Com mais de 32 mil visualizações em 30 dias, este artigo do VK Tech, com uma avaliação de 218,19 e 839 assinantes, discute a aplicação do modelo Zero Trust para o acesso de terceiros. A publicação, feita há 1 hora, foca em como construir um sistema seguro para o acesso de terceiros, com foco nas camadas de Identidade, Dispositivo, Acesso e Monitoramento. O artigo é voltado para profissionais de segurança da informação, arquitetos e administradores de sistemas.
De acordo com dados da BI.ZONE, quase um terço dos incidentes de ransomware na Rússia em 2025 foram causados por ataques através de terceiros. Estes ataques não contornam o perímetro de segurança (firewall), mas sim utilizam canais legítimos, como contas de prestadores de serviços, redes compartilhadas e privilégios concedidos para tarefas específicas, que permanecem ativos por muito tempo. Este artigo oferece um guia prático sobre como evitar tais incidentes usando o modelo Zero Trust, detalhando a construção do acesso de terceiros e a configuração de um sistema seguro. O artigo apresenta cada camada com passos concretos, scripts e verificações, auxiliando na identificação do que já funciona e do que precisa ser implementado. O objetivo é fornecer informações úteis para quem projeta ou opera o acesso de terceiros, incluindo engenheiros de segurança, arquitetos e administradores de sistemas.
O Zero Trust para acesso de terceiros é construído em quatro camadas: Identidade (quem está se conectando), Dispositivo (de qual dispositivo), Acesso (a quê e como) e Monitoramento (o que foi feito). Cada camada será analisada em detalhes, desde IdP e MFA até Posture Check, ZTNA e VDI, PAM e monitoramento em SIEM, UEBA (User and Entity Behavior Analytics) e SOAR, com exemplos, dados, diagramas e dois scripts bash funcionais para Linux. A implementação inicial pode ser feita em uma semana, com auditoria de contas, MFA em sudo e relatórios iniciais sobre acessos esquecidos. A configuração completa pode levar de alguns meses a dois anos, dependendo da escala. Ao final do artigo, você terá um mapa das quatro camadas e um primeiro passo claro que pode ser implementado em sua infraestrutura amanhã.
Situação Inicial
Imagine a seguinte situação hipotética: é sexta-feira à noite e um integrador de um determinado serviço precisa urgentemente de acesso: uma correção crítica, caso contrário, o serviço não será iniciado pela manhã. A maneira mais rápida é abrir a rede corporativa e conceder acesso root ao servidor. Uma atualização, o executor fará e desconectará. Ele vai desconectar, certo?
Mas, por negligência, a conta permanece ativa após o trabalho, e depois de alguns meses, ela vaza e aparece em um fórum obscuro. Então, não é mais o integrador que entra.
Cada passo aqui parece justificado no momento. O problema não é a decisão específica, mas o fato de que o acesso não tem três coisas: tempo de vida, vínculo com a tarefa e observabilidade. É isso que o Zero Trust adiciona, e é isso que vamos construir em camadas mais adiante.
Nos últimos anos, o Zero Trust tem sido cada vez mais impulsionado aos clientes não pelo CISO, mas pelo CFO: ele está cansado de pagar por contratos vencidos com terceiros, horas de SOC “reais” e comentários de auditores sobre gerenciamento de direitos. A segurança tem uma economia, e ela se mostrou mais convincente do que as métricas de risco.
Em seguida, em ordem: como o cenário de ataques mudou, por que os mecanismos clássicos protegem mal o acesso de terceiros e como a arquitetura Zero-Trust é construída passo a passo.
Parte Um. Problemas de negócios e conceito
Por que um terceiro é seu usuário interno
Quando a empresa diz: “Temos um problema com terceiros”, geralmente significa três coisas: prazos, qualidade e pagamento. Eles se lembram menos da segurança cibernética, mas em vão.
Um terceiro em sua infraestrutura é um usuário interno. Ele tem os mesmos direitos que um funcionário em tempo integral, trabalha em seus sistemas, tem acesso a dados, escreve em bancos de dados. A única diferença é que você não controla sua máquina. Você não sabe quem mais está usando este laptop à noite, não sabe quando sua organização terceirizada encerrará o relacionamento de trabalho com ele, não sabe quais outros sistemas de outros clientes ele mantém abertos em outras guias do navegador.
