz para os negócios
Em uma das oficinas para diretores de segurança cibernética, me perguntaram diretamente: “Como explicar ao CFO por que gastar todo o orçamento anual de segurança cibernética com isso, se ‘tudo já funciona’?” Eu sempre respondo a mesma coisa: mostre a ele a fatura da última auditoria FSTEC e diga que no próximo ano ela aumentará em uma vez e meia a duas vezes. Em seguida, mostre o relatório SOC do trimestre com incidentes que foram resolvidos manualmente. Se o CFO conta dinheiro, e não medos, ele aprovará o orçamento. Aqui estão quatro linhas que ele geralmente vê.
Redução do tempo médio de detecção de incidentes.
Com o monitoramento adequado, as anomalias são visíveis em questão de horas, e não 258 dias. De acordo com o IBM CODB, cada mês adicional de detecção adiciona 8–12% ao custo do incidente.
Automação do desligamento.
O terceiro é demitido em sua empresa, e através da federação, ele é desligado em sua empresa. Sem trabalho manual de RH, sem contas esquecidas, sem contas fantasmas no AD.
Auditoria gerenciada.
A verificação FSTEC, o Banco Central ou a auditoria interna são fechadas pela exportação de um relatório do sistema, e não pela coleta manual. As observações sobre UPP geralmente caem para zero dentro de seis meses após a implementação.
Redução da carga no SOC.
A resposta automática via SOAR dá menos 100 dias ao tempo mediano de localização do incidente. Este é um número do IBM CODB para empresas com IA no SOC: 31% das organizações obtêm uma aceleração estatisticamente significativa.
Separatamente sobre regulamentação.
Nos últimos dois anos, o FSTEC tem efetivamente impulsionado a indústria para o Zero Trust, mesmo que esse termo não soe nas diretrizes. As ordens nº 17, 21, 31 exigem segmentação, gerenciamento de direitos, registro de todas as ações de usuários privilegiados. A Lei Federal 187 e as diretrizes sobre KII 2025–2026 destacam claramente terceiros e terceiros como uma fonte separada de risco. GOST R 57580 para o setor financeiro contém requisitos para MFA e registro, que não são implementados fora da arquitetura Zero Trust. As empresas que iniciaram o movimento para ZT em 2024 fecham a auditoria em 2026 de forma mais rápida e barata. Aqueles que adiaram recebem observações e estendem os prazos.
O custo da implementação depende do tamanho. De acordo com minhas observações em projetos:
Pequenas empresas (até 100 funcionários, 10–30 terceiros): fechamento básico em 2–3 meses pelas forças de um engenheiro de segurança cibernética. IdP corporativo com MFA obrigatório, proibição de contas locais para terceiros, um processo de integração e desligamento.
Empresas de médio porte (100 a 1.000 funcionários, 50 a 300 terceiros): 9–12 meses, equipe de 2–4 engenheiros mais um fornecedor. Federação com terceiros, ZTNA em vez de VPN corporativa geral, PAM para sessões privilegiadas, SIEM com correlações.
Grandes empresas (1.000+, centenas de organizações terceirizadas): 18–24 meses, uma equipe dedicada de 10 ou mais pessoas. Pilha completa IdP + ZTNA + VDI + PAM + SIEM + UEBA + SOAR, automação do ciclo de vida via SCIM, integração com RH, programa de terceiros (TPRM).
Se um fornecedor promete “Zero Trust em três semanas” em uma grande organização, isso é um sinal de alerta. Se a equipe interna avaliar o projeto em cinco anos, esse é outro sinal de alerta, mas já sobre o orçamento e a atenção da gerência.
Nesta parte de negócios termina. Em seguida, a arquitetura técnica para aqueles que a construirão. Se você tomou a decisão: “Sim, precisamos disso”, leia mais. Se você decidiu: “Ainda não precisamos disso”, eu entendo. Mas vou lembrá-lo dos números do início: de acordo com as previsões das empresas russas de segurança cibernética, nos próximos anos, uma parte significativa dos negócios enfrentará um incidente através de um terceiro. A segunda parte ajudará pelo menos a entender o que sua equipe deve fazer quando isso acontecer.
Parte 2. Arquitetura Técnica por Camadas
Zero Trust consiste em quatro camadas de controle: Identidade (quem está se conectando), Dispositivo (de qual dispositivo), Acesso (a quê e como), Monitoramento (o que foi feito). As camadas são implementadas em paralelo, e não sequencialmente. Abaixo, em cada camada: o que está dentro, como é montado, onde estão os erros típicos.
Camada de Identidade. Identidade do terceiro
A Identidade é a base. Sem ela, as outras camadas são construídas na areia.
O terceiro tem sua própria conta em seu IdP corporativo, não no seu. Você nunca cria contas locais para terceiros em seu Active Directory ou IdP. Esta é a primeira e principal regra.
A conexão entre o IdP da organização terceirizada e seu IdP é construída através da federação SAML ou OIDC. Tecnicamente, isso significa que seu IdP confia nos tokens assinados pelo IdP do terceiro, desde que haja uma troca correta de metadados e rotação periódica de chaves.
Em seguida, MFA. Aqui, não é apenas “autenticação de dois fatores” que é importante, mas um modelo resistente a phishing. SMS não é adequado: ataques do tipo SIM Swap são conduzidos com sucesso em massa em um dia. TOTP é melhor, mas está sujeito a ataques de MFA Fatigue. Opções de trabalho: FIDO2/WebAuthn (solução de referência do NIST), Passkey (suportado por todos os principais IdPs), token de hardware (para cenários críticos).
