Zero Trust e SASE: entenda a relação entre os dois modelos de segurança

O cenário de TI mudou de forma irreversível. O trabalho híbrido, a migração massiva para multicloud e a proliferação de dispositivos IoT dissolveram o perímetro de rede seguro. Nesse novo contexto, gestores de infraestrutura e conectividade questionam qual o melhor caminho para proteger seus ativos.

SASE (Secure Access Service Edge) é uma arquitetura de rede e segurança; é o “como”. Zero Trust (Confiança Zero) é uma filosofia de segurança; é o “porquê”. Na prática, SASE é a plataforma de arquitetura nativa de nuvem que permite implementar uma política Zero Trust de forma eficaz e escalável.

Confira mais sobre os dois conceitos abaixo.

O fim da conectividade legada

Durante décadas, a segurança de rede foi baseada no modelo “castelo e fosso”. Criamos um perímetro forte (o fosso) com firewalls e VPNs para proteger nossos ativos valiosos (o castelo, ou data center). Confiávamos implicitamente em qualquer pessoa dentro da rede.

Esse modelo ruiu por duas razões principais:

A nuvem: aplicações críticas (Microsoft 365, Salesforce, AWS) não estão mais no data center. Elas estão na nuvem.

O usuário: os usuários (funcionários, parceiros) não estão mais no escritório. Eles estão em casa, em filiais ou em campo.

Forçar todo esse tráfego de volta ao data center central através de VPNs legadas e links MPLS caros cria um gargalo insustentável. O resultado é latência alta, experiência do usuário (UX) degradada e custos operacionais elevados. A segurança tradicional simplesmente não foi projetada para um mundo onde o perímetro está em toda parte.

Saiba mais: Cibersegurança na era da hiperconectividade

O que é a política Zero Trust?

A política Zero Trust é a aplicação prática desse modelo. Ela define que o acesso a dados e aplicações é concedido com base no privilégio mínimo (apenas o estritamente necessário para realizar uma tarefa). Essa concessão não é estática; ela é avaliada dinamicamente com base na identidade do usuário, na saúde do dispositivo (patches, antivírus) e no contexto da solicitação de acesso de uma rede (localização, hora do dia, etc.).

Este motor de decisão, conhecido como “Policy Engine” (Motor de Políticas) ou “Policy Administrator” (Administrador de Políticas), é o componente central que torna a política Zero Trust operacional. Ele atua como um broker de acesso inteligente, interceptando todas as solicitações de conexão antes que elas cheguem ao recurso.

Diferente de uma ACL (Lista de Controle de Acesso) estática ou de uma regra de firewall baseada em IP, esse motor consulta continuamente fontes de dados de contexto, como o provedor de identidade (ex: Azure AD, Okta), a ferramenta de gerenciamento de endpoint (MDM/UEM) e até sistemas de análise de comportamento (UEBA). A grande mudança estratégica é esta: a confiança nunca é permanente.

Se o contexto de risco de um usuário ou dispositivo mudar durante uma sessão ativa (por exemplo, o antivírus é desabilitado ou ele se conecta a uma rede Wi-Fi suspeita), o motor de políticas pode forçar uma reautenticação imediata ou até mesmo encerrar a sessão em tempo real.

Quais são os pilares do Zero Trust?

Embora as implementações variem, a filosofia se baseia em três pilares centrais:

• Identidade: verificar rigorosamente quem é o usuário (via autenticação multifator – MFA).

• Saúde do dispositivo: validar a postura de segurança do dispositivo que solicita acesso (laptop, celular).

• Contexto de acesso: avaliar todos os outros sinais (localização, comportamento, aplicação solicitada) antes de conceder acesso.

Veja também: Segurança IoT e o futuro das conexões

Qual é o objetivo do SASE?

O objetivo do SASE é fornecer acesso seguro, rápido e de baixa latência a aplicações e dados para qualquer usuário, em qualquer local, de qualquer dispositivo. Do ponto de vista do gestor, ele visa simplificar drasticamente a gestão, reduzir custos com conectividade (como a substituição de MPLS) e aplicar políticas de segurança de forma consistente na borda da rede (o “edge”), o mais próximo possível do usuário.

Os dois lados do SASE: SD-WAN e SSE

Para entender o SASE, é crucial dividi-lo em seus dois componentes principais:

1. A rede: é o SD-WAN (Software-Defined Wide Area Network), a parte de conectividade. Ele gerencia e otimiza o tráfego de rede, escolhendo o caminho mais rápido para garantir o desempenho das aplicações.
2. A SSE: é o SSE (Security Service Edge), o pilar de segurança entregue na nuvem. O SSE é um conjunto de serviços que inclui:
   • ZTNA (Zero Trust Network Access)
   • CASB (Cloud Access Security Broker)
   • SWG (Secure Web Gateway)
   • FWaaS (Firewall as a Service)

Confira: Cibersegurança para Operadoras: Como Operadoras se Protegem

Qual a diferença entre Zero Trust e SASE?

