De acordo com o Relatório Kaseya sobre a Situação dos MSPs de 2026, 71% dos MSPs relataram um crescimento ano a ano na receita de segurança cibernética, e a arquitetura zero trust é, cada vez mais, a estrutura que os clientes procuram ao avaliar como seu MSP aborda a segurança. Baixe o relatório completo.
“Nunca confie, sempre verifique.” Esse é o princípio fundamental do modelo “zero trust”, um modelo de segurança que, na última década, passou de um conceito acadêmico para se tornar a base da arquitetura de segurança empresarial moderna.
O modelo tradicional de segurança partia do princípio de que tudo dentro do perímetro da rede era confiável. Usuários, dispositivos e aplicativos dentro do firewall eram considerados seguros por padrão. Essa suposição era razoável quando os funcionários trabalhavam nos escritórios, em dispositivos da empresa conectados a uma rede corporativa. Ela não faz sentido em um ambiente em que o trabalho é realizado de qualquer lugar, em qualquer dispositivo, acessando serviços em nuvem que se encontram inteiramente fora do perímetro. A plataforma de segurança da Kaseya protege mais de 50.000 MSPs e equipes de TI que estão passando exatamente por essa mudança, o que nos dá uma visão operacional clara de onde o modelo de perímetro falha e o que realmente o substitui.
Incorpore o modelo de confiança zero às suas operações de TI
Kaseya 365 detecção de terminais, proteção de identidade, detecção e resposta na nuvem e ZTNA para oferecer suporte a uma implementação prática e gradual do modelo Zero Trust para MSPs e equipes de TI.
O que é o modelo Zero Trust
O Zero Trust é uma estrutura de segurança, e não um produto, que exige a verificação contínua de todas as solicitações de acesso, independentemente de sua origem. Ele parte do princípio de que a rede já foi comprometida e projeta os controles de acesso de acordo com isso: limitando o movimento lateral ao restringir o que qualquer usuário ou dispositivo autenticado pode acessar e validando continuamente se as sessões autenticadas estão se comportando conforme o esperado.
O NIST define a Arquitetura Zero Trust (ZTA) na Publicação Especial 800-207 como a transferência dos controles de segurança do perímetro da rede para os recursos individuais, sendo que cada recurso aplica sua própria política de acesso, em vez de depender de um limite de rede confiável.
Na prática, o modelo “zero trust” significa que os usuários são verificados por meio de autenticação robusta antes de acessar qualquer recurso; os dispositivos são verificados para garantir que atendam aos requisitos de segurança antes que o acesso seja concedido; o acesso é limitado apenas aos recursos específicos de que o usuário realmente precisa; todos os acessos são registrados e monitorados; e o acesso é reavaliado quando ocorrem mudanças no contexto, como localização, integridade do dispositivo ou comportamento incomum.
Por que o modelo tradicional de perímetro falhou
O modelo tradicional do castelo com fosso — que mantém as ameaças do lado de fora e confia em tudo o que está dentro — baseava-se em três pressupostos que já não se sustentam.
O perímetro já não está claramente definido. O trabalho é realizado em casa, em cafeterias e em dispositivos pessoais. Os aplicativos são executados em ambientes de nuvem totalmente fora da rede corporativa. O conceito de “interno” tornou-se indistinto.
As ameaças internas, sejam elas funcionários mal-intencionados ou contas comprometidas, têm origem dentro do perímetro. Um modelo que confia em tudo o que está dentro não oferece proteção contra a parcela significativa de violações que nunca envolvem acesso à rede externa.
Os invasores que conseguem romper o perímetro por meio de phishing, roubo de credenciais ou comprometimento da cadeia de suprimentos podem se deslocar lateralmente com o mínimo de resistência em uma rede plana e confiável. É por meio desse deslocamento lateral que um único terminal comprometido se transforma em um incidente que afeta toda a empresa. O ataque à cadeia de suprimentos da Kaseya VSA em 2021 é um exemplo claro disso: o acesso por meio de um único canal confiável se propagou precisamente porque os ambientes a jusante confiavam implicitamente no que vinha dos níveis superiores.