A Autenticação Baseada em Risco analisa o contexto da solicitação: geolocalização, tempo, dispositivo, velocidade de alteração dos fatores. Se o terceiro geralmente acessa de um intervalo de IP em São Petersburgo, e agora a solicitação veio da Sérvia cinco minutos após a sessão anterior na Rússia, o mecanismo exigirá Step-up MFA ou negará. A decisão é tomada não por uma pessoa, mas por regras e um modelo de ML.
O Ciclo de Vida é um componente crítico e frequentemente esquecido. Quando um terceiro é demitido em sua empresa, seu IdP reflete esse evento. Através da federação, o evento chega ao seu IdP, e o acesso é fechado automaticamente em questão de minutos, sem processos manuais.
Situação comum.
Um integrador terceirizado trabalhou com o CRM do banco por cerca de um ano. Ele foi demitido em sua empresa, mas sua conta no Active Directory do cliente permaneceu ativa, ninguém foi notificado. Depois de algum tempo, a conta foi vendida em um fórum. O cliente descobriu o incidente alguns meses depois, quando viu solicitações estranhas ao banco de dados de clientes. A causa direta: não havia conexão entre o RH do terceiro e o IdP do cliente. Solução: federação SAML/OIDC mais um gatilho automático no desprovisionamento. Tecnicamente, o trabalho é de duas semanas para um engenheiro que sabe configurar um IdP corporativo. Organizacionalmente - vários meses de acordo com os advogados do terceiro sobre a transferência de eventos de RH. Isso é normal, este é o prazo padrão.
Se pelo menos um terceiro fizer login em você através de uma conta local no AD, esta é a primeira coisa que você precisa remover.
Em uma conferência no ano passado, um administrador de sistema de uma grande seguradora veio até mim nos bastidores: “Estamos implementando PAM há três anos, e os terceiros ainda estão usando contas técnicas comuns. Por que não funciona?” Eu respondi: “Porque sem IdP com federação, PAM é um log de eventos, e não um sistema de acesso. Primeiro a fundação, depois os privilégios, e não o contrário.” Ele voltou para a equipe e, seis meses depois, disse que era assim que eles foram: primeiro a federação, depois o MFA, depois o PAM, e só então tudo entrou em vigor.
Camada de Dispositivo. Dispositivo do terceiro
Tenho uma história curta sobre Dispositivo e, em seguida, detalhes específicos.
A pergunta mais frequente que ouço dos diretores técnicos nesta camada é: “Podemos simplesmente dar aos terceiros nossos laptops?” Você pode. Esta é a opção mais segura. Um laptop corporativo com MDM e EDR custa cerca de seis dígitos por ano, incluindo software e manutenção. Multiplique pelo número de seus terceiros. Se o valor total for significativamente menor que seu orçamento anual de segurança cibernética, faça isso. Se for comparável ou maior, vamos para as alternativas.
A primeira alternativa é VDI. O terceiro trabalha em sua máquina, mas se conecta a uma área de trabalho virtual em seu contorno. Tudo o que ele vê, executa e baixa acontece dentro da máquina virtual. Sua máquina local se torna um cliente leve sem a capacidade de copiar dados ou instalar algo em seu contorno. Tecnicamente, qualquer solução VDI é adequada - de produtos On-Premise (Termidesk, Basis.WorkPlace, Space) a nuvem. Se você precisar de VDI sem implantar a infraestrutura, existem opções gerenciadas: por exemplo, o Cloud Desktop na plataforma VK Cloud permite que você conecte um terceiro a uma área de trabalho isolada em minutos.
A segunda alternativa é o Posture Check de sua própria máquina. Antes de se conectar, o agente verifica o status do dispositivo: a versão do sistema operacional não é inferior a N, patches críticos estão instalados, o disco é criptografado por meio de ferramentas padrão do sistema operacional, o EDR está funcionando e relatando ao seu SIEM, as bases antivírus não têm mais de uma semana. Se tudo estiver OK, o acesso ZTNA é concedido aos aplicativos permitidos. Se algo estiver errado, redirecionamento para VDI. Se o VDI não for iniciado, a recusa com uma mensagem ao usuário: o que está errado e como consertar.
É esta bifurcação em três opções - a principal ideia da camada Dispositivo. Sem a opção do meio (VDI), você tem uma escolha binária “seu/estranho”, e o terceiro perde a capacidade de trabalhar com a menor incompatibilidade. Com o VDI, 80% dos casos são cobertos: o terceiro trabalha em qualquer máquina, mas seus dados não deixam o contorno.
Caso com um contra-exemplo.
Uma empresa industrial entre os principais players da indústria, trabalhando com sistemas de controle de processos automatizados. A gerência de segurança cibernética proibiu que os integradores terceirizados se conectassem de seus laptops: “A segurança é mais importante que a conveniência”. Formalmente, a política estava em conformidade com a Lei Federal 187. Os integradores começaram a escrever código em seus computadores, testá-lo em seu próprio suporte e transferir configurações prontas através de mídia USB para o contorno da empresa. Isso criou um buraco maior do que o original: código desconhecido de uma máquina desconhecida foi despejado na produção, contornando todos os controles. Após a implementação do VDI para terceiros em alguns meses: o código é escrito no VDI, testado lá, a mídia USB não é necessária. O custo do VDI para a equipe de integradores acabou sendo comparável à assinatura corporativa média do software. O custo de um potencial incidente no contorno do sistema de controle de processos automatizados é a paralisação da produção, multas regulatórias, perdas diretas. A ordem de grandeza é incomparável.
A conclusão é simples: a segurança que força as pessoas a inventar contornos não é segurança, mas teatro.
