Segurança de Rede - Zero Trust Edge - Forrester - 2021 - 01 - BR

LICENCIADO APENAS PARA USO INDIVIDUAL
Apresentação do modelo Zero Trust Edge para

serviços de segurança e rede
Uma borda de serviços de acesso seguro (SASE) é uma Zero Trust Edge (ZTE)
por David Holmes e Andre Kindness

28 de janeiro de 2021
Por que ler este relatório Principais conclusões

Para dar suporte à digitalização de uma Os casos de uso de segurança conduzirão
empresa usando a nuvem e a Internet das as empresas na ZTE
coisas (IoT), muitas equipes de rede se voltaram O caso de uso inicial na maioria das empresas na
para a SD-WAN. No entanto, a SD-WAN não jornada rumo a Zero Trust Edge (ZTE) é proteger
atende aos novos requisitos de segurança e capacitar funcionários remotos e, ao mesmo
ou ao fator impulsionador que os mundos da tempo, remover as complicadas VPNs de
segurança e da rede devem, juntos, oferecer. usuários que assolam o setor atualmente.
Os profissionais de I&O e S&R devem ler
A pilha de segurança hospedada na borda da
este relatório para que tenham uma melhor
Internet é o Santo Graal, mas ela ainda está
compreensão de uma solução Zero Trust
na sua fase inicial
emergente que ajudará a unificar a infraestrutura
O modelo ZTE pretende oferecer uma pilha
de rede e de segurança para sustentar a malha
de segurança completa hospedada na nuvem
de rede empresarial.
ou na borda, mas a tecnologia ainda não está
disponível, pois existem outras dependências.
Uma vez que a largura de banda é um fator
limitante em muitas partes do mundo, alguns
elementos precisarão ser localizados.
Não subestime a eficiência da borda inteligente

no local
Os casos de uso para tomada de decisões
inteligentes no local e na borda ainda se aplicam,
especialmente na IoT/OT, no setor de saúde
e nos ambientes que fazem uso intenso da rede.
Este PDF é licenciado apenas para uso individual quando baixado do site forrester.com ou reprints.forrester.com. Qualquer outra distribuição é proibida.
FORRESTER.COM
PARA PROFISSIONAIS DE SEGURANÇA E RISCO
Apresentação do modelo Zero Trust Edge para serviços de

segurança e rede
por David Holmes e Andre Kindness

com Glenn O’Donnell, Joseph Blankenship, Paul McKay, Renee Taylor e Peggy Dostie
28 de janeiro de 2021
Sumário Documentos de pesquisa

2 Combinar segurança e rede ou encerrar relacionados
os negócios Evaluate SDWAN Services Based On Branch
As abordagens históricas de segurança e Office Goals, Not Hardware Data Sheets (Avaliar
rede não sustentam a empresa distribuída os serviços de SDWAN com base nas metas da
filial, não nas folhas de dados de hardware)
5 A emergência de Zero Trust Edge
Now Tech: Software-Defined WAN Hardware/
Surpresa! A ZTE começa na nuvem Software (Now Tech: Hardware/software da WAN
Usar a ZTE para implantar 18 serviços definida por software), 3º trimestre de 2020
de segurança e rede Now Tech: Software-Defined WAN Services
10 Os casos de uso ditarão os tipos e locais (Now Tech: Serviços de WAN definida por
dos serviços de ZTE software), 3º trimestre de 2020
15 O mercado oferece diferentes tipos de

opções de ZTE
As pilhas multifornecedor e de fornecedor Compartilhe os relatórios

único têm seu lugar com seus colegas.
A complexidade também determina se você Aprimore sua associação com
usa uma sobreposição com agente ou um o Research Share.
gateway sem agente
17 Obstáculos no caminho rumo a Zero Trust Edge
O que isso significa?
17 Segurança e rede finalmente se unem

contra um inimigo em comum
18 Material complementar
Forrester Research, Inc., 60 Acorn Park Drive, Cambridge, MA 02140 EUA

+1 617-613-6000 | Fax: +1 617-613-5000 | forrester.com
© 2021 Forrester Research, Inc. As opiniões refletem o julgamento na época em que a pesquisa foi feita
e estão sujeitas a alterações. Forrester®, Technographics®, Forrester Wave, TechRadar e Total Economic
Impact são marcas comerciais da Forrester Research, Inc. Todas as outras marcas comerciais pertencem
às suas respectivas empresas. A cópia ou distribuição não autorizada é uma violação da lei de direitos
autorais. Citations@forrester.com ou +1 866-367-7378
PARA PROFISSIONAIS DE SEGURANÇA E RISCO 28 de janeiro de 2021
Apresentação do modelo Zero Trust Edge para serviços de segurança e rede
Combinar segurança e rede ou encerrar os negócios