É a combinação de direitos internos e controle externo sobre a máquina que torna o terceiro o canal de ataque mais atraente em 2026. O invasor não precisa quebrar seu perímetro. Basta comprar uma conta de um de seus terceiros em um fórum obscuro.
Anatomia de um ataque típico
Aqui está um cenário que se repete com pequenas variações:
Um infostealer acaba na estação de trabalho do terceiro. Isso geralmente acontece por meio de sua atividade pessoal: baixou um programa pirateado, abriu um documento de phishing, instalou uma extensão de navegador. Isso não é porque o terceiro é descuidado. É porque ele tem vida pessoal e profissional em uma máquina, um antivírus do local de trabalho anterior, senhas no navegador desde 2019. Seu perímetro não tem nada a ver com isso, porque ele nunca viu essa máquina.
O infostealer coleta tudo: senhas salvas no navegador, tokens de sessão, chaves SSH, credenciais para serviços corporativos. Então ele o transfere para o operador, e ele o coloca em um site obscuro. Uma nova conta corporativa custa alguns milhares de rublos no mercado negro. Uma conta com acesso a uma empresa específica é mais cara, mas ainda não é cara.
O invasor entra na rede corporativa. Dentro da rede, ele tem exatamente os mesmos direitos que o terceiro legítimo: acesso ao ambiente de teste, ao prod, às vezes ao monitoramento. Em seguida, reconhecimento, movimento lateral, busca de contas privilegiadas. Em média, 258 dias se passam entre a infecção e a detecção, de acordo com o Relatório de Custo de Violação de Dados da IBM 2024. Para ataques com contas roubadas, o prazo é ainda maior: 292 dias. Ou seja, mais de nove meses o invasor fica em sua infraestrutura - e ninguém percebe.
A principal conclusão deste esquema é que a proteção do perímetro não o ajudará. O invasor não quebra o perímetro, ele entra por meio de um canal legítimo com uma conta legítima. Do ponto de vista de sua infraestrutura, o terceiro está trabalhando como de costume neste momento.
O que os relatórios de 2024–2025 mostram
Primeiro, uma visão geral do que está acontecendo no mundo:
A participação de ataques através de terceiros dobrou em 2024. De acordo com o Relatório de Investigação de Violação de Dados da Verizon 2025 (o relatório é o mais conservador em termos de metodologia), a participação de hacks através de terceiros aumentou de cerca de 15% em 2023 para quase um terço em 2024. O tempo médio de detecção de incidentes é de cerca de 258 dias, para ataques com credenciais roubadas - cerca de 292 dias (IBM Cost of a Data Breach 2024). A maioria dos ataques na web envolve credenciais roubadas, e os ataques a VPNs de perímetro e corporativas aumentaram muitas vezes em 2024.
Os números russos são paralelos aos globais, mas com suas próprias especificidades, e para o nosso contexto é mais importante:
Cerca de um terço dos incidentes de criptografia na Rússia em 2025 estão relacionados a ataques através de terceiros, o que é o dobro em comparação com 2024. Essa dinâmica é registrada pela BI.ZONE DFIR em análises de incidentes reais (dados dos primeiros três trimestres de 2025). A imagem completa está em seu “Guia definitivo para proteger a infraestrutura contra criptografadores e limpadores” e no relatório anual Threat Zone 2025.
Mais de 40% das empresas russas citam terceiros como a causa do incidente, e cerca de 22% dos incidentes ocorrem através da cadeia de suprimentos de software: dependências comprometidas, atualizações, código de terceiros. Números do relatório trimestral da Positive Technologies “Ameaças cibernéticas atuais: IV trimestre de 2024 - I trimestre de 2025”. Uma seção mais recente - para o primeiro semestre de 2025.
A quantidade de sistemas infectados por infostealers no mundo é estimada em 15 milhões no final de 2024 - esta é a principal fonte de contas que são vendidas em sites obscuros e, em seguida, usadas por invasores para entrar em redes corporativas. Dados do Kaspersky Digital Footprint Intelligence: o relatório anual sobre as tendências da darknet mostra um aumento de 40% no número de publicações sobre vazamentos de bancos de dados corporativos de agosto a novembro de 2024.