Zero Trust é a filosofia estratégica e o modelo de segurança; é o “porquê”. Ele estabelece o princípio da negação padrão (default deny) e da verificação contínua, exigindo que toda solicitação de acesso seja rigorosamente validada com base na identidade, saúde do dispositivo e contexto, assumindo que nenhuma confiança é implícita.

SASE (Secure Access Service Edge) é o framework arquitetônico e o modelo de entrega; é o “como”. Trata-se de uma arquitetura nativa de nuvem que converge funcionalmente serviços de rede, como SD-WAN, e um conjunto de serviços de segurança, como ZTNA e FWaaS, em uma única plataforma globalmente distribuída.

Em suma, SASE é a arquitetura que fornece os mecanismos tecnológicos e a infraestrutura unificada necessários para aplicar os princípios da filosofia Zero Trust de forma consistente e escalável em toda a organização.

SASE vs ZTNA

Na avaliação de tecnologias para modernizar o acesso remoto e a segurança de rede, é comum que os gestores de TI coloquem SASE e ZTNA como soluções concorrentes ou equivalentes.

No entanto, é fundamental esclarecer a hierarquia e o escopo de cada um. O ZTNA (Zero Trust Network Access) é um componente de segurança, uma tecnologia específica que substitui a VPN. O SASE, por sua vez, é a arquitetura completa, ou seja, um framework que unifica o ZTNA com diversas outras funções de rede e segurança em um único serviço entregue pela nuvem.

O ZTNA é a tecnologia específica que aplica os princípios do Zero Trust ao acesso a aplicações. Ele é o substituto moderno da VPN. O ZTNA está dentro do pilar SSE, que por sua vez está dentro da arquitetura SASE.Escolher apenas ZTNA resolve o problema do acesso seguro, mas não resolve o problema da conectividade, que é onde o SD-WAN (a outra metade do SASE) entra.

Como o SASE aplica os princípios do Zero Trust na prática?

O SASE implementa o Zero Trust no ponto de acesso. Quando um usuário em home office tenta acessar o Salesforce, sua conexão não vai para um data center. Ela é direcionada ao “ponto de presença” (PoP) SASE mais próximo.

Nesse ponto de borda, o componente ZTNA (dentro do SSE) intercepta a requisição e pergunta:

1. Quem é você? (Verifica a identidade via MFA)
2. Este dispositivo é seguro? (Verifica a saúde do dispositivo)
3. Você tem permissão para acessar o Salesforce? (Verifica a política)

Somente após a validação, o SASE concede acesso apenas ao Salesforce, e não a toda a rede da empresa.

Entenda: Cibersegurança no setor de Telecomunicações: políticas públicas, regulação e tecnologias emergentes

Quais são os benefícios do Zero Trust e SASE para o negócio?

Para um gestor de TI ou CTO, a adoção de uma arquitetura SASE baseada na filosofia Zero Trust não é apenas uma atualização de segurança; é um facilitador de negócios fundamental na era da nuvem e do trabalho híbrido.

1. Redução drástica da superfície de ataque

O ZTNA, enquanto pilar da arquitetura SASE, executa o princípio do privilégio mínimo de forma estrita. Tal abordagem constitui uma mudança de paradigma fundamental em contraste com a topologia de acesso das VPNs legadas.

Um túnel VPN tradicional concede ao usuário autenticado acesso irrestrito ao Nível 3 (rede) corporativo. Esta permissividade inerente viabiliza o movimento lateral de ameaças; caso um endpoint seja comprometido por ransomware, o agente malicioso pode propagar-se livremente pela rede interna, acessando servidores críticos e bancos de dados.

O ZTNA mitiga este vetor de ataque através da micro-segmentação do acesso, operando no Nível 7 (aplicação). A autorização de conectividade deixa de ser baseada na rede e passa a ser granular, concedida por recurso ou aplicação específica. Consequentemente, na eventualidade de um endpoint ser comprometido, o agente da ameaça tem seu raio de ação severamente restringido.

O acesso fica limitado exclusivamente ao recurso para o qual foi explicitamente autenticado, neutralizando a capacidade de descoberta de rede (network discovery) ou de propagação para outros ativos. Esta metodologia serve como um mecanismo de contenção de violações em tempo real, reduzindo drasticamente o raio de explosão (blast radius) e o impacto global de um incidente de segurança.

