De acordo com o Relatório Kaseya sobre a Situação dos MSPs de 2026, 55% dos MSPs oferecem gerenciamento de identidade e acesso como serviço, tornando o ZTNA e sua alternativa ao acesso remoto baseado em VPN cada vez mais essenciais para o portfólio de serviços dos MSPs. Baixe o relatório completo.
A VPN tem sido a tecnologia padrão de acesso remoto há mais de duas décadas. Ela cria um túnel criptografado entre um dispositivo remoto e a rede corporativa, colocando o usuário remoto, em termos lógicos, “dentro” do perímetro. No modelo de rede das décadas de 1990 e 2000, essa era uma forma razoável de estender o acesso confiável a usuários remotos.
O problema é que esse modelo não resistiu bem ao tempo. A VPN concede acesso no nível da rede, e não no nível do aplicativo. Um usuário conectado via VPN tem, em princípio, o mesmo alcance de rede que alguém fisicamente presente no escritório, o que significa que um dispositivo comprometido com uma sessão de VPN ativa dá a um invasor acesso no nível da rede ao ambiente corporativo. A partir daí, a movimentação lateral é muito fácil. O alcance de uma única credencial roubada abrange toda a rede.
O Acesso à Rede Zero Trust (ZTNA) aborda essa questão diretamente, substituindo o acesso no nível da rede pelo acesso no nível da aplicação, aplicado de forma contínua com base na identidade verificada e no estado do dispositivo. Se você deseja conhecer a estrutura mais ampla na qual isso se insere, consulte nosso guia sobre [segurança zero trust como arquitetura.](/blog/zero-trust-security) Esta publicação enfoca a camada de acesso à rede: como o ZTNA funciona, como ele se compara à VPN, como se relaciona com o SASE e como os MSPs podem implementá-lo.
Substituir a VPN por um acesso à rede com modelo zero trust
O Datto Secure Edge controle de acesso no nível do aplicativo com verificação contínua de identidade e aplicação da política de integridade do dispositivo SafeCheck, eliminando o risco de movimentação lateral que a VPN gera nos ambientes dos clientes.
O que é ZTNA
O ZTNA é uma estrutura de segurança que concede aos usuários acesso a aplicativos e serviços específicos, e não à rede, com base na verificação contínua da identidade, do estado do dispositivo e do contexto. O usuário nunca “se conecta à rede” no sentido tradicional de uma VPN. Ele se autentica no sistema ZTNA, que verifica sua identidade e o status de conformidade do dispositivo, e então encaminha sua conexão apenas para o aplicativo específico de que ele precisa, e nada mais.
Este modelo no nível da aplicação implementa o princípio de confiança zero do privilégio mínimo na camada de acesso à rede: os usuários só podem acessar as aplicações para as quais estão autorizados, e essa autorização é reavaliada continuamente com base no contexto.
O conceito de ZTNA existe desde cerca de 2010, mas as primeiras implementações eram complexas e caras. As plataformas modernas de ZTNA baseadas na nuvem tornaram o modelo acessível a pequenas e médias empresas, e não apenas a grandes corporações com equipes de segurança numerosas.
Como funciona o ZTNA
Uma arquitetura ZTNA típica funciona por meio de três componentes que atuam em sequência.
Verificação de identidade. O usuário se autentica, geralmente por meio de MFA, no serviço ZTNA, que verifica sua identidade junto ao provedor de identidade corporativo. Essa etapa determina quem está solicitando acesso.
Avaliação do estado do dispositivo. O agente ZTNA no dispositivo verifica se o terminal cumpre a política de segurança: sistema operacional atualizado dentro de um intervalo definido, agente EDR em execução, disco criptografado, bloqueio de tela ativado. Os dispositivos que não passam na verificação de estado têm o acesso negado ou recebem acesso restrito, dependendo da configuração da política. O Datto Secure Edge isso por meio do SafeCheck, uma verificação contínua da postura do dispositivo integrada ao Datto RMM. Quando o Datto RMM e Secure Edge ambos implantados, o SafeCheck verifica se os endpoints atendem aos requisitos de status de patch e antivírus antes de permitir que se conectem. Os dispositivos que não passam na verificação têm o acesso negado até que atendam à política, com um período de carência configurável para o status de patch, a fim de cobrir cenários como um dispositivo que ficou offline durante um fim de semana.
Proxy de aplicativos. Após a verificação da identidade e do estado do dispositivo, o serviço ZTNA atua como proxy da conexão do usuário com o aplicativo específico ao qual ele tem autorização para acessar. O usuário nunca tem um caminho de rede direto para aplicativos aos quais não tem autorização e nunca tem acesso em nível de rede ao ambiente mais amplo.