Rede e segurança têm uma história longa e complicada, que pode ser descrita como cordial na melhor
das hipóteses ou hostil no pior dos casos. No entanto, essa abordagem segregada de operação dos
negócios não é aceitável e muitas vezes sabota os ganhos das iniciativas digitais. As infraestruturas
e operações de rede e segurança em silos estão desaparecendo rapidamente porque:
• Os aplicativos e dados distribuídos na nuvem ficam fora do data center. Além da nuvem,
a borda e a IoT estarem redefinindo a localização de dados e aplicativos, esses componentes de
digitalização tornaram o design tradicional "hub-and-spoke" de rede obsoleto.1 Agora, uma malha
de rede empresarial interliga ativos de negócios, clientes, parceiros e ativos digitais, conectando
todas as partes do ecossistema comercial (veja a Figura 1).2 De acordo com o relatório da Forrester
"Build Security into Your Network's DNA: The Zero Trust Network Architecture (Crie segurança no
DNA da sua rede: a arquitetura da rede Zero Trust)", isso só poderá ocorrer se a segurança estiver
incorporada ao DNA da rede.
• A COVID-19 tirou os funcionários do controle de um fosso da LAN corporativa. Considere esta

realidade simples: atualmente, há muitos aplicativos empresariais na nuvem e esse número está
aumentando cada vez mais. Os usuários também deixaram o perímetro empresarial tradicional;
a pesquisa da Forrester sobre a experiência na pandemia descobriu que 53% dos funcionários
que passaram a trabalhar remotamente desejam permanecer remotos mesmo após a crise.3
Com aplicativos e usuários não mais atrás do muro, a utilidade e o valor da pilha de segurança
murada caiu por terra.
© 2021 Forrester Research, Inc. A cópia ou distribuição não autorizada é uma violação da lei de direitos autorais. 2
Citations@forrester.com ou +1 866-367-7378
FIGURA 1 A dispersão de aplicativos e dados nos recursos de negócios
Visualização de negócios/aplicativo
IaaS
SaaS1
DC1 privado
SaaS2
DC2 privado
IaaS2
DC1 privado
Escritório Funcionário
corporativo móvel
Visualização de I&O
DC2 privado
DC1 privado
Recursos do consumidor
(Gmail, Dropbox, etc.)
MPLS Internet
XaaS
Funcionário
móvel
Tráfego de aplicativos Aplicativo

(a cor indica o tráfego de ou dados
determinados aplicativos)
As abordagens históricas de segurança e rede não sustentam a empresa distribuída
A pandemia de 2020 fez milhões de funcionários saírem de um escudo confortável dentro do perímetro
da empresa para atuarem no ambiente extremamente selvagem do trabalho remoto. Um diretor
executivo de segurança das informações de uma grande empresa de seguros europeia contou que,
antes da pandemia de 2020, o contingente de trabalho remoto da empresa era de 5%. A pandemia
mudou totalmente a situação e os trabalhadores em home-office agora representam 95% da base
dos funcionários. Para empresas como a dele, a já instável infraestrutura de VPN não conseguiu
oferecer suporte à carga. A tecnologia de VPN é apenas mais uma fissura nas paredes em erosão
da infraestrutura. As equipes de rede e segurança têm se esforçado para atender aos novos requisitos
de uso da nuvem e de suporte aos funcionários que estão trabalhando de casa, pois as abordagens
antigas eram baseadas em:
• Dispositivos de software ou hardware dedicados no local. Acabaram-se os dias em que se

introduzia um tipo específico de solução para resolver um problema de tecnologia em particular.
Trinta anos de conexão de dispositivos à rede, como otimizadores de WAN ou firewalls, renderam
mais problemas de segurança, níveis mais altos de complexidade, menos flexibilidade e redução
das eficiências. Cada novo dispositivo expande exponencialmente a complexidade e os possíveis
problemas de segurança.
• Controles e repositórios de políticas locais não confiáveis. O software de gerenciamento local

precisa de hardware e equipe dedicados para se manter atualizado com os recursos, correções de
bugs e aprimoramentos de segurança mais recentes. O software de gerenciamento que reside em
uma infraestrutura privada não só custa mais à empresa, mas também prejudica os recursos de
resiliência. Normalmente, o software não é criado para ser realocado para plataformas em nuvem,
o que limita a eficácia e as opções de recuperação de desastres.
• Limites na abordagem centrada em hardware. Aeronaves, carros e trens têm restrições de

adequação e forma devido a limitações de peso ou tamanho. Mesmo sem essas restrições,
as equipes de tecnologia não podem esperar a introdução de hardware em todas as partes da
fábrica, loja de varejo ou estádio. É impraticável pressupor que o hardware possa ser criado para
atender à adequação, forma e função necessárias entre a extrusora de plástico e a câmara de
aquecimento ou para sobreviver às temperaturas nas quais os equipamentos devem operar em
locais como uma subestação elétrica de Dubai ou uma torre celular do Vale da Morte.
• Silos desconexos de segurança e rede. A prática de relegar certos tipos de hardware e

operações a determinados grupos só aumenta as ineficiências operacionais, diminui a resiliência
da infraestrutura e expõe potencialmente novos problemas de segurança. Muitos dispositivos
discretos, como firewalls e roteadores, podem ser combinados para reduzir a latência usando
uma tabela de regras de pacotes e aplicando políticas de segurança e de rede na porta.
A emergência de Zero Trust Edge