Camada de Acesso. Segmentação, privilégios mínimos, JIT
O Acesso é a camada mais instrumental. Aqui, as tecnologias clássicas são substituídas por alternativas Zero Trust.
Quatro mecanismos trabalham juntos.
A segmentação leva terceiros para uma zona de rede separada, isolada da produção. Entre as zonas, a negação por padrão, as permissões são descritas explicitamente. Tecnicamente, pode ser uma VLAN com regras de firewall, microsegmentação no nível do hipervisor ou Service Mesh com mTLS entre microsserviços. A escolha depende da infraestrutura, o princípio é o mesmo: o terceiro não pode fisicamente entrar em contato com os recursos que ele não precisa para trabalhar.
ZTNA substitui a VPN corporativa. Esta é a principal substituição em toda a arquitetura. A VPN de ponta a ponta dá acesso a toda a rede, o terceiro vê o ambiente de rede e pode digitalizá-lo. ZTNA dá acesso a um aplicativo específico. O terceiro se conecta a um broker, o broker, de acordo com a política, emite um túnel para uma porta de um serviço. O resto nem é visível, como se não existisse.
A diferença está no modelo de confiança, e não no desempenho. ZTNA na prática é frequentemente mais rápido que VPN, porque o tráfego passa por uma rede distribuída de brokers, e não por um único hub.
O que existe no mercado russo.
Após a saída de fornecedores ocidentais, as soluções ZTNA são coletadas na Rússia a partir de várias fontes. De equipamentos de rede com funcionalidade ZTNA - UserGate, Ideco NGFW com cliente NAC, PT NGFW da Positive Technologies. De produtos especializados para gerenciamento de acesso privilegiado - BI.ZONE PAM, Solar inRights (SafeInspect), “AyTi Bastion” SKDPU. VDI como um complemento ao ZTNA - Termidesk, Basis.WorkPlace, Cloud Desktop no VK Cloud. Para a maioria das empresas, a questão não é “existe uma solução russa”, mas “como montar uma pilha de vários produtos e integrá-los entre si”. Isso tornou a parte arquitetônica do projeto mais cara do que a integração, mas mais barata que as licenças - o equilíbrio ainda está no lado positivo para o cliente.
Opinião impopular.
A rede corporativa clássica em 2026 não é uma vulnerabilidade, é uma dívida tecnológica. Você pode consertá-lo por anos, ajustar o MFA, segmentar a rede com remendos, mas o modelo fundamental “deixamos entrar, então confiamos” foi inventado para uma época em que o terceiro chegava ao escritório com um pendrive. Se você ainda mantém terceiros comuns na rede corporativa, você está subsidiando o mercado negro de contas. Minha tese é: em 2026, o acesso à rede corporativa é permitido apenas para funcionários em tempo integral e apenas como transporte. Qualquer acesso de terceiros deve passar por ZTNA ou VDI. Ponto.
O acesso JIT quebra o modelo em que os direitos são acumulados ao longo dos anos. Não “o terceiro tem acesso ao banco de dados de produção sempre”, mas “o terceiro solicitou acesso para a tarefa nº 12 345, recebeu por quatro horas, fechou automaticamente”. Extensão através de uma nova solicitação. Sem exceções sem uma data de “morte” no calendário.
PAM fecha o acesso privilegiado. Se o terceiro trabalha com root, com um banco de dados ou com um controlador de domínio, isso passa pelo sistema PAM. O broker substitui a senha sem mostrá-la ao usuário, grava a sessão (terminal e SQL), pode interromper a sessão por alerta. O terceiro não vê as credenciais, não pode copiá-las, cada ação é corrigida.
O que a nuvem oferece para Zero Trust fora da caixa
A infraestrutura em nuvem fecha parte dos requisitos do Zero Trust - sem implantação separada. Esta não é uma característica do provedor, mas uma realidade arquitetônica: a nuvem foi construída desde o início de forma que diferentes clientes no mesmo hardware não se vejam. Zero Trust recebe esse isolamento gratuitamente para seus projetos.
Segmentação.
VPC (Virtual Private Cloud) com sub-redes, grupos de segurança no nível de máquinas virtuais e contêineres. Entre as sub-redes, a negação por padrão, as permissões são descritas declarativamente - através de regras do tipo “da sub-rede de desenvolvimento, o tráfego é permitido na porta 5 432 apenas para tal grupo de bancos de dados”. Para arquiteturas de microsserviços, o Service Mesh com mTLS entre os serviços é sobreposto, o que já fornece microsegmentação L7. Um desenvolvedor terceirizado se conecta via ZTNA à sua sub-rede de desenvolvimento e fisicamente não vê a produção: não há rota para lá no nível da rede.
IAM com diferenciação por recursos.
Na infraestrutura clássica, “acesso de terceiros” é uma conta permanente com uma senha ou chave SSH que vive por anos. Na nuvem, é diferente: um projeto separado é alocado para a tarefa com isolado
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Zero Trust para Acesso de Terceiros: Quatro Camadas de Identidade, Dispositivo, Acesso e Monitoramento
De acordo com dados da BI.ZONE, quase um terço dos incidentes de ransomware na Rússia em 2025 foram resultado de ataques através de terceiros. Não através do perímetro de firewall, mas sim por meio de um canal legítimo: a conta de um prestador de serviços externo, uma rede compartilhada, privilégios concedidos para uma tarefa específica e que permanecem ativos indefinidamente. Este é um guia prático sobre como evitar tais situações utilizando o modelo Zero Trust e como construir um sistema de acesso para terceiros, com foco em passos concretos, scripts prontos e verificações para avaliar o que já funciona e o que precisa ser implementado. O material é direcionado a profissionais que projetam ou operam o acesso de terceiros: engenheiros de segurança, arquitetos e administradores de sistemas.