A abordagem de confiança zero resolve os três modos de falha ao substituir a confiança implícita baseada na localização na rede por uma verificação contínua e sensível ao contexto.
Os três princípios fundamentais do modelo Zero Trust
Verifique explicitamente. Autentique e autorize cada solicitação de acesso utilizando todos os sinais disponíveis: identidade do usuário, integridade do dispositivo, localização, o recurso solicitado e padrões de comportamento. A localização na rede não é um sinal de confiança.
Utilize o princípio do acesso com privilégios mínimos. Limite os usuários ao acesso mínimo necessário para suas funções e restrinja a duração desse acesso. O provisionamento de acesso “just-in-time” para operações privilegiadas e a concessão de acesso por tempo limitado para necessidades temporárias reduzem o período de exposição caso as credenciais sejam comprometidas. Uma conta que só tem acesso ao que precisa, pelo tempo que precisa, é consideravelmente menos valiosa para um invasor.
Partir do princípio de que houve uma violação. Definir controles com base na premissa de que a rede já foi comprometida. Segmentar o acesso para limitar a propagação lateral. Criptografar todos os dados em trânsito e em repouso. Monitorar todas as atividades em busca de indicadores de comprometimento. Planejar a resposta a incidentes para o cenário em que um invasor já tenha estabelecido uma presença no ambiente.
Zero Trust na prática: como implementá-lo
A abordagem "zero trust" é um processo contínuo, não uma escolha binária. A maioria das organizações a implementa de forma gradual em cinco dimensões, cada uma delas baseando-se na anterior.
Gerenciamento de identidade e acesso. Essa é a base. A autenticação forte (MFA, de preferência com chaves de hardware resistentes a phishing ou fatores baseados em aplicativos), a governança de identidade — que abrange quem tem acesso a quê e por quê — e o gerenciamento de acesso privilegiado para credenciais administrativas são o ponto de partida. Toda decisão de acesso decorre de uma identidade verificada. Dark Web ID, parte do Kaseya 365 , oferece monitoramento contínuo de credenciais para detectar identidades comprometidas antes que se tornem vetores ativos de violação.
Conformidade do dispositivo. O acesso deve depender não apenas de quem você é, mas também do estado do dispositivo que você está usando. Políticas de acesso condicional que exigem que os terminais atendam aos requisitos de segurança antes de acessar recursos confidenciais implementam o princípio de verificação de dispositivos. O Datto EDR, parte do Kaseya 365 , oferece o monitoramento contínuo de terminais do qual as políticas de conformidade de dispositivos dependem: um terminal com uma ameaça comportamental ativa ou uma vulnerabilidade crítica não corrigida não deve ter os mesmos direitos de acesso que um dispositivo limpo, corrigido e totalmente gerenciado.
Controle de acesso à rede. Substitua o acesso amplo à rede baseado em VPN por um acesso específico a aplicativos. Os usuários se autenticam em aplicativos específicos, em vez de na rede como um todo. Esse é o domínio do ZTNA (Zero Trust Network Access), e o Datto Secure Edge a solução ZTNA e SASE da Kaseya, desenvolvida especificamente para MSPs que gerenciam o acesso remoto de clientes em grande escala. Para uma análise técnica detalhada de como o ZTNA substitui a VPN, consulte nosso guia sobre ZTNA x VPN.
Controles no nível da aplicação. As políticas de acesso na camada de aplicação definem não apenas quem pode se conectar, mas também quais ações podem ser realizadas após a conexão. O acesso baseado em funções dentro das aplicações, combinado com o monitoramento do comportamento na camada de aplicação, preenche a lacuna que os controles apenas no nível da rede não conseguem resolver.
Monitoramento contínuo. A abordagem Zero Trust exige o monitoramento contínuo das sessões autenticadas para detectar anomalias comportamentais: acesso a recursos incomuns, volumes anormais de transferência de dados, autenticação a partir de locais inesperados ou tentativas de escalonamento de privilégios. SaaS Alerts, parte do Kaseya 365 , oferece esse monitoramento contínuo para ambientes de nuvem e de aplicativos SaaS, detectando violações de contas e atividades suspeitas quase em tempo real e acionando ações de resposta automatizadas.