Quando a COVID-19 forçou os funcionários a trabalhar em casa, uma minoria visionária de profissionais
de segurança, que achava que a tecnologia de VPN não era o melhor caminho, investiu em soluções
de acesso à rede Zero Trust (ZTNA) para contornar os problemas das VPNs; alguns dos que tomaram o
caminho do ZTNA perguntaram se havia outras abordagens ZT que poderiam ser adotadas, pois muitos
profissionais de segurança e I&O perceberam que o Zero Trust era principalmente um conceito de data
center (veja a Figura 2).4 No entanto, a estrutura de segurança explicada em "The Zero Trust eXtended
(ZTX) Ecosystem (O ecossistema Zero Trust eXtended (ZTX))" da Forrester mostra como o ZT é mais do
que um conceito de data center. O ZT protege as empresas dos clientes, funcionários, prestadores de
serviços e dispositivos em locais remotos que se conectam por meio de malhas de WAN a um ambiente
mais cáustico, aberto, perigoso e turbulento (consulte a Figura 3). A Forrester denomina esse conceito
como Zero Trust Edge (ZTE) e o define da seguinte maneira:
Uma solução Zero Trust Edge conecta e transporta o tráfego com segurança usando princípios
de acesso Zero Trust, dentro e fora de locais remotos, aproveitando principalmente serviços de
rede e segurança baseados em nuvem.
FIGURA 2 Os primeiros usuários do ZT associaram os microperímetros de segurança para estarem apenas em torno das VMs
Data center 1
Físico
Núcleo
Spine
Leaf
Virtual
Serviços virtuais Infraestrutura física

Máquina virtual Switch Controles de
segurança
Dispositivo de segurança virtual Servidor de serviço de rede
avançado (gateway de segmentação,
Switch virtual balanceador de carga e outros serviços)
Roteador virtual Server
Componente de rede
Hipervisor (gateway do roteador)
FIGURA 3 A ZTE fornece os controles de segurança e as políticas de rede para proteger todas as conexões no local
Loja AP sem fio Câmeras de vídeo
Sinalização digital
Celular associado
Leitor de carrinho
Identificação
do funcionário
(Bluetooth)
Busca de
preços
Sensor da Dispositivo ou agente da borda ZT

porta
Serviço de ZTE IaaS

IaaS
SaaS1
DC1 privado
SaaS2
DC2 privado
Malha de WAN
IaaS2
DC1 privado
Escritório Funcionário
corporativo móvel
Data centers de nuvem Tráfego de rede/fluxos/ Aplicativo/Dados/

privada ou pública conexões Microsserviço
Internet das coisas Além do escritório corporativo: Fornecedor

loja; hotel; hospital; fábrica
Conexão de transporte Clientes
Funcionário
segura
Surpresa! A ZTE começa na nuvem
A ZTE configura a estrutura de segurança e rede em torno do tráfego e dos serviços, que vão desde
locais remotos para as empresas e serviços que voltam para os locais ou usuários. Embora a ZTE
trate da empresa distribuída, as soluções, que fornecem um conjunto de serviços mais rápido e ágil,
precisam ser criadas com base em dois elementos fundamentais:
• Gerenciamento de rede e segurança baseado em nuvem. Historicamente, as configurações

de dispositivos e as políticas de segurança existiam em ferramentas diferentes. Por exemplo, os
controles de acesso à rede tinham políticas de segurança para os usuários, enquanto as soluções
de gerenciamento de firewalls e componentes de rede continham as configurações do dispositivo.
Isso aumenta a quantidade de erros de configuração e reduz a eficiência operacional à medida
que a equipe configura políticas semelhantes em vários sistemas. O gerenciamento em nuvem
permite que esses diferentes sistemas de back-end sejam combinados e as configurações podem
ser alteradas, adicionadas ou excluídas com base em uma única solução de gerenciamento de
configuração.
• Monitoramento e análise baseados em nuvem. O monitoramento da rede e da segurança são,

geralmente, independentes e são requisitos fundamentais para a existência da ZTE. O Google
é um bom exemplo: ele usa uma WAN definida por software para aumentar em até 100% a
utilização em links. O monitoramento identifica irregularidades no tráfego, geralmente problemas
de segurança, mesmo fora do perímetro e longe dos data centers da empresa.5 A quantidade de
informações que precisa ser coletada e sintetizada força o monitoramento da ZTE ser baseado
em nuvem. É necessária uma plataforma de computação tão abrangente quanto essa para obter
o escopo completo da análise.
Usar a ZTE para implantar 18 serviços de segurança e rede
De qualquer lugar do mundo, as organizações podem gerenciar, monitorar e analisar de forma centralizada
o conjunto de serviços de segurança e rede que residem nas soluções ZTE (consulte a Figura 4). Alguns
dos serviços permanecerão localizados exclusivamente na nuvem (ou na borda da nuvem) e outros
precisarão ser hospedados no local remoto.
FIGURA 4 Tipos de serviços disponíveis em uma solução de ZTE
Rede
Garantia de largura de banda Define uma quantidade mínima de largura de banda para
determinado tráfego
Armazenamento em cache Fornece cópias localizadas dos dados
de conteúdo
Balanceamento e utilização de links Utiliza vários links simultaneamente para aumentar a largura
de banda do tráfego e a utilização geral da WAN
Qualidade do serviço Prioriza o tráfego de rede
Resiliência Fornece e mantém um nível aceitável de serviço diante de falhas