O Zero Trust para acesso de terceiros é construído em quatro camadas: Identidade (quem está se conectando), Dispositivo (de qual dispositivo), Acesso (a quê e como) e Monitoramento (o que foi feito). Vamos analisar cada camada passo a passo: de IdP e MFA a Posture Check, ZTNA e VDI, PAM e monitoramento em SIEM, UEBA (User and Entity Behavior Analytics, análise de comportamento de usuários e entidades) e SOAR, com estudos de caso, dados, diagramas e dois scripts bash funcionais para Linux.
É possível começar em uma semana de trabalho: auditoria de contas, MFA no sudo, primeiros relatórios sobre acessos esquecidos. A implementação completa leva de alguns meses a um par de anos, dependendo da escala. Ao final deste artigo, você terá um mapa das quatro camadas e um primeiro passo claro, que pode ser implementado em sua infraestrutura amanhã.
Situação Inicial
Imagine a seguinte situação hipotética: é sexta-feira à noite e um integrador de um determinado serviço precisa urgentemente de acesso: uma correção crítica, caso contrário, o serviço não será iniciado pela manhã. A maneira mais rápida é abrir a rede corporativa e conceder acesso root ao servidor. Uma atualização, o executor fará e desconectará. Desconectará, certo?
Mas, por negligência, a conta permanece ativa após o trabalho, e após alguns meses, é comprometida em um fórum clandestino. A partir daí, não é mais o integrador que acessa.
Cada passo aqui parece justificado no momento. O problema não está na solução específica, mas sim na falta de três elementos no acesso: tempo de vida, vínculo à tarefa e capacidade de observação. É isso que o Zero Trust adiciona, e é isso que construiremos em camadas a seguir.
Nos últimos anos, o Zero Trust tem sido impulsionado aos clientes não tanto pelo CISO, mas pelo CFO: ele está cansado de pagar por contratos de terceiros vencidos, horas de SOC “reais” e observações de auditoria sobre gerenciamento de direitos. A segurança tem uma economia, e ela se mostrou mais convincente do que as métricas de risco.
Em seguida, na ordem: como o cenário de ataques mudou, por que os mecanismos clássicos protegem mal o acesso de terceiros e como a arquitetura Zero Trust é construída passo a passo.
Parte 1. Questões de Negócios e Conceito
Por que um terceiro é seu usuário interno
Quando uma empresa diz: “Temos um problema com terceiros”, geralmente significa três coisas: prazos, qualidade e pagamento. A segurança cibernética é lembrada com menos frequência, mas isso é um erro.
Um terceiro em sua infraestrutura é um usuário interno. Ele tem os mesmos direitos que um funcionário em tempo integral, trabalha em seus sistemas, tem acesso a dados, escreve em bancos de dados. A única diferença é: você não controla sua máquina. Você não sabe quem mais está usando esse laptop à noite, não sabe quando sua organização terceirizada encerrará o relacionamento de trabalho com ele, não sabe quais outros sistemas de outros clientes ele mantém abertos em outras guias do navegador.
A combinação de direitos internos e controle externo sobre a máquina torna o terceiro o canal de ataque mais atraente em 2026. O invasor não precisa quebrar seu perímetro. Basta comprar a conta de um de seus terceiros em um fórum clandestino.
Anatomia de um ataque típico
Aqui está um cenário que se repete com pequenas variações:
Um infostealer é instalado na estação de trabalho do terceiro. Isso geralmente acontece por meio de sua atividade pessoal: baixou um programa pirateado, abriu um documento de phishing, instalou uma extensão de navegador. Isso não acontece porque o terceiro é descuidado. Isso acontece porque ele tem vida pessoal e profissional em uma única máquina, antivírus do trabalho anterior, senhas no navegador desde 2019. Seu perímetro não tem nada a ver com isso, porque ele nunca viu essa máquina.
O infostealer coleta tudo: senhas salvas no navegador, tokens de sessão, chaves SSH, credenciais para serviços corporativos. Em seguida, ele as transmite ao operador, que as publica em um site clandestino. Uma nova conta corporativa custa alguns milhares de rublos no mercado negro. Uma conta com acesso a uma empresa específica é mais cara, mas ainda assim barata.
O invasor entra na rede corporativa. Dentro da rede, ele tem exatamente os mesmos direitos que o terceiro legítimo: acesso ao ambiente de teste, ao ambiente de produção, às vezes ao monitoramento. Em seguida, reconhecimento, movimento lateral, busca por contas privilegiadas. Em média, 258 dias se passam entre a infecção e a detecção, de acordo com o relatório IBM Cost of a Data Breach Report 2024. Para ataques com contas roubadas, o prazo é ainda maior: 292 dias. Ou seja, por mais de nove meses, o invasor fica em sua infraestrutura - e ninguém percebe.
A principal conclusão deste esquema é que a proteção de perímetro não ajudará. O invasor não quebra o perímetro, ele entra por meio de um canal legítimo com uma conta legítima. Do ponto de vista de sua infraestrutura, o terceiro está trabalhando como de costume neste momento.
O que os relatórios de 2024–2025 mostram
Primeiro, uma visão geral do que está acontecendo no mundo:
A participação de ataques através de terceiros dobrou em 2024. De acordo com o Verizon Data Breach Investigations Report 2025 (o relatório mais conservador em metodologia), a participação de invasões através de terceiros aumentou de aproximadamente 15% em 2023 para quase um terço em 2024. O tempo médio de detecção de incidentes é de cerca de 258 dias, para ataques com credenciais roubadas - cerca de 292 dias (IBM Cost of a Data Breach 2024). A maioria dos ataques web envolve o uso de contas roubadas, e os ataques a VPNs de perímetro e corporativas aumentaram muitas vezes em 2024.