2. Visibilidade e gestão unificada

A arquitetura SASE promove a convergência funcional da infraestrutura de rede (SD-WAN) e do pilar de segurança (SSE – Security Service Edge) em uma única plataforma de gerenciamento, nativa da nuvem. Esta consolidação intrínseca resolve o desafio da complexidade operacional, eliminando a necessidade de administrar um ecossistema fragmentado de soluções pontuais e fornecedores distintos, como firewalls de filiais, concentradores de VPN, CASBs e Secure Web Gateways (SWGs).

O benefício estratégico reside na capacidade de aplicar políticas de segurança de forma centralizada e consistente em toda a organização, abrangendo usuários em escritórios, em regime de trabalho remoto ou móveis. A gestão unificada em um único console reduz drasticamente a sobrecarga operacional (overhead) de TI e mitiga significativamente o risco de erros de configuração ou de lacunas de segurança (policy gaps) que surgem da administração de múltiplas plataformas heterogêneas.

3. Melhoria na Experiência do Usuário (UX) e produtividade

A arquitetura SASE é fundamentada no processamento de tráfego na borda (edge), através de Pontos de Presença distribuídos em proximidade ao usuário. Esta topologia de processamento distribuído elimina a necessidade do backhauling (roteamento de retorno) do tráfego para inspeção de segurança centralizada, uma prática que degrada a performance em arquiteturas legadas.

O resultado é uma mitigação substancial da latência e a otimização de performance para aplicações SaaS críticas (como Microsoft 365, Teams e Salesforce). O impacto operacional inclui um aumento na produtividade, uma redução no volume de incidentes de suporte (help desk) relacionados à performance e a entrega de uma experiência de usuário (UX) consistente, um requisito fundamental para a eficácia dos modelos de trabalho híbrido.

4. Otimização de custos e redução do TCO

O componente SD-WAN, intrínseco à arquitetura SASE, viabiliza a substituição gradual ou a eliminação de links MPLS legados, tradicionalmente caracterizados por seu alto custo e rigidez contratual. A arquitetura passa a alavancar conexões de banda larga (como fibra e cabo) de forma segura, aplicando mecanismos de Qualidade de Serviço (QoS) para garantir a performance de aplicações críticas.

Esta modernização da WAN gera um impacto financeiro direto e mensurável no Custo Total de Propriedade (TCO). A transição resulta em uma redução substancial dos custos operacionais (OpEx) associados à conectividade, ao mesmo tempo que promove a consolidação de múltiplos appliances de segurança (um custo de capital, CapEx) em um modelo de serviço unificado por assinatura (as-a-service).

Saiba mais: Inteligência Artificial: O Motor da Segurança Digital e dos Negócios

Implicações para a infraestrutura de conectividade

A adoção de SASE e a implementação de políticas Zero Trust impõem uma transformação fundamental na arquitetura da WAN corporativa. Para os gestores de telecomunicações e conectividade, esta evolução representa uma mudança do modelo de rede legado, centrado no data center e dependente de backhauling via MPLS, para uma topologia de rede distribuída.

Esta nova arquitetura é otimizada para o acesso direto à nuvem (DIA) e processada na borda (edge), exigindo uma reavaliação estratégica dos provedores de serviços e das tecnologias de conectividade subjacentes.

O futuro do MPLS e o papel estratégico da SD-WAN

O MPLS não está obsoleto, mas sua função foi estrategicamente redefinida dentro da arquitetura SASE. Ele deixa de ser o backbone principal e monolítico para todo o tráfego corporativo. A funcionalidade de SD-WAN, integrada ao SASE, permite uma abordagem de rede híbrida, onde o roteamento é baseado em políticas e na natureza da aplicação, e não apenas no destino.

Neste modelo otimizado, o SD-WAN direciona o tráfego de forma inteligente. Aplicações em tempo real, altamente sensíveis à latência e ao jitter (como VoIP ou sistemas legados críticos) que exigem os SLAs (Service Level Agreements) robustos, podem ser mantidas nos circuitos MPLS. Simultaneamente, o tráfego destinado à nuvem pública e aplicações SaaS é roteado via Acesso Direto à Internet (DIA) para o Ponto de Presença (PoP) SASE mais próximo para inspeção de segurança.

Esta segmentação de tráfego permite uma otimização simultânea de desempenho, ao eliminar o backhauling para o data center, e de custos, ao racionalizar o uso de links MPLS caros em favor de conexões de banda larga.