A previsão para 2026 de empresas russas de segurança cibernética é um aumento de 30 a 35% nos ataques bem-sucedidos, com a expansão do foco do setor de TI para finanças e varejo.
A breve conclusão de todas essas estatísticas é que é o terceiro hoje - o vetor mais provável de entrada em sua infraestrutura. Não phishing de funcionários, não 0-day em um serviço público, não seleção de senha. É a conta do terceiro, comprada por alguns milhares de rublos em um fórum obscuro. O resto do artigo é sobre como fechar essa porta.
Além disso, adicionaremos mais sobre o contexto russo. Após a saída de fornecedores ocidentais (Cisco, Palo Alto, Okta, CyberArk), a montagem da pilha Zero-Trust deve ser feita a partir de componentes domésticos. Esta não é uma desvantagem, mas uma oportunidade de olhar para novos fornecedores: o mercado de ZTNA, IdP, PAM e soluções SIEM na Federação Russa cresceu significativamente em 2023–2025, produtos maduros apareceram para substituição. UserGate, Ideco, PT NGFW fecham ZTNA. MaxPatrol SIEM, KUMA, R-Vision - camada SIEM. VK Cloud e outros provedores de nuvem são a base de infraestrutura para tudo isso, incluindo VDI pronto, IdPs federados, serviços gerenciados para SIEM. Não há mais necessidade de montar uma pilha completa - tudo é montado localmente.
Zero Trust em resumo
O termo não veio do marketing. Foi introduzido por John Kindervag da Forrester Research em 2010 após uma série de ataques que mostraram que o perímetro não funciona mais. Em 2014, o Google publicou o modelo BeyondCorp, uma descrição de como eles reconstruíram o acesso a serviços internos após o ataque da Operação Aurora de 2009. Em 2020, o NIST lançou o padrão SP 800-207, que fixou a terminologia e a arquitetura. Em 2021, o ataque ao Colonial Pipeline por meio de uma conta VPN sem MFA interrompeu o oleoduto por cinco dias e se tornou um ponto de não retorno para os reguladores dos EUA.
Se um colega lhe disser: “Zero Trust é um marketing moderno”, mostre a ele o NIST 800-207. O padrão tem cinco anos, nos EUA é um requisito básico para sistemas governamentais desde 2021.
A definição de Zero Trust se encaixa em duas frases.
- Nunca confie. Verifique cada solicitação.
Implica desconfiança em tudo: rede, dispositivo, até mesmo uma conta válida. Cada solicitação é uma verificação separada.
Na prática, isso significa três coisas.
- Identidade.
Quem é? É provado através de um provedor de identidade corporativa (IdP) e autenticação multifator para cada solicitação, e não uma vez por dia útil.
- Contexto.
De qual dispositivo? De qual rede? A que horas? Se o terceiro geralmente entra de São Petersburgo durante o horário de trabalho, e agora a solicitação veio do Cairo às três da manhã, o sistema deve ver isso e reagir.
- Direitos mínimos.
O que é permitido fazer agora? Apenas para uma tarefa específica, por um tempo limitado. Não “tenha acesso ao prod sempre”, mas “tenha acesso à tabela X por quatro horas sob o ticket nº 12 345”.
Como isso funciona na prática
Se você implantar a definição em uma arquitetura, obterá o seguinte caminho de uma solicitação de um terceiro para um recurso:
- O terceiro inicia a solicitação. Tenta entrar em contato com um aplicativo específico: CRM, banco de dados, console de monitoramento.
- A solicitação chega à verificação de Identidade: IdP e MFA. A federação também está aqui. A conta pode ser do IdP da organização terceirizada, prova via token SAML ou OIDC. Se o token for válido e o MFA for aprovado, vamos em frente.
- Em seguida, a verificação do Dispositivo - Posture Check. Versão do SO, relevância dos patches, presença de EDR, criptografia de disco. Se o dispositivo não estiver em conformidade com a política, ele não será permitido.