Essa arquitetura limita de forma concreta o movimento lateral. Um invasor que comprometa um dispositivo com uma sessão ZTNA ativa só poderá acessar as aplicações específicas às quais o usuário estava autorizado a acessar, e não toda a rede por trás do túnel VPN.
—
ZTNA x VPN: as principais diferenças
A tabela abaixo apresenta as diferenças operacionais relevantes para os MSPs que estão avaliando a transição.
| VPN | ZTNA | |
|---|---|---|
| Modelo de acesso | Ao nível da rede | Nível de aplicação |
| Presunção de boa-fé | Confiável assim que conectado | Verificado continuamente |
| Risco de movimento lateral | Alto; o acesso à rede é amplo | Mínimo; o acesso é feito por solicitação |
| Aplicação das políticas de segurança dos dispositivos | Normalmente limitado ou manual | Contínuo e baseado em políticas |
| Experiência do usuário | Costuma ser lento e exige conexão manual | Rápido, pode funcionar ininterruptamente e é transparente |
| Suporte para nuvem e SaaS | Insuficiente; encaminha o tráfego pela rede corporativa | Nativo; capaz de direcionar o tráfego na nuvem de maneira otimizada |
| Escalabilidade | Complexo e dependente do hardware | Os modelos nativos da nuvem são facilmente escaláveis |
A melhoria da experiência do usuário merece mais atenção do que normalmente recebe. As VPNs são uma fonte constante de reclamações dos usuários finais: conexões lentas, sessões interrompidas e a necessidade de se conectar manualmente antes de acessar os aplicativos. As arquiteturas ZTNA configuradas para ficarem sempre ativas oferecem melhor desempenho e eliminam os obstáculos de conexão que levam os usuários a recorrer a soluções alternativas de TI paralela.
Um MSP que tem recebido repetidos tickets de suporte técnico sobre o desempenho da VPN reconhece isso imediatamente como uma questão de qualidade de serviço, e não apenas de segurança. Substituir a VPN pelo Datto Secure Edge uma categoria recorrente de tickets e, ao mesmo tempo, melhora a postura de segurança do cliente.
SASE e ZTNA: como se relacionam
O SASE (Secure Access Service Edge) é uma arquitetura mais abrangente que consolida as funções de segurança de rede em um único serviço fornecido na nuvem. Uma pilha completa de SASE inclui ZTNA, Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall-as-a-Service (FWaaS) e SD-WAN.
O ZTNA é um componente do SASE, não um sinônimo dele. Uma organização pode implementar o ZTNA como substituto da VPN, mantendo os controles de segurança de rede existentes. Uma implementação completa do SASE consolida todas essas funções em um único serviço em nuvem, eliminando a complexidade associada ao uso de vários fornecedores que surge da integração de soluções pontuais separadas.
O Datto Secure Edge uma solução SASE completa, projetada especificamente para implantação por MSPs. Sua pilha de segurança inclui ZTNA, SWG para filtragem da web e inspeção de ameaças, FWaaS para aplicação de políticas de firewall fornecidas pela nuvem e SD-WAN para otimização de tráfego. As integrações com o Datto RMM e Autotask permitem que Secure Edge gerem automaticamente tickets de serviço, e as atualizações de software para Secure Edge distribuídas por meio dos catálogos do VSA 10 e do Datto RMM, para que os endpoints permaneçam atualizados sem intervenção manual.
Para a maioria das pequenas e médias empresas e clientes do segmento de médio porte, o ZTNA como substituto da VPN é o ponto de partida mais prático. O SASE completo é a evolução natural para organizações com requisitos mais complexos de conectividade em múltiplos locais e múltiplas nuvens, bem como para MSPs que estão desenvolvendo uma oferta completa de segurança de rede gerenciada.
Implementação do ZTNA: uma abordagem em fases
A implementação da ZTNA é gradual. Transferir todos os usuários e todos os acessos logo no primeiro dia raramente é viável. Uma abordagem em fases permite gerenciar a complexidade e demonstrar o valor em cada etapa.
Fase 1: Substituição da VPN para acesso remoto. Implemente a ZTNA para usuários remotos, substituindo ou complementando a VPN existente. Concentre-se primeiro nos padrões de acesso de maior risco: acesso de usuários privilegiados a sistemas administrativos, acesso a repositórios de dados confidenciais e acesso a partir de dispositivos não gerenciados ou BYOD. Esses são os cenários em que o risco de movimentação lateral da VPN tem consequências mais graves.
Fase 2: Ampliar para todo o acesso a aplicativos. Expandir a cobertura do ZTNA para além dos usuários remotos, de modo a abranger todo o acesso a aplicativos, incluindo usuários locais que se conectam a aplicativos internos por meio do mesmo modelo de acesso verificado. Nesta fase, o modelo de acesso é consistente, independentemente da localização física do usuário.