e desafios para a operação normal
Roteamento/melhor caminho Seleciona o caminho certo para o transporte da camada 3, mesmo

do trabalhador remoto para um aplicativo hospedado na nuvem
WAN definida por software Escolhe os melhores caminhos, links ou conexões com base
(SD-WAN) em métricas de nível superior, como jitter, perda de pacotes
e afinidade com um perfil de aplicativo
Conexão WAN Estabelece a conexão física com uma instalação
Otimização de WAN Fornece desduplicação, união de pacotes e outros recursos

de otimização de WAN
FIGURA 4 Tipos de serviços disponíveis em uma solução ZTE (cont.)
Segurança
Firewall básico Oferece recursos simples de firewall de rede (regras das camadas
3 e 4) que podem ser divididos e movidos localmente para reduzir
a quantidade de tráfego que sai da instalação remota
Agente de segurança de acesso Controles e relatórios sobre o acesso a aplicativos na nuvem

à nuvem (CASB)
Firewall como serviço (FWaaS) Fornece recursos e funções de firewall avançados baseados em nuvem
Sistema de detecção de Analisa o tráfego de rede com base em assinaturas para detectar
intrusão/sistema de prevenção e desviar conteúdo mal-intencionado específico
de intrusão (IDS/IPS)
Criptografia de link Criptografa e descriptografa todo o tráfego de rede em cada ponto

de roteamento da rede
Gerenciamento de identidade Garante que as pessoas certas de uma empresa tenham o acesso
e acesso (IAM) adequado aos recursos tecnológicos
Gateway seguro da Web (SWG) Impede que o tráfego não seguro entre na rede interna de uma
organização. Os filtros de URL devem ser constantemente
atualizados; a tendência já era ter esses filtros configurados,
hospedados e mantidos na nuvem
Análise avançada de malware Executa programas em um ambiente isolado (sandboxing) para

fazer a triagem e contém tipos de malware de dia zero
Acesso à rede Zero Trust (ZTNA) Permite que os funcionários remotos se conectem a aplicativos
empresariais com base em suas identidades, independentemente
de onde os funcionários ou os aplicativos residam. É o serviço de
segurança característico que deve existir na ZTE
Os casos de uso ditarão os tipos e locais dos serviços de ZTE

Os arquitetos de rede e segurança precisam garantir o máximo de utilidade à medida que são atraídos
para a Zero Trust Edge. Os tipos de serviços usados dependem da localização, dos dispositivos,
das pessoas e de outros elementos (veja a Figura 5). Três casos de uso mostram níveis crescentes
de funções de força (o que significa uma quantidade maior de serviços de rede e segurança que
são ativados na solução de ZTE):
• Proteger os funcionários remotos como o caso de uso inicial. A pandemia de 2020 e

o subsequente êxodo em massa fez com que milhões de profissionais do conhecimento
que trabalhavam em escritórios trabalhassem em casa. Fornecer acesso seguro a serviços
e aplicativos corporativos para esses colaboradores é o caso de uso inicial que traz as
organizações para a Zero Trust Edge. Em razão dos inúmeros desafios descritos na pesquisa da
Forrester, "Key Considerations For Network And Capacity Management When Operationalizing
A Home-Based Workforce (Principais considerações para o gerenciamento de rede e capacidade
ao operacionalizar uma força de trabalho doméstica)", a maioria das empresas se recusa a colocar
qualquer tipo de software ou hardware de rede dentro de casa. Em vez disso, os agentes de
software são implantados nos dispositivos de trabalho dos funcionários e suas conexões são
vinculadas a serviços de segurança da borda da nuvem (consulte a Figura 6).
• Priorize o tráfego de aplicativos de negócios que domina a WAN da filial. O número de

conexões WAN explodiu com os funcionários trabalhando de casa. Ainda assim, as conexões
remotas de escritórios continuam representando a maior parte do tráfego de WAN para as
empresas, principalmente de funcionários, seus aplicativos e dispositivos de propriedade
da empresa. O tráfego de SaaS, como o O365, tornou-se recentemente um fator importante
e também pode conter algum tráfego de clientes. O tráfego de aplicativos baseados em SaaS
precisa de conexões diretas com a Internet e os clientes podem precisar se conectar a LANs
de escritórios remotos. Para lidar com esses desafios, os arquitetos corporativos estão cada vez
mais direcionando esse tráfego através do firewall como serviço (FWaaS). Isso é feito por meio de
roteadores de escritórios remotos e/ou soluções de SD-WAN destacados no relatório da Forrester
"Now Tech: Software-Defined WAN Hardware/Software (Now Tech: Hardware/software da WAN
definida por software), 3º trimestre de 2020" ou de um provedor de serviços listado no relatório
da Forrester "Now Tech: Software-Defined WAN Services (Now Tech: Serviços de WAN definida
por software), 3º trimestre de 2020" (veja a Figura 7). Alguns fornecedores, como a Forcepoint,
suportam à funcionalidade SD-WAN integrada com vários serviços de segurança.
• Por fim, proteger a Internet de todas as coisas. Além de funcionários remotos e filiais genéricas,
os dispositivos de IoT e borda e, os parceiros de negócios estão utilizando a rede. O arquiteto
do sistema de controle industrial (ICS) terá que integrar locais relacionados que forçam maior
atenção às políticas de segurança e de rede. Por exemplo, um engenheiro de uma montadora
de automóveis considera o tráfego de funcionários e prestadores de serviços, mas também deve
levar em conta o tráfego dos controladores lógicos programáveis (PLCs) da Siemens ou os dados
relacionados às prateleiras de controle de estoque da Bosch. Devido à localização e à falta de
largura de banda disponível para o site, alguns elementos básicos de segurança precisam ser
hospedados no local, juntamente com todos os serviços de rede, para diminuir a quantidade
de tráfego direcionado para os serviços de segurança em nuvem (consulte a Figura 8).
FIGURA 5 Cada caso tem um conjunto diferente de fatores de segurança e rede a serem considerados
Trabalho remoto Pequeno escritório Local heterogêneo
Ativos Notebook Desktops, impressoras, Rede física