- Se as duas primeiras verificações forem aprovadas, a solicitação chega ao Policy Engine. Este é o coração do Zero Trust. O mecanismo toma uma decisão com base em todas as entradas: Identidade OK, Dispositivo OK, contexto adequado, hora de trabalho, recurso corresponde à função. Decisão: permitir, exigir autenticação Step-up ou negar.
- Se permitido, a conexão é feita via ZTNA ou VDI. Não é a abertura de um canal de rede, mas o proxy de um aplicativo específico. O terceiro trabalha com o aplicativo. Todas as ações são escritas.
- O monitoramento está em andamento em paralelo. Em cada etapa, os eventos vão para o SIEM. UEBA analisa desvios. SOAR pode interromper automaticamente a sessão por regras.
Seis nós, quatro verificações e monitoramento contínuo - e a negação é possível em cada etapa.
O que isso dá aos negócios
Em uma das oficinas para diretores de segurança da informação, me perguntaram diretamente: “Como explicar ao CFO por que gastar todo o orçamento anual de segurança da informação com isso, se ‘tudo já funciona’?” Eu sempre respondo a mesma coisa: mostre a ele a fatura da última auditoria FSTEC e diga que no próximo ano ela aumentará em uma vez e meia a duas vezes. Em seguida, mostre o relatório SOC do trimestre com incidentes que foram resolvidos manualmente. Se o CFO conta dinheiro e não medos, ele aprovará o orçamento. Aqui estão as quatro linhas que ele geralmente vê.
- Redução do tempo médio de detecção de incidentes.
Com o monitoramento adequado, as anomalias são visíveis em questão de horas, e não 258 dias. De acordo com o IBM CODB, cada mês adicional de detecção adiciona 8–12% ao custo do incidente.
- Automação do desligamento.
O terceiro é demitido em sua empresa, através da federação, ele é fechado em você. Sem trabalho manual de RH, sem contas esquecidas, sem contas fantasmas no AD.
- Auditoria gerenciada.
A verificação FSTEC, o Banco Central ou a auditoria interna são fechadas pela extração de um relatório do sistema, e não pela coleta manual. Os comentários sobre UPD geralmente caem para zero dentro de seis meses após a implementação.
- Redução da carga no SOC.
A resposta automática via SOAR dá menos 100 dias ao tempo médio de localização de incidentes. Este é um número do IBM CODB para empresas com IA no SOC: 31% das organizações recebem uma aceleração estatisticamente significativa.
Separatamente sobre regulamentação.
O FSTEC nos últimos dois anos tem efetivamente empurrado a indústria para o Zero Trust, mesmo que esse termo não soe nas diretrizes. As ordens nº 17, 21, 31 exigem segmentação, gerenciamento de direitos, registro de todas as ações de usuários privilegiados. A Lei Federal 187 e as diretrizes para KII 2025–2026 destacam claramente terceiros e terceiros como uma fonte separada de risco. GOST R 57580 para o setor financeiro contém requisitos para MFA e registro, que não são implementados fora da arquitetura Zero-Trust. As empresas que iniciaram o movimento para ZT em 2024 fecham a auditoria em 2026 mais rápido e mais barato. Aqueles que adiaram recebem comentários e estendem os prazos.
O custo de implementação depende do tamanho. De acordo com minhas observações em projetos:
- Pequenas empresas (até 100 funcionários, 10–30 terceiros): fechamento básico em 2–3 meses pelas forças de um engenheiro de segurança da informação. IdP corporativo com MFA obrigatório, proibição de contas locais para terceiros, um processo de integração e desligamento.
- Empresas de médio porte (100 a 1.000 funcionários, 50 a 300 terceiros): 9–12 meses, equipe de 2–4 engenheiros mais fornecedor. Federação com terceiros, ZTNA em vez de VPN corporativa geral, PAM para sessões privilegiadas, SIEM com correlações.
- Grandes empresas (1.000+, centenas de organizações terceirizadas): 18–24 meses, uma equipe dedicada de 10 ou mais pessoas. Pilha completa IdP + ZTNA + VDI + PAM + SIEM + UEBA + SOAR, automação do ciclo de vida via SCIM, integração com RH, programa de terceiros (TPRM).
Se o fornecedor promete “Zero Trust em três semanas” em uma grande organização, este é um sino de alarme. Se a equipe interna avalia o projeto em cinco anos, este é outro sino de alarme, mas já sobre o orçamento e a atenção da gerência.