Os números russos são paralelos aos globais, mas com suas próprias especificidades, e são mais importantes para o nosso contexto:
Cerca de um terço dos incidentes de criptografia na Rússia em 2025 estão relacionados a ataques através de terceiros, o que representa o dobro em comparação com 2024. Essa dinâmica é registrada pela BI.ZONE DFIR em análises de incidentes reais (dados dos primeiros três trimestres de 2025). Uma imagem detalhada está em seu “Guia Definitivo para Proteger a Infraestrutura contra Ransomware e Wiper” e no relatório anual Threat Zone 2025.
Mais de 40% das empresas russas citam terceiros como a causa do incidente, e cerca de 22% dos incidentes ocorrem precisamente através da cadeia de suprimentos de software: dependências comprometidas, atualizações, código de terceiros. Números do relatório trimestral da Positive Technologies “Ameaças cibernéticas atuais: IV trimestre de 2024 - I trimestre de 2025”. Uma análise mais recente - para o primeiro semestre de 2025.
A quantidade de sistemas infectados por infostealers no mundo é estimada em 15 milhões no final de 2024 - esta é a principal fonte de contas que são vendidas em sites clandestinos e, em seguida, usadas por invasores para entrar em redes corporativas. Os dados do relatório anual de tendências da dark web da Kaspersky Digital Footprint Intelligence mostram um aumento de 40% no número de publicações sobre vazamentos de bancos de dados corporativos de agosto a novembro de 2024.
A previsão para 2026 das empresas russas de segurança cibernética é um aumento de 30 a 35% nos ataques bem-sucedidos, com uma expansão do foco do setor de TI para finanças e varejo.
A breve conclusão de todas essas estatísticas é que o terceiro é hoje o vetor mais provável de entrada em sua infraestrutura. Não é phishing de funcionários, não é 0-day em um serviço público, não é adivinhação de senhas. É a conta de um terceiro, comprada por alguns milhares de rublos em um fórum clandestino. O resto do artigo é sobre como fechar essa porta.
Separadamente, adicionaremos mais sobre o contexto russo. Após a saída de fornecedores ocidentais (Cisco, Palo Alto, Okta, CyberArk), a montagem da pilha Zero Trust tem que ser feita a partir de componentes domésticos. Isso não é uma desvantagem, mas uma oportunidade de olhar para novos fornecedores: o mercado de soluções ZTNA, IdP, PAM e SIEM na Federação Russa cresceu significativamente em 2023–2025, e produtos maduros apareceram para substituição. UserGate, Ideco, PT NGFW fecham o ZTNA. MaxPatrol SIEM, KUMA, R-Vision - camada SIEM. VK Cloud e outros provedores de nuvem são a base de infraestrutura para tudo isso, incluindo VDI pronto, IdPs federados, serviços gerenciados para SIEM. Não é mais necessário montar uma pilha completa - tudo é montado localmente.
Zero Trust em poucas palavras
O termo não veio do marketing. Foi introduzido por John Kindervag da Forrester Research em 2010, após uma série de ataques que mostraram que o perímetro não funciona mais. Em 2014, o Google publicou o modelo BeyondCorp, uma descrição de como eles reconstruíram o acesso a serviços internos após o ataque Operation Aurora em 2009. Em 2020, o NIST lançou o padrão SP 800-207, que fixou a terminologia e a arquitetura. Em 2021, o ataque à Colonial Pipeline através de uma conta VPN sem MFA interrompeu o oleoduto por cinco dias e se tornou um ponto de não retorno para os reguladores dos EUA.
Se um colega lhe disser: “Zero Trust é marketing moderno”, mostre a ele o NIST 800-207. O padrão tem cinco anos, nos EUA é um requisito básico para sistemas governamentais desde 2021.
A definição de Zero Trust se encaixa em duas frases.
Nunca confie. Verifique cada solicitação.
Implica desconfiança em tudo: rede, dispositivo, até mesmo uma conta válida. Cada solicitação é uma verificação separada.
Na prática, isso significa três coisas.
Identidade.
Quem é? É comprovado através do provedor de identidade corporativa (IdP) e autenticação multifator para cada solicitação, e não uma vez por dia de trabalho.
Contexto.
De qual dispositivo? De qual rede? A que horas? Se o terceiro geralmente acessa de São Petersburgo em horário comercial, e agora a solicitação veio do Cairo às três da manhã, o sistema deve ver isso e reagir.
Privilégios mínimos.
O que é permitido fazer agora? Somente para uma tarefa específica, por um tempo limitado. Não “ter acesso à produção sempre”, mas “ter acesso à tabela X por quatro horas sob o ticket nº 12 345”.
Como isso funciona na prática
Se você desdobrar a definição em uma arquitetura, você obtém o seguinte caminho de uma solicitação de um terceiro para um recurso:
O terceiro inicia a solicitação. Tenta entrar em contato com um aplicativo específico: CRM, banco de dados, console de monitoramento.
A solicitação chega à verificação de Identidade: IdP e MFA. Aqui também está a federação. A conta pode ser do IdP da organização terceirizada, prova através do token SAML ou OIDC. Se o token for válido e o MFA for aprovado, vamos em frente.
Em seguida, a verificação do Dispositivo - Posture Check. Versão do sistema operacional, relevância dos patches, presença de EDR, criptografia do disco. Se o dispositivo não estiver em conformidade com a política, ele não será permitido.