salas de conferência, heterogênea
webcams
Gateway para ZTE Agente de ponto Dispositivo de WAN Dispositivo de WAN

de extremidade com serviços de rede com serviços de rede
no local necessários no local necessários
ou sobreposição por
agente
IoT Não Baixo Alto
Computação de borda Não Baixo Alto
Prestadores de serviços Não Não Sim
Fornecedores de Não Baixo Alto

negócios e tecnologia
FIGURA 6 Os funcionários remotos se beneficiam dos serviços de segurança baseados em nuvem da ZTE
Serviços fornecidos Os recursos/serviços

em nuvem residem no local
Gerenciamento e políticas
Segurança e rede
Monitoramento
ZTNA
Filtragem de URL
CASB
Sandboxing
IDS/IPS
Serviços de
Criptografia de link
segurança
Gerenciamento de identidades
e acesso
Criptografia
FWaaS (avançado)
Firewall (básico)
FIGURA 7 Escritórios comerciais genéricos direcionam o tráfego para serviços de segurança baseados em nuvem

Gerenciamento e políticas
Segurança e rede
Monitoramento
ZTNA
Filtragem de URL
CASB
FWAAS
Sandboxing
IDS/IPS Serviços de
segurança
e acesso
Criptografia
Firewall (avançado)
Firewall (básico)
Qualidade do serviço
Garantia de largura de banda
Resiliência
Otimização de WAN
Armazenamento em cache
de conteúdo
Camada 1
Serviços de rede
Resiliência
Roteamento/melhor caminho
Balanceamento de carga do link
SD-WAN
FIGURA 8 Sites complexos com largura de banda WAN limitada forçam alguns recursos de segurança localizados

Gerenciamento e políticas Segurança e rede

Monitoramento
ZTNA
Filtragem de URL
CASB
FWAAS
Sandboxing
IDS/IPS Serviços de
segurança
e acesso
Criptografia
Firewall (avançado)
Firewall (básico)
Resiliência
Otimização de WAN
Armazenamento em cache
de conteúdo
Camada 1
Serviços de rede
Resiliência
Roteamento/melhor caminho
Balanceamento de carga do link
SD-WAN
O mercado oferece diferentes tipos de opções de ZTE

Os profissionais de tecnologia podem utilizar a ZTE de três maneiras diferentes:
• Um serviço fornecido na nuvem. Um conjunto relativamente novo de fornecedores, os serviços
baseados em nuvem da ZTE vêm de um serviço executado por fornecedores, como a Cato Networks,
que usa uma rede de terceiros com dezenas (ou, em alguns casos, centenas) de POPs que oferecem
recursos de ZTE na borda da nuvem. Essa abordagem oferece todo o valor que as organizações
podem obter das soluções de software como serviço. No entanto, nenhuma empresa pode fornecer
todos os recursos encontrados nas melhores soluções do mercado. É claro que a Forrester descobriu
que as organizações normalmente não usam todos os recursos encontrados nas soluções no local.
As soluções em nuvem geralmente atendem às necessidades de muitas organizações.
• Serviços de ZTE envolvidos em um serviço de conexão WAN. Outros incluirão uma operadora
empresarial existente que conecta seus clientes diretamente a redes de ZTE para funções de
segurança terceirizadas. A Comcast Enterprise e a Akamai já executam essa função hoje. Muitos
fornecedores de hardware e software de SD-WAN, como a Versa Networks, firmarão parcerias com
a Zscaler ou outros fornecedores de segurança. As equipes podem escolher os melhores produtos
para garantir o aproveitamento máximo dos serviços de rede e de segurança. No entanto, essas
equipes não terão a agilidade ou a eficiência operacional dos sistemas baseados em nuvem.
Uma abordagem que abrange SD-WAN mais ZTE requer etapas extras das equipes de tecnologia,
como a configuração de políticas para cada serviço independente. Não existe um único sistema de
gerenciamento e orquestração para uma estratégia de incorporação de SD-WAN e ZTE.
• Uma abordagem "faça você mesmo" (DIY). Uma organização suficientemente grande e ágil
pode criar sua própria plataforma de ZTE usando provedores de serviços de nuvem, como POPs
e um serviço hospedado na nuvem, como o firewall corporativo da Barracuda atuando como o
serviço de segurança na nuvem Azure da Microsoft. Isso garante que os serviços correspondam
melhor às demandas de negócios, mas exige que as equipes conheçam bem os requisitos
de negócios e as habilidades necessárias para criar a infraestrutura e gerenciá-la. O relatório
da Forrester "Evaluate SD-WAN Services Based On Branch Office Goals, Not Hardware Data
Sheets (Avaliar os serviços de SDWAN com base nas metas da filial, não nas folhas de dados de
hardware)" mostra que a maioria das equipes está perdendo um ou outro aspecto.
As pilhas multifornecedor e de fornecedor único têm seu lugar