A parte de negócios termina aqui. Em seguida, a arquitetura técnica para quem vai montá-la. Se você tomou a decisão: “Sim, precisamos disso”, leia mais. Se você decidiu: “Ainda não precisamos disso”, eu entendo. Mas vou lembrá-lo dos números do início: de acordo com as previsões das empresas russas de segurança da informação, no próximo ano, uma parte significativa dos negócios enfrentará um incidente através de um terceiro. A segunda parte ajudará pelo menos a entender o que sua equipe deve fazer quando isso acontecer.
Parte Dois. Arquitetura técnica por camadas
Zero Trust consiste em quatro camadas de controle: Identidade (quem está se conectando), Dispositivo (de qual dispositivo), Acesso (a quê e como), Monitoramento (o que foi feito). As camadas são implementadas em paralelo, e não sequencialmente. Abaixo, em cada camada: o que está dentro, como é montado, onde estão os erros típicos.
Camada de Identidade. Identidade do terceiro
A Identidade é a base. Sem ele, as outras camadas são construídas na areia.
O terceiro tem sua própria conta em seu IdP corporativo, não no seu. Você nunca cria contas locais para terceiros em seu Active Directory ou IdP. Esta é a primeira e principal regra.
A conexão entre o IdP da organização terceirizada e seu IdP é construída através da federação SAML ou OIDC. Tecnicamente, isso significa que seu IdP confia em tokens assinados pelo IdP do terceiro, desde que a troca de metadados seja correta e a rotação de chaves seja periódica.
Em seguida, MFA. Aqui, não é apenas “autenticação de dois fatores” que é importante, mas um modelo resistente a phishing. SMS não é adequado: ataques do tipo SIM Swap são realizados com sucesso em massa em um dia. TOTP é melhor, mas está sujeito a ataques de Fadiga MFA. Opções de trabalho: FIDO2/WebAuthn (solução de referência do NIST), Passkey (suportado por todos os principais IdPs), token de hardware (para cenários críticos).
A Autenticação Baseada em Risco analisa o contexto da solicitação: geolocalização, tempo, dispositivo, velocidade de alteração dos fatores. Se o terceiro geralmente entra de um intervalo de IP em São Petersburgo, e agora a solicitação veio da Sérvia cinco minutos após a sessão anterior na Rússia, o mecanismo exigirá Step-up MFA ou negará. A decisão é tomada não por uma pessoa, mas por regras e um modelo de ML.
O ciclo de vida é um componente crítico e frequentemente esquecido. Quando o terceiro é demitido em sua empresa, seu IdP reflete esse evento. Através da federação, o evento chega ao seu IdP, e o acesso é fechado automaticamente em questão de minutos, sem processos manuais.
Situação comum.
Um integrador terceirizado trabalhou com o CRM do banco por cerca de um ano. Ele foi demitido em sua empresa, mas sua conta no Active Directory do cliente permaneceu ativa, ninguém notificou. Depois de algum tempo, a conta foi vendida no fórum. O cliente descobriu o incidente alguns meses depois, quando viu solicitações estranhas ao banco de dados do cliente. A causa direta: não havia conexão entre o RH do terceiro e o IdP do cliente. Solução: federação SAML/OIDC mais um gatilho automático no desprovisionamento. Tecnicamente, o trabalho é de duas semanas para um engenheiro que sabe como configurar um IdP corporativo. Organizacionalmente - vários meses de acordo com os advogados do terceiro sobre a transferência de eventos de RH. Isso é normal, este é o prazo padrão.
Se pelo menos um terceiro fizer login em você através de uma conta local no AD, esta é a primeira coisa que você precisa remover.
Em uma conferência no ano passado, o administrador de sistema de uma grande seguradora veio até mim nos bastidores: “Estamos implementando PAM há três anos, e os terceiros ainda estão usando contas técnicas comuns. Por que não funciona?” Eu respondi: “Porque sem IdP com federação, PAM é um log de eventos, e não um sistema de acesso. Primeiro a base, depois os privilégios, e não o contrário.” Ele voltou para a equipe e, em seis meses, disse que foi assim que eles foram: primeiro a federação, depois o MFA, depois o PAM, e só então tudo entrou em vigor.