O impacto do 5G e IoT nas estratégias de segurança em nuvem

O 5G e a explosão da IoT (sensores, câmeras, máquinas) significam bilhões de novos dispositivos conectados fora do perímetro. Esses dispositivos não podem usar VPNs. SASE e Zero Trust são as únicas estratégias de segurança em nuvem viáveis para identificar, autenticar e proteger esse volume massivo de conexões na borda.

Como implementar o Zero Trust?

A transição para um modelo Zero Trust e uma arquitetura SASE representa uma evolução estratégica da infraestrutura, não uma substituição instantânea. A implementação eficaz segue tipicamente uma abordagem progressiva, estruturada em fases distintas para mitigar riscos e otimizar o investimento.

Embora a implementação varie conforme a maturidade de cada organização, a transição do legado para um modelo convergente geralmente abrange as seguintes etapas:

Fase	Descrição
Fase 1: Identificação e Fortalecimento da Identidade	Envolve o mapeamento e classificação de dados e ativos críticos, definindo as superfícies de proteção. Inclui o fortalecimento de controles de identidade, com destaque para a implementação de Autenticação Multifator (MFA) como base de segurança.
Fase 2: Adoção Inicial do ZTNA	Marca o início da substituição da VPN tradicional pelo Zero Trust Network Access (ZTNA), priorizando acessos remotos e aplicações críticas em nuvem e data centers, reduzindo riscos e melhorando o controle de acesso.
Fase 3: Convergência de Rede e Segurança (SASE)	Expande o ZTNA para usuários internos e filiais, promovendo a convergência entre segurança (SSE) e rede (SD-WAN). Essa integração unifica políticas, otimiza desempenho e consolida fornecedores em uma plataforma SASE completa.

A maturidade da adoção desses modelos varia, mas relatórios de mercado, como o “State of Zero Trust” da Okta, indicam que a maioria das organizações globais já iniciou ativamente alguma fase desta jornada de transformação.

Qual formato de fornecedor de SASE é o ideal para o meu negócio?

Uma decisão arquitetônica crucial na jornada para o SASE é a definição do modelo de fornecimento, que se bifurca em duas abordagens estratégicas principais:

1. SASE de Fornecedor Único (Single-Vendor): este modelo pressupõe a aquisição de uma plataforma completa e nativamente integrada, abrangendo tanto os componentes de rede quanto o conjunto completo de segurança um único fornecedor. O benefício central é um plano de gerenciamento totalmente unificado, que garante a interoperabilidade coesa entre as funções e simplifica a administração de políticas.
2. SASE de múltiplos fornecedores (Multi-Vendor): nesta abordagem, a organização integra soluções de diferentes especialistas. É comum, por exemplo, combinar a infraestrutura SD-WAN de um fornecedor (como uma operadora de telecomunicações) com os serviços SSE de um especialista em segurança cibernética. Este modelo permite uma estratégia best-of-breed, selecionando os componentes considerados líderes em cada segmento de mercado.

Embora a abordagem best-of-breed ofereça flexibilidade granular, a tendência de mercado atual demonstra uma preferência crescente pelas plataformas de fornecedor único. Esta inclinação é motivada pela busca por uma redução drástica na complexidade operacional, pela eliminação de atritos de integração entre componentes heterogêneos e pela garantia de aplicação de políticas de forma consistente através de um console de gerenciamento unificado.

Como o Zero Trust e a SASE se complementam?

Zero Trust é o objetivo de negócio para eliminar riscos em um mundo sem perímetro. SASE é a plataforma de arquitetura nativa de nuvem que unifica a rede e a segurança para tornar esse objetivo uma realidade operacional, reduzindo custos e melhorando a produtividade.

Para ficar por dentro da diferença entre Zero Trust e SASE e de tudo o que acontece nas áreas de conectividade e inovação tecnológica, continue acompanhando o Futurecom Digital, o canal de conteúdo da feira Futurecom.

Leia mais

• Ranking das maiores operadoras no Brasil

• Quais inteligências artificiais existem além do ChatGPT? Confira outras opções

• Tecnologias para a mineração sustentável

• Cabos submarinos: como a internet atravessa os mares

• 7 aplicações da Inteligência Artificial na Mineração

• O que faz um especialista em cibersegurança? Entenda as demandas e como se preparar para o futuro

• Segurança 4.0: A revolução tecnológica na proteção pública

• Boas práticas para proteção de data centers contra ataques cibernéticos

• Open Finance no Brasil: Como Funciona e objetivos do sistema

• Soluções de pagamento online: Como garantir a segurança das transações?