A ZTE representa uma ameaça existencial para muitas soluções de segurança no local, portanto, uma
estratégia de ZTE agora é essencial para esses fornecedores. Fornecedores ambiciosos querem vender
todo o pacote pronto para uso (quando o tiverem disponível) e a ideia de ter um único fornecedor para
todas as soluções de segurança em uma base OPEX é atraente para as pequenas e médias empresas.
A sua escolha depende do tamanho e da complexidade da sua empresa, uma vez que:
• As organizações maiores vão optar por uma abordagem de vários fornecedores a curto
prazo. Empresas maiores têm requisitos mais complicados e serviços mais heterogêneos. Uma
carga mais pesada de aplicativos legados torna menos provável que eles adotem uma abordagem
de um único fornecedor. Os entrevistados desta pesquisa estavam amplamente de acordo
com esta análise. Para as organizações que já iniciaram uma jornada de Zero Trust Edge, uma
abordagem típica de vários fornecedores pode usar os sistemas da Silver Peak para SD-WAN
em conexão com a Zscaler para filtragem de URL e ZTNA. Isso funcionará no caso de uso inicial
(proteção de trabalhadores remotos), mas a migração de outros elementos de pilha de segurança
para uma pilha de vários fornecedores exigirá um sério encadeamento de serviços e as APIs entre
os componentes precisam funcionar de forma consistente e confiável.
• As organizações menores serão pioneiras na abordagem de pilha de segurança completa.

A Forrester espera que empresas menores experimentem fornecedores de ZTE de pilha completa,
como a Netskope. Normalmente, elas têm um conjunto menor de requisitos e podem achar mais
fácil interagir com um fornecedor único. Historicamente, os grupos de tecnologia de empresas
maiores levam tempo para adotar esses tipos de soluções. Por exemplo, isso ocorreu no mercado
de Wi-Fi com soluções baseadas em nuvem da Aerohive Networks, que agora faz parte da
Extreme Networks, e da Meraki, agora parte da Cisco.
A complexidade também determina se você usa uma sobreposição com agente ou um gateway
sem agente
Conectar todos os usuários e aplicativos é o estado final desejado para a Zero Trust Edge, estejam os
sistemas no local, na nuvem, em uma nuvem privada ou remotamente. No entanto, conectar uma rede
heterogênea complexa é claramente um esforço significativo. Portanto, o mercado atualmente suporta
dois tipos de implantações, uma para dar suporte ao estado final estratégico e outra para dar suporte
a uma entrada tática na Zero Trust Edge. Alguns fornecedores, como a Zscaler, podem oferecer
suporte a ambos os modelos simultaneamente e mais fornecedores estão fazendo o mesmo.
• Modelo um: o gateway é um único ponto de segurança. Esse modelo é seu ponto de entrada
singular na Internet. Pense em um controlador SD-WAN com um túnel GRE para uma rede de borda
hospedada pelo fornecedor. Todo o tráfego de saída vai para a rede de borda, que pode, então,
atribuir imediatamente políticas de segurança ao tráfego desse locatário em sua rede. A superfície
de ameaça da origem diminui drasticamente, fazendo com que ataques do tipo DDoS não sejam
mais um problema. Essa opção, embora mais direta, tem mais chances de ser adotada nas médias
empresas; talvez não seja possível para ambientes heterogêneos complicados a curto prazo.
• Modelo dois: uma sobreposição distribui a segurança, geralmente por meio de agentes.
Neste modelo, os pontos de extremidade se conectam à rede de borda por meio de uma
sobreposição, geralmente facilitada por um agente de ponto de extremidade que determina
quais conexões são reencaminhadas para a rede ZTE. O modelo de sobreposição pode ser
implementado sem alterar a rede subjacente, mas uma desvantagem significativa é que a
instalação de agentes pode não ser viável devido a políticas em ambientes sensíveis, como saúde,
manufatura e TI/OT. A Axis Security tem uma abordagem inovadora que, por fim, usa o modelo de
sobreposição sem exigir agentes em dispositivos que desejam ingressar na rede. Entrevistamos
um cliente importante que escolheu a solução Axis Security exatamente por esse motivo.
Obstáculos no caminho rumo a Zero Trust Edge