Camada de Dispositivo. Dispositivo do terceiro
Tenho uma breve história sobre o Dispositivo e, em seguida, detalhes. A pergunta mais frequente que ouço dos diretores técnicos nesta camada é: “Podemos simplesmente emitir nossos laptops para terceiros?” Você pode. Esta é a opção mais segura. Um laptop corporativo com MDM e EDR custa cerca de seis dígitos por ano, incluindo software e manutenção. Multiplique pelo número de seus terceiros. Se o valor total for visivelmente menor que seu orçamento anual de segurança da informação, faça-o. Se for comparável ou maior, passamos para as alternativas.
A primeira alternativa é o VDI. O terceiro trabalha em sua própria máquina, mas se conecta a uma área de trabalho virtual em seu contorno. Tudo o que ele vê, executa e baixa acontece dentro da máquina virtual. Sua máquina local se torna um cliente fino sem a capacidade de copiar dados ou instalar nada em seu contorno. Tecnicamente, qualquer solução VDI é adequada - de produtos On-Premise (Termidesk, Basis.WorkPlace, Space) a nuvem. Se você precisar de VDI sem implantar a infraestrutura, existem opções gerenciadas: por exemplo, o Cloud Desktop na plataforma VK Cloud permite que você conecte um terceiro a uma área de trabalho isolada em minutos.
A segunda alternativa é o Posture Check de sua própria máquina. Antes de se conectar, o agente verifica o status do dispositivo: a versão do SO não é inferior a N, patches críticos são instalados, o disco é criptografado por meio de ferramentas padrão do SO, o EDR está funcionando e relatando ao seu SIEM, as bases antivírus não têm mais de uma semana. Se tudo estiver OK, o acesso ZTNA é concedido aos aplicativos permitidos. Se algo estiver errado, redirecionamento para VDI. Se o VDI também não for iniciado, recusa com uma mensagem ao usuário: o que está errado e como consertar.
É essa bifurcação em três opções - a principal ideia da camada de Dispositivo. Sem a opção intermediária (VDI), você tem uma escolha binária “seus/estrangeiros”, e o terceiro perde a capacidade de trabalhar com a menor incompatibilidade. Com o VDI, 80% dos casos são cobertos: o terceiro trabalha em qualquer máquina, mas seus dados não deixam o contorno.
Caso com um contra-exemplo.
Uma empresa industrial entre os principais players da indústria, trabalhando com sistemas de controle de supervisão e aquisição (SCADA). A gerência de segurança da informação proibiu que integradores terceirizados se conectassem de seus laptops: “A segurança é mais importante que a conveniência”. Formalmente, a política estava em conformidade com a Lei Federal 187. Os integradores começaram a escrever código em seus próprios computadores, testá-lo em seu próprio suporte e transferir configurações prontas por meio de mídia USB para o contorno da empresa. Isso criou um buraco maior do que o original: código desconhecido de uma máquina desconhecida foi despejado na produção, contornando todos os controles. Após a implantação do VDI para terceiros em alguns meses: o código é escrito no VDI, testado lá, a mídia USB não é necessária. O custo do VDI para a equipe de integradores acabou sendo comparável à assinatura corporativa média do software. O custo de um possível incidente no contorno do SCADA é a paralisação da produção, multas regulatórias, perdas diretas. A ordem de grandeza é incomparável.
A conclusão é simples: segurança que força as pessoas a inventar contornos não é segurança, mas teatro.
Camada de Acesso. Segmentação, direitos mínimos, JIT
O Acesso é a camada mais instrumental. Aqui, as tecnologias clássicas são substituídas por alternativas Zero-Trust.
Quatro mecanismos trabalham juntos.
A segmentação leva terceiros para uma zona de rede separada, isolada da produção. Entre as zonas, a negação por padrão, as permissões são descritas explicitamente. Tecnicamente, pode ser uma VLAN com regras de firewall, microsegmentação no nível do hipervisor ou Service Mesh com mTLS entre microsserviços. A escolha depende da infraestrutura, o princípio é o mesmo: o terceiro não pode fisicamente entrar em contato com recursos que ele não precisa para trabalhar.
