Por que a VPN está entrando em extinção nas empresas?

A venerável VPN, que há décadas fornece aos trabalhadores remotos um meio seguro para a rede corporativa, está entrando em extinção. Esse movimento está acontecendo com a migração das empresas para uma estrutura de segurança mais ágil e granular chamada confiança zero (Zero Trust), mais adaptada ao mundo atual dos negócios digitais.

As VPNs fazem parte de uma estratégia de segurança baseada na noção de perímetro de rede: funcionários confiáveis ​​estão por dentro e funcionários não confiáveis ​​estão por fora. Mas esse modelo não funciona mais em um ambiente comercial moderno, onde os colaboradores acessam a rede a partir de diversos locais e onde os ativos corporativos não ficam mais atrás dos muros de um data center, mas em ambientes com várias nuvens.

O Gartner prevê que até 2023, 60% das empresas eliminarão a maior parte de suas VPNs em favor do acesso à rede de Zero Trust, que pode assumir a forma de um gateway ou broker que autentica o dispositivo e o usuário.

Há uma variedade de falhas associadas à abordagem de segurança de perímetro. Não trata de ataques internos, não faz um bom trabalho contabilizando contratados, terceiros e parceiros da cadeia de suprimentos. Se um invasor roubar as credenciais de VPN de alguém, ele poderá acessar a rede e circular livremente.

Além disso, as VPNs ao longo do tempo se tornaram complexas e difíceis de gerenciar. “Há muitos problemas nas VPNs”, diz Matt Sullivan, arquiteto de segurança sênior da Workiva, empresa de software empresarial com sede em Ames, Iowa. “Elas são desajeitadas, desatualizadas, há muito o que gerenciar e são um pouco perigosas, francamente.”

Em um nível ainda mais fundamental, hoje, qualquer pessoa que observe a segurança corporativa entende que o que estamos fazendo não está mais funcionando. “O modelo de segurança baseado em perímetro falhou categoricamente”, afirma o analista principal da Forrester, Chase Cunningham.

“E não por falta de esforço ou falta de investimento, mas apenas porque é construído sobre um castelo de cartas. Se uma coisa falha, tudo falha. Todo mundo com quem converso acredita nisso.”

Cunningham assumiu o controle da rede de Zero Trust na Forrester, onde o analista Jon Kindervag, agora na Palo Alto Networks, desenvolveu uma estrutura de segurança em 2009.

Não confie em ninguém

Com a política Zero Trust, a ideia é simples: não confie em ninguém. Verifique todos. Imponha políticas rígidas de controle e gerenciamento de identidade que restrinjam o acesso dos funcionários aos recursos necessários para realizar o seu trabalho e nada mais.

Garrett Bekker, analista principal do 451 Group, diz que o zero trust não é um produto ou uma tecnologia; é uma maneira diferente de pensar em segurança.

“As pessoas ainda estão pensando no que isso significa. Os clientes estão confusos e os fornecedores são inconsistentes com o significado de zero confiança. Mas acredito que ele tem o potencial de alterar radicalmente a maneira como a segurança é feita.”

Fornecedores de segurança adotam Zero Trust

Apesar de a estrutura de confiança zero existir há uma década e gerar bastante interesse, apenas no último ano, mais ou menos, a adoção da solução começou a decolar. De acordo com uma pesquisa recente do 451 Group, apenas cerca de 13% das empresas começaram a usar a confiança zero. Um dos principais motivos é que os fornecedores demoraram a avançar. Apesar da demora, a abordagem está ganhando força.

“A tecnologia finalmente alcançou a atenção”, declara Cunningham. “Há cinco ou sete anos, não tínhamos os recursos que poderiam permitir esse tipo de abordagem. Estamos começando a ver que é possível.”