Fase 3: Reforçar as políticas de integridade dos dispositivos. Integrar a conformidade dos dispositivos de forma mais rigorosa, utilizando o status do EDR como um indicador de integridade em tempo real. Implementar políticas adaptativas que reduzam o escopo de acesso ou encerrem as sessões quando a integridade do dispositivo se deteriorar durante uma sessão ativa, e não apenas no momento da conexão. O SafeCheck no Datto Secure Edge essa aplicação contínua por meio da integração com o Datto RMM.
Fase 4: Monitoramento comportamental e acesso adaptativo. Implemente um sistema de monitoramento capaz de reduzir ou interromper o acesso em tempo real quando for detectado um comportamento anômalo durante uma sessão autenticada: downloads em massa de arquivos, acesso a aplicativos incomuns, anomalias na autenticação ou tentativas de movimentação lateral.
Um exemplo ilustrativo: um MSP do programa de parceiros da Datto observou que o Datto Secure Edge seus clientes a cumprir mais de 10 requisitos de controle distintos previstos na norma NIST 800-171, embora o modelo “zero trust” não seja explicitamente mencionado na estrutura. Os controles de acesso, os registros de auditoria e a verificação do estado dos dispositivos se enquadram naturalmente em várias famílias de controles.
ZTNA para MSPs
Os MSPs têm dois motivos distintos para investir em ZTNA: proteger seu próprio acesso aos ambientes dos clientes e oferecer ZTNA como um serviço gerenciado.
Internamente, as credenciais dos MSPs estão entre os alvos de maior valor na cadeia de suprimentos das pequenas e médias empresas. Um invasor que comprometa uma credencial de RMM ou uma conta de administrador de PSA obtém acesso a todos os ambientes de clientes gerenciados pelo MSP. O controle de acesso baseado em ZTNA, com verificação de identidade por sessão e aplicação contínua da postura do dispositivo, limita o alcance de qualquer credencial comprometida. Um MSP que utiliza o Datto Secure Edge de forma clara: seus técnicos não podem se autenticar no KaseyaOne Secure Edge se conectarem através Secure Edge . A verificação da sessão não é uma etapa adicional opcional; é a pré-condição para o acesso.
Para os clientes, as negociações comerciais tornaram-se mais fáceis à medida que os requisitos dos seguros cibernéticos se tornaram mais rigorosos. Muitas seguradoras agora exigem autenticação multifatorial (MFA) e controles de acesso no nível das aplicações como condição para a cobertura. Um MSP capaz de fornecer ZTNA como um serviço gerenciado de segurança de rede, com gerenciamento centralizado de políticas em todos os ambientes dos clientes e alertas automatizados por meio da PSA, está atendendo a uma exigência dos clientes que, anteriormente, exigia recursos de nível empresarial para ser cumprida.
Os argumentos operacionais também são convincentes. Substituir a VPN pelo Datto Secure Edge o volume recorrente de chamadas ao suporte técnico decorrentes de reclamações sobre o desempenho da VPN, melhora a experiência do usuário para os funcionários remotos e elimina os ciclos de atualização de hardware exigidos pelos dispositivos de VPN locais. Para os clientes, isso se traduz em uma melhor experiência de TI. Para os MSPs, isso se traduz em um modelo de prestação de serviços mais simplificado.
O Datto Secure Edge disponível para Windows, macOS, iOS e Android, com o cliente móvel lançado em junho de 2025, oferecendo aos MSPs uma única implantação de ZTNA que abrange toda a gama de dispositivos utilizados por seus clientes.
Pontos principais
- O ZTNA substitui o acesso ao nível da rede, característico das VPNs, pelo acesso ao nível das aplicações, verificado continuamente com base na identidade e no estado do dispositivo. Uma credencial comprometida com acesso ZTNA só consegue acessar as aplicações autorizadas, e não toda a rede.
- A dimensão da postura do dispositivo é onde a integração entre ZTNA e RMM se destaca. O SafeCheck no Datto Secure Edge o Datto RMM para verificar continuamente a conformidade dos terminais antes e durante as sessões de acesso.
- O ZTNA é um componente do SASE. Para a maioria dos clientes de pequenas e médias empresas, o ZTNA como substituto da VPN é o ponto de partida. O SASE completo consolida o ZTNA, o gateway da web, o firewall na nuvem e a SD-WAN em um único serviço fornecido na nuvem.
- A implementação é gradual: comece pelo acesso privilegiado e remoto, estenda para todo o acesso a aplicativos, depois torne as políticas de segurança mais rigorosas e adicione o monitoramento comportamental.
- Os MSPs têm incentivos tanto internos quanto comerciais: proteger o acesso de alto privilégio entre o MSP e o cliente e oferecer o ZTNA como um serviço gerenciado que atende aos requisitos de conformidade e elimina o volume de chamadas ao suporte técnico relacionadas à VPN.