ZTNA substitui a VPN corporativa. Esta é a principal substituição em toda a arquitetura. A VPN de ponta a ponta dá acesso a toda a rede, o terceiro vê o ambiente de rede e pode digitalizá-lo. ZTNA dá acesso a um aplicativo específico. O terceiro se conecta a um broker, o broker emite um túnel para uma porta de um serviço de acordo com a política. O resto nem é visível, como se não existisse.
A diferença está no modelo de confiança, e não no desempenho. ZTNA na prática costuma ser mais rápido que VPN, porque o tráfego passa por uma rede distribuída de brokers, e não por um único hub.
O que existe no mercado russo.
Após a saída de fornecedores ocidentais, as soluções ZTNA são coletadas na Rússia de várias fontes. De equipamentos de rede com funcionalidade ZTNA - UserGate, Ideco NGFW com cliente NAC, PT NGFW da Positive Technologies. De produtos especializados para gerenciamento de acesso privilegiado - BI.ZONE PAM, Solar inRights (SafeInspect), “AyTi Bastion” SKDPU. VDI como um complemento ao ZTNA - Termidesk, Basis.WorkPlace, Cloud Desktop no VK Cloud. Para a maioria das empresas, a questão não é “existe uma solução russa”, mas “como montar uma pilha de vários produtos e integrá-los entre si”. Isso tornou a parte arquitetônica do projeto mais cara que a integração, mas mais barata que as licenças - o equilíbrio ainda está no lado positivo para o cliente.
Opinião impopular.
A rede corporativa clássica em 2026 não é uma vulnerabilidade, é uma dívida tecnológica. Você pode remendá-lo por anos, ajustar o MFA, segmentar a rede com band-aids, mas o modelo fundamental “deixamos entrar, então confiamos” foi inventado para uma época em que o terceiro chegava ao escritório com um pendrive. Se você ainda mantém terceiros comuns na rede corporativa, você está subsidiando o mercado negro de contas. Minha tese é a seguinte: em 2026, o acesso à rede corporativa é permitido apenas para funcionários em tempo integral e apenas como transporte. Qualquer acesso de terceiros deve passar por ZTNA ou VDI. Ponto.
O acesso JIT quebra o modelo em que os direitos se acumulam ao longo dos anos. Não “o terceiro tem acesso ao banco de dados prod sempre”, mas “o terceiro solicitou acesso para a tarefa nº 12 345, recebeu por quatro horas, fechou automaticamente”. Extensão via nova solicitação. Sem exceções sem uma data de “morte” no calendário.
O PAM fecha o acesso privilegiado. Se o terceiro trabalha com root, com um banco de dados ou com um controlador de domínio, isso passa pelo sistema PAM. O broker substitui a senha sem mostrá-la ao usuário, grava a sessão (terminal e SQL), pode interromper a sessão por alerta. O terceiro não vê as credenciais, não pode copiá-las, cada ação é registrada.
O que a nuvem oferece para Zero Trust fora da caixa
A infraestrutura de nuvem fecha parte dos requisitos do Zero Trust - sem implantação separada. Esta não é uma característica do provedor, mas uma realidade arquitetônica: a nuvem foi construída desde o início de forma que diferentes clientes no mesmo hardware não se vejam. Zero Trust recebe essa isolação gratuitamente para seus projetos.
- Segmentação.
VPC (Virtual Private Cloud) com sub-redes, grupos de segurança no nível de máquinas virtuais e contêineres. Entre as sub-redes, a negação por padrão, as permissões são descritas de forma declarativa - por meio de regras do tipo “o tráfego da sub-rede de desenvolvimento é permitido na porta 5 432 apenas para tal grupo de bancos de dados”. Para arquiteturas de microsserviços, o Service Mesh com mTLS entre os serviços é sobreposto, o que já fornece microsegmentação L7. O desenvolvedor terceirizado se conecta via ZTNA à sua sub-rede de desenvolvimento e fisicamente não vê o prod: não há rota para lá no nível da rede.
- IAM com separação de recursos.
Em uma infraestrutura clássica, “acesso de terceiros” é uma conta permanente com uma senha ou chave SSH que vive por anos. Na nuvem, é diferente: um projeto separado com isolado é alocado para a tarefa