Se as duas primeiras verificações forem aprovadas, a solicitação chega ao Policy Engine. Este é o coração do Zero Trust. O mecanismo toma uma decisão com base em todas as informações de entrada: Identidade OK, Dispositivo OK, contexto adequado, horário de trabalho, recurso corresponde à função. Decisão: permitir, exigir autenticação Step-up ou negar.
Se for permitido, a conexão vai via ZTNA ou VDI. Não é a abertura de um canal de rede, mas o proxy de um aplicativo específico. O terceiro trabalha com o aplicativo. Todas as ações são registradas.
O monitoramento está em andamento em paralelo. Em cada etapa, os eventos vão para o SIEM. UEBA analisa desvios. SOAR pode interromper automaticamente a sessão por regras.
Seis nós, quatro verificações e monitoramento contínuo - e a negação é possível em cada etapa.
O que isso traz para os negócios
Em uma das oficinas para diretores de segurança cibernética, me perguntaram diretamente: “Como explicar ao CFO por que gastar todo o orçamento anual de segurança cibernética com isso, se ‘tudo já funciona’?” Eu sempre respondo a mesma coisa: mostre a ele a fatura da última auditoria FSTEC e diga que no próximo ano ela aumentará em uma vez e meia a duas vezes. Em seguida, mostre o relatório SOC do trimestre com incidentes que foram resolvidos manualmente. Se o CFO conta dinheiro, e não medos, ele aprovará o orçamento. Aqui estão quatro linhas que ele geralmente vê.
Redução do tempo médio de detecção de incidentes.
Com o monitoramento adequado, as anomalias são visíveis em questão de horas, e não 258 dias. De acordo com o IBM CODB, cada mês adicional de detecção adiciona 8–12% ao custo do incidente.
Automação do desligamento.
O terceiro é demitido em sua empresa, e através da federação, ele é desligado em sua empresa. Sem trabalho manual de RH, sem contas esquecidas, sem contas fantasmas no AD.
Auditoria gerenciada.
A verificação FSTEC, o Banco Central ou a auditoria interna são fechadas pela exportação de um relatório do sistema, e não pela coleta manual. As observações sobre UPP geralmente caem para zero dentro de seis meses após a implementação.
Redução da carga no SOC.
A resposta automática via SOAR dá menos 100 dias ao tempo mediano de localização do incidente. Este é um número do IBM CODB para empresas com IA no SOC: 31% das organizações obtêm uma aceleração estatisticamente significativa.
Separatamente sobre regulamentação.
Nos últimos dois anos, o FSTEC tem efetivamente impulsionado a indústria para o Zero Trust, mesmo que esse termo não soe nas diretrizes. As ordens nº 17, 21, 31 exigem segmentação, gerenciamento de direitos, registro de todas as ações de usuários privilegiados. A Lei Federal 187 e as diretrizes sobre KII 2025–2026 destacam claramente terceiros e terceiros como uma fonte separada de risco. GOST R 57580 para o setor financeiro contém requisitos para MFA e registro, que não são implementados fora da arquitetura Zero Trust. As empresas que iniciaram o movimento para ZT em 2024 fecham a auditoria em 2026 de forma mais rápida e barata. Aqueles que adiaram recebem observações e estendem os prazos.
O custo da implementação depende do tamanho. De acordo com minhas observações em projetos:
Pequenas empresas (até 100 funcionários, 10–30 terceiros): fechamento básico em 2–3 meses pelas forças de um engenheiro de segurança cibernética. IdP corporativo com MFA obrigatório, proibição de contas locais para terceiros, um processo de integração e desligamento.
Empresas de médio porte (100 a 1.000 funcionários, 50 a 300 terceiros): 9–12 meses, equipe de 2–4 engenheiros mais um fornecedor. Federação com terceiros, ZTNA em vez de VPN corporativa geral, PAM para sessões privilegiadas, SIEM com correlações.
Grandes empresas (1.000+, centenas de organizações terceirizadas): 18–24 meses, uma equipe dedicada de 10 ou mais pessoas. Pilha completa IdP + ZTNA + VDI + PAM + SIEM + UEBA + SOAR, automação do ciclo de vida via SCIM, integração com RH, programa de terceiros (TPRM).
Se um fornecedor promete “Zero Trust em três semanas” em uma grande organização, isso é um sinal de alerta. Se a equipe interna avaliar o projeto em cinco anos, esse é outro sinal de alerta, mas já sobre o orçamento e a atenção da gerência.
Nesta parte de negócios termina. Em seguida, a arquitetura técnica para aqueles que a construirão. Se você tomou a decisão: “Sim, precisamos disso”, leia mais. Se você decidiu: “Ainda não precisamos disso”, eu entendo. Mas vou lembrá-lo dos números do início: de acordo com as previsões das empresas russas de segurança cibernética, nos próximos anos, uma parte significativa dos negócios enfrentará um incidente através de um terceiro. A segunda parte ajudará pelo menos a entender o que sua equipe deve fazer quando isso acontecer.
Parte 2. Arquitetura Técnica por Camadas
Zero Trust consiste em quatro camadas de controle: Identidade (quem está se conectando), Dispositivo (de qual dispositivo), Acesso (a quê e como), Monitoramento (o que foi feito). As camadas são implementadas em paralelo, e não sequencialmente. Abaixo, em cada camada: o que está dentro, como é montado, onde estão os erros típicos.
Camada de Identidade. Identidade do terceiro
A Identidade é a base. Sem ela, as outras camadas são construídas na areia.
O terceiro tem sua própria conta em seu IdP corporativo, não no seu. Você nunca cria contas locais para terceiros em seu Active Directory ou IdP. Esta é a primeira e principal regra.