Modelo de confiança zero para MSPs
Os MSPs têm fortes incentivos para implementar a abordagem de confiança zero, tanto internamente quanto como oferta de serviços.
Internamente, os ambientes de MSP são alvos de alto valor. Uma credencial de MSP comprometida pode afetar em cadeia todos os ambientes de clientes gerenciados pelo MSP. Um parceiro MSP que usa o Datto Secure Edge da seguinte forma: “Usamos o Datto Secure Edge bloquear nossos próprios técnicos. Eles não podem fazer login no KaseyaOne estejam conectados através Secure Edge Datto Secure Edge, o que me dá tranquilidade.” A arquitetura de confiança zero, que impõe a autenticação multifatorial (MFA) em todos os acessos, implementa o gerenciamento de acesso privilegiado para credenciais de RMM e segmenta os ambientes dos clientes uns dos outros, limita o alcance do impacto quando qualquer componente é comprometido.
Para os clientes, a abordagem “zero trust” está se tornando cada vez mais um requisito de conformidade e de seguro cibernético, especialmente para aqueles nos setores de saúde, financeiro e governamental. Um MSP capaz de explicar a arquitetura “zero trust”, mapear os ambientes dos clientes de acordo com seus princípios e fornecer os componentes técnicos de forma gradual posiciona-se como um consultor estratégico de segurança, e não como um serviço de suporte reativo.
A oportunidade comercial é real. Em vez de o modelo “zero trust” ser um projeto único com um único resultado, trata-se de um serviço contínuo de consultoria e implementação. Cada uma das cinco dimensões listadas acima representa um projeto específico, e cada uma delas reforça a dependência do cliente em relação à expertise e ao conjunto de ferramentas do MSP.
Equívocos comuns sobre o modelo Zero Trust
“Zero trust significa não confiar em ninguém.” Zero trust significa substituir a confiança implícita pela confiança verificada. Usuários, dispositivos e sessões verificados têm acesso garantido. O princípio diz respeito à base dessa confiança, não à sua existência.
“O modelo Zero Trust não é um produto que se compra.” Nenhum produto isolado oferece o modelo Zero Trust. Ele requer uma implementação coordenada que abranja identidade, dispositivos, acesso à rede, aplicativos e monitoramento. Os produtos facilitam a implementação; a arquitetura, por sua vez, exige tomadas de decisão e governança contínua.
“O modelo Zero Trust exige reconstruir tudo do zero.” A implementação é gradual. Começar com a autenticação multifatorial (MFA) em todas as contas e políticas de conformidade de dispositivos permite resolver imediatamente as lacunas de maior risco. A segmentação de rede e os controles no nível das aplicações podem ser implementados à medida que o programa amadurece. Um MSP que tenha implantado EDR, aplicado a MFA e implementado o ZTNA para acesso remoto já aproximou significativamente a postura de segurança de um modelo Zero Trust.
Pontos principais
- A abordagem "zero trust" substitui a confiança implícita baseada na localização na rede pela verificação contínua de cada solicitação de acesso, abordando diretamente os pontos fracos do modelo de perímetro tradicional.
- Os três princípios fundamentais — verificação explícita, uso do privilégio mínimo e pressuposto de violação — aplicam-se simultaneamente à identidade, aos dispositivos, ao acesso à rede e às aplicações.
- A implementação é gradual: comece pela identidade e pela autenticação multifatorial (MFA), acrescente a conformidade de dispositivos e o acesso condicional e, em seguida, avance para o ZTNA para acesso à rede e monitoramento comportamental contínuo.
- Os MSPs têm tanto incentivos de segurança interna quanto oportunidades comerciais relacionadas à abordagem zero trust: proteger o acesso com privilégios elevados dos MSPs aos ambientes dos clientes e prestar serviços de consultoria e implementação de zero trust aos clientes.