O modelo Zero Trust Edge é revolucionário, ou seja, transformador, para a maneira como a segurança
e a rede são tradicionalmente consumidas. Sempre em um estado de evolução constante, as
funções de segurança cibernética foram mais rápidas na mudança para a Zero Trust Edge. As redes
legadas são muito mais lentas. As empresas estão sendo atraídas para a Zero Trust Edge por causa
do problema de segurança dos funcionários remotos, mas desafios significativos estão por vir para
alcançar a promessa completa do modelo, que incluem:
• Aplicativos e serviços legados. Os aplicativos da Web modernos compreendem a federação

de identidades, tornando-os (relativamente) fáceis de configurar em uma ZTE. No entanto, os
aplicativos baseados em protocolos não Web, especialmente RDP/VDI e SIP/VoIP, não serão tão
fáceis. Mesmo esses dois tipos muito comuns de aplicativos sofrem com a falta de uma maneira
padronizada de ser consumida no ambiente de ZTE.
• Instrumento de rede legado. Depois que os notebooks, servidores e aplicativos já estiverem

incorporados a Zero Trust Edge, o arquiteto terá que considerar os milhares (e, em alguns casos,
as centenas de milhares) de dispositivos de OT e IoT, nos quais nenhum software de agente
poderá ser instalado. Estes devem ingressar em massa, utilizando protocolos de rede aceitos,
e é nesse ponto que as equipes de segurança e rede terão de cooperar.
• Capacidade e confiança. As organizações podem usar a ZTE para resolver taticamente

problemas como o acesso seguro para funcionários remotos, mas ainda não estão prontas para
substituir os serviços de rede e segurança de alta capacidade que estão na linha de frente dos
seus data centers. As organizações com grandes investimentos em seus próprios data centers
aguardarão um esforço maior, como uma migração de seus aplicativos críticos para a nuvem,
a fim de fazer a transição desses serviços para a proteção da Zero Trust Edge.
O que isso significa?
Segurança e rede finalmente se unem contra um inimigo em comum

Com a segurança incorporada à rede e se tornando parte de seu DNA, a Forrester vê o seguinte
acontecendo com as duas organizações:
1. Organizações de segurança que estão definindo as políticas e os testes de segurança.

Os tipos de tráfego e os serviços necessários para atender aos níveis aceitáveis de confiança
serão definidos pela equipe de segurança. Com as ferramentas de monitoramento e análise,
as equipes garantirão que as políticas estejam sendo seguidas e testarão e auditarão
rotineiramente o tráfego e as conexões, juntos.
2. Rede após segurança. Os profissionais de rede trabalharão por meio de políticas de ZTE
configuradas pela equipe de segurança. Embora esta disposição faça a ideologia da Zero
Trust avançar significativamente, ela é uma reversão dos últimos 25 anos da segurança se
sobrepondo à rede.
3. Finalmente, um meio de acesso à Internet mais seguro. Quando perguntados, os projetistas

da Internet original admitem que a segurança nunca fez parte do projeto. Nos 30 anos desde
o seu início, a Internet global tornou-se uma rede perigosa de atravessar. A Zero Trust Edge
finalmente oferece um caminho mais seguro por meio dela.
Interaja com um analista

Tome suas decisões com mais confiança, tendo o apoio de líderes de opinião da Forrester para
aplicar nossa pesquisa às suas iniciativas específicas de negócios e de tecnologia.
Consultoria de analistas Assessoria de analistas Webinar

Para ajudar você a Transforme a pesquisa Participe de nossas
colocar a pesquisa em em ações trabalhando sessões on-line sobre
prática, entre em contato com um analista em um as pesquisas mais
com um analista para engajamento específico recentes que afetam seus
discutir suas dúvidas em sob a forma de sessões negócios. Cada chamada
inclui slides e perguntas
uma chamada telefônica personalizadas de
e respostas dos analistas
de 30 minutos ou opte por estratégia, workshops ou e está disponível sob
uma resposta pelo e-mail. palestras. demanda.
Saiba mais. Saiba mais. Saiba mais.
Aplicativos de pesquisa da Forrester para iOS e Android.

Fique à frente da concorrência onde quer que você esteja.
Material complementar
Empresas entrevistadas para este relatório
Gostaríamos de agradecer aos indivíduos das seguintes empresas que generosamente dedicaram seu
tempo durante a pesquisa para este relatório.
419 Consulting Axis Security
Akamai Barracuda
AT&T BlackBerry
Cato Networks Marriott Vacations Worldwide
Cisco Systems Menlo Security
Citrix Mentor Graphics
Deutsche Telekom Netskope
Edelweiss Financial Services Nuspire
Famous Supply Palo Alto Networks
Fortinet Silver Peak
Infoblox SKF
IronNet VMware
Jefferies Windstream
Juniper Zentera Systems
Lightstream Zscaler
Notas finais
Um data center privado é um hub que conecta dados, aplicativos e segurança a locais remotos; restaurantes, centros de
1
atendimento intensivo, fábricas, para citar alguns, conectam-se ao hub para acessar todos os recursos da empresa.
Consulte o relatório da Forrester "Emerging Technology Spotlight: Businesswide Networking Fabric (Emerging
2
Technology Spotlight: malha de rede no âmbito empresarial)".