A conexão entre o IdP da organização terceirizada e seu IdP é construída através da federação SAML ou OIDC. Tecnicamente, isso significa que seu IdP confia nos tokens assinados pelo IdP do terceiro, desde que haja uma troca correta de metadados e rotação periódica de chaves.
Em seguida, MFA. Aqui, não é apenas “autenticação de dois fatores” que é importante, mas um modelo resistente a phishing. SMS não é adequado: ataques do tipo SIM Swap são conduzidos com sucesso em massa em um dia. TOTP é melhor, mas está sujeito a ataques de MFA Fatigue. Opções de trabalho: FIDO2/WebAuthn (solução de referência do NIST), Passkey (suportado por todos os principais IdPs), token de hardware (para cenários críticos).
A Autenticação Baseada em Risco analisa o contexto da solicitação: geolocalização, tempo, dispositivo, velocidade de alteração dos fatores. Se o terceiro geralmente acessa de um intervalo de IP em São Petersburgo, e agora a solicitação veio da Sérvia cinco minutos após a sessão anterior na Rússia, o mecanismo exigirá Step-up MFA ou negará. A decisão é tomada não por uma pessoa, mas por regras e um modelo de ML.
O Ciclo de Vida é um componente crítico e frequentemente esquecido. Quando um terceiro é demitido em sua empresa, seu IdP reflete esse evento. Através da federação, o evento chega ao seu IdP, e o acesso é fechado automaticamente em questão de minutos, sem processos manuais.
Situação comum.
Um integrador terceirizado trabalhou com o CRM do banco por cerca de um ano. Ele foi demitido em sua empresa, mas sua conta no Active Directory do cliente permaneceu ativa, ninguém foi notificado. Depois de algum tempo, a conta foi vendida em um fórum. O cliente descobriu o incidente alguns meses depois, quando viu solicitações estranhas ao banco de dados de clientes. A causa direta: não havia conexão entre o RH do terceiro e o IdP do cliente. Solução: federação SAML/OIDC mais um gatilho automático no desprovisionamento. Tecnicamente, o trabalho é de duas semanas para um engenheiro que sabe configurar um IdP corporativo. Organizacionalmente - vários meses de acordo com os advogados do terceiro sobre a transferência de eventos de RH. Isso é normal, este é o prazo padrão.
Se pelo menos um terceiro fizer login em você através de uma conta local no AD, esta é a primeira coisa que você precisa remover.
Em uma conferência no ano passado, um administrador de sistema de uma grande seguradora veio até mim nos bastidores: “Estamos implementando PAM há três anos, e os terceiros ainda estão usando contas técnicas comuns. Por que não funciona?” Eu respondi: “Porque sem IdP com federação, PAM é um log de eventos, e não um sistema de acesso. Primeiro a fundação, depois os privilégios, e não o contrário.” Ele voltou para a equipe e, seis meses depois, disse que era assim que eles foram: primeiro a federação, depois o MFA, depois o PAM, e só então tudo entrou em vigor.
Camada de Dispositivo. Dispositivo do terceiro
Tenho uma história curta sobre Dispositivo e, em seguida, detalhes específicos.
A pergunta mais frequente que ouço dos diretores técnicos nesta camada é: “Podemos simplesmente dar aos terceiros nossos laptops?” Você pode. Esta é a opção mais segura. Um laptop corporativo com MDM e EDR custa cerca de seis dígitos por ano, incluindo software e manutenção. Multiplique pelo número de seus terceiros. Se o valor total for significativamente menor que seu orçamento anual de segurança cibernética, faça isso. Se for comparável ou maior, vamos para as alternativas.
A primeira alternativa é VDI. O terceiro trabalha em sua máquina, mas se conecta a uma área de trabalho virtual em seu contorno. Tudo o que ele vê, executa e baixa acontece dentro da máquina virtual. Sua máquina local se torna um cliente leve sem a capacidade de copiar dados ou instalar algo em seu contorno. Tecnicamente, qualquer solução VDI é adequada - de produtos On-Premise (Termidesk, Basis.WorkPlace, Space) a nuvem. Se você precisar de VDI sem implantar a infraestrutura, existem opções gerenciadas: por exemplo, o Cloud Desktop na plataforma VK Cloud permite que você conecte um terceiro a uma área de trabalho isolada em minutos.
A segunda alternativa é o Posture Check de sua própria máquina. Antes de se conectar, o agente verifica o status do dispositivo: a versão do sistema operacional não é inferior a N, patches críticos estão instalados, o disco é criptografado por meio de ferramentas padrão do sistema operacional, o EDR está funcionando e relatando ao seu SIEM, as bases antivírus não têm mais de uma semana. Se tudo estiver OK, o acesso ZTNA é concedido aos aplicativos permitidos. Se algo estiver errado, redirecionamento para VDI. Se o VDI não for iniciado, a recusa com uma mensagem ao usuário: o que está errado e como consertar.
É esta bifurcação em três opções - a principal ideia da camada Dispositivo. Sem a opção do meio (VDI), você tem uma escolha binária “seu/estranho”, e o terceiro perde a capacidade de trabalhar com a menor incompatibilidade. Com o VDI, 80% dos casos são cobertos: o terceiro trabalha em qualquer máquina, mas seus dados não deixam o contorno.
Caso com um contra-exemplo.
Uma empresa industrial entre os principais players da indústria, trabalhando com sistemas de controle de processos automatizados. A gerência de segurança cibernética proibiu que os integradores terceirizados se conectassem de seus laptops: “A segurança é mais importante que a conveniência”. Formalmente, a política estava em conformidade com a Lei Federal 187. Os integradores começaram a escrever código em seus computadores, testá-lo em seu próprio suporte e transferir configurações prontas através de mídia USB para o contorno da empresa. Isso criou um buraco maior do que o original: código desconhecido de uma máquina desconhecida foi despejado na produção, contornando todos os controles. Após a implementação do VDI para terceiros em alguns meses: o código é escrito no VDI, testado lá, a mídia USB não é necessária. O custo do VDI para a equipe de integradores acabou sendo comparável à assinatura corporativa média do software. O custo de um potencial incidente no contorno do sistema de controle de processos automatizados é a paralisação da produção, multas regulatórias, perdas diretas. A ordem de grandeza é incomparável.
A conclusão é simples: a segurança que força as pessoas a inventar contornos não é segurança, mas teatro.
Camada de Acesso. Segmentação, privilégios mínimos, JIT
O Acesso é a camada mais instrumental. Aqui, as tecnologias clássicas são substituídas por alternativas Zero Trust.
Quatro mecanismos trabalham juntos.
A segmentação leva terceiros para uma zona de rede separada, isolada da produção. Entre as zonas, a negação por padrão, as permissões são descritas explicitamente. Tecnicamente, pode ser uma VLAN com regras de firewall, microsegmentação no nível do hipervisor ou Service Mesh com mTLS entre microsserviços. A escolha depende da infraestrutura, o princípio é o mesmo: o terceiro não pode fisicamente entrar em contato com os recursos que ele não precisa para trabalhar.
ZTNA substitui a VPN corporativa. Esta é a principal substituição em toda a arquitetura. A VPN de ponta a ponta dá acesso a toda a rede, o terceiro vê o ambiente de rede e pode digitalizá-lo. ZTNA dá acesso a um aplicativo específico. O terceiro se conecta a um broker, o broker, de acordo com a política, emite um túnel para uma porta de um serviço. O resto nem é visível, como se não existisse.
A diferença está no modelo de confiança, e não no desempenho. ZTNA na prática é frequentemente mais rápido que VPN, porque o tráfego passa por uma rede distribuída de brokers, e não por um único hub.
O que existe no mercado russo.
Após a saída de fornecedores ocidentais, as soluções ZTNA são coletadas na Rússia a partir de várias fontes. De equipamentos de rede com funcionalidade ZTNA - UserGate, Ideco NGFW com cliente NAC, PT NGFW da Positive Technologies. De produtos especializados para gerenciamento de acesso privilegiado - BI.ZONE PAM, Solar inRights (SafeInspect), “AyTi Bastion” SKDPU. VDI como um complemento ao ZTNA - Termidesk, Basis.WorkPlace, Cloud Desktop no VK Cloud. Para a maioria das empresas, a questão não é “existe uma solução russa”, mas “como montar uma pilha de vários produtos e integrá-los entre si”. Isso tornou a parte arquitetônica do projeto mais cara do que a integração, mas mais barata que as licenças - o equilíbrio ainda está no lado positivo para o cliente.
Opinião impopular.
A rede corporativa clássica em 2026 não é uma vulnerabilidade, é uma dívida tecnológica. Você pode consertá-lo por anos, ajustar o MFA, segmentar a rede com remendos, mas o modelo fundamental “deixamos entrar, então confiamos” foi inventado para uma época em que o terceiro chegava ao escritório com um pendrive. Se você ainda mantém terceiros comuns na rede corporativa, você está subsidiando o mercado negro de contas. Minha tese é: em 2026, o acesso à rede corporativa é permitido apenas para funcionários em tempo integral e apenas como transporte. Qualquer acesso de terceiros deve passar por ZTNA ou VDI. Ponto.
O acesso JIT quebra o modelo em que os direitos são acumulados ao longo dos anos. Não “o terceiro tem acesso ao banco de dados de produção sempre”, mas “o terceiro solicitou acesso para a tarefa nº 12 345, recebeu por quatro horas, fechou automaticamente”. Extensão através de uma nova solicitação. Sem exceções sem uma data de “morte” no calendário.
PAM fecha o acesso privilegiado. Se o terceiro trabalha com root, com um banco de dados ou com um controlador de domínio, isso passa pelo sistema PAM. O broker substitui a senha sem mostrá-la ao usuário, grava a sessão (terminal e SQL), pode interromper a sessão por alerta. O terceiro não vê as credenciais, não pode copiá-las, cada ação é corrigida.
O que a nuvem oferece para Zero Trust fora da caixa
A infraestrutura em nuvem fecha parte dos requisitos do Zero Trust - sem implantação separada. Esta não é uma característica do provedor, mas uma realidade arquitetônica: a nuvem foi construída desde o início de forma que diferentes clientes no mesmo hardware não se vejam. Zero Trust recebe esse isolamento gratuitamente para seus projetos.
Segmentação.
VPC (Virtual Private Cloud) com sub-redes, grupos de segurança no nível de máquinas virtuais e contêineres. Entre as sub-redes, a negação por padrão, as permissões são descritas declarativamente - através de regras do tipo “da sub-rede de desenvolvimento, o tráfego é permitido na porta 5 432 apenas para tal grupo de bancos de dados”. Para arquiteturas de microsserviços, o Service Mesh com mTLS entre os serviços é sobreposto, o que já fornece microsegmentação L7. Um desenvolvedor terceirizado se conecta via ZTNA à sua sub-rede de desenvolvimento e fisicamente não vê a produção: não há rota para lá no nível da rede.
IAM com diferenciação por recursos.
Na infraestrutura clássica, “acesso de terceiros” é uma conta permanente com uma senha ou chave SSH que vive por anos. Na nuvem, é diferente: um projeto separado é alocado para a tarefa com isolado
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