Em um modelo de negócios em rede, os membros do ecossistema geram juntos o valor do cliente de uma maneira
distribuída. Veja o relatório da Forrester "Customer-Obsessed Businesses Need Digital Ecosystems (Empresas
focadas nos clientes precisam de ecossistemas digitais)".
Nossas pesquisas sobre a experiência na pandemia (PandemicEX) perguntaram aos entrevistados: "Quais medidas sua
3
empresa/organização está tomando para gerenciar o risco associado ao coronavírus?" Fonte: Pesquisa PandemicEX 1 da
Forrester realizada no primeiro trimestre de 2020 nos EUA (de 3 de março a 6 de março de 2020); Pesquisa PandemicEX
2 da Forrester realizada no primeiro trimestre de 2020 nos EUA (de 17 de março a 19 de março de 2020); e Pesquisa
PandemicEX 1 da Forrester realizada no segundo trimestre de 2020 nos EUA (de 1º de abril a 3 de abril de 2020).
Veja o relatório da Forrester "The State of Remote Work (O estado do trabalho remoto), 2020".
Os materiais de marketing dos fornecedores nas fases iniciais do ZT só destacaram soluções para o data
4
center privado. Por exemplo, a Palo Alto destacou em vários documentos técnicos como o ZT pode proteger os
ativos do data center. Fonte: "Best Practices – Data Center Security", Palo Alto Networks, 1º de junho de 2016
(https://www.paloaltonetworks.com/resources/whitepapers/best-practices-data-center-security).
Fonte: Sushant Jain, Alok Kumar, Subhasree Mandal, Joon Ong, Leon Poutievski, Arjun Singh, Subbaiah Venkata,
5
Jim Wanderer, Junlan Zhou, Min Zhu, Jonathan Zolla, Urs Hölzle, Stephen Stuart e Amin Vahdat, "B4: Experience
with a Globally-Deployed Software Defined WAN (B4: Experiência com uma WAN definida por software implantada
globalmente)", Procedimentos da Conferência ACM SIGCOMM 2013, agosto de 2013 (https://storage.googleapis.
com/pub-tools-public-publication-data/pdf/41761.pdf).
Trabalhamos com líderes de negócios e de tecnologia para desenvolver
estratégias focadas no cliente que impulsionam o crescimento.
PRODUTOS E SERVIÇOS
› Pesquisa e ferramentas essenciais
› Dados e análises
› Colaboração entre colegas
› Engajamento de analistas
› Consultoria
› Eventos
A pesquisa e os insights da Forrester são personalizados de

acordo com sua função e suas principais iniciativas comerciais.
FUNÇÕES QUE ATENDEMOS

Profissionais de marketing Profissionais de Profissionais do setor
e estratégia gerenciamento de tecnologia
CMO de tecnologia Relações com analistas
Marketing B2B CIO
Marketing B2C Desenvolvimento e entrega
de aplicativos
Experiência do cliente
Arquitetura empresarial
Insights de clientes
Infraestrutura e operações
e-Business e estratégia
de canais Segurança e risco
Gerenciamento de
aprovisionamento
e fornecedores
ATENDIMENTO AO CLIENTE
Para obter mais informações sobre cópias impressas ou reimpressões eletrônicas, entre em
contato com o Atendimento ao cliente pelo telefone +1 866-367-7378 ou +1 617-613-5730,
ou pelo e-mail clientsupport@forrester.com. Oferecemos descontos por atacado e preços
especiais para instituições acadêmicas e sem fins lucrativos.
A Forrester Research (Nasdaq: FORR) é uma das empresas de pesquisa e consultoria mais influentes do mundo.
Trabalhamos com líderes de negócios e de tecnologia para desenvolver estratégias focadas no cliente que impulsionam
o crescimento. Por meio de pesquisa proprietária, dados, consultoria personalizada, grupos exclusivos de executivos
e eventos, a experiência da Forrester tem uma finalidade singular e eficiente: desafiar o pensamento de nossos clientes
para ajudá-los a liderar a mudança em suas organizações. Para saber mais, acesse forrester.com. 161728

Segurança de Rede - Zero Trust Edge - Forrester - 2021 - 01 - BR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança de Rede - Zero Trust Edge - Forrester - 2021 - 01 - BR

Enviado por

Direitos autorais:

Formatos disponíveis

LICENCIADO APENAS PARA USO INDIVIDUAL

Apresentação do modelo Zero Trust Edge para

por David Holmes e Andre Kindness

Por que ler este relatório Principais conclusões

Não subestime a eficiência da borda inteligente

Apresentação do modelo Zero Trust Edge para serviços de

por David Holmes e Andre Kindness

Sumário Documentos de pesquisa

15 O mercado oferece diferentes tipos de

As pilhas multifornecedor e de fornecedor Compartilhe os relatórios

17 Obstáculos no caminho rumo a Zero Trust Edge

O que isso significa?

17 Segurança e rede finalmente se unem

Forrester Research, Inc., 60 Acorn Park Drive, Cambridge, MA 02140 EUA

Combinar segurança e rede ou encerrar os negócios

• A COVID-19 tirou os funcionários do controle de um fosso da LAN corporativa. Considere esta

FIGURA 1 A dispersão de aplicativos e dados nos recursos de negócios

Tráfego de aplicativos Aplicativo

As abordagens históricas de segurança e rede não sustentam a empresa distribuída

• Dispositivos de software ou hardware dedicados no local. Acabaram-se os dias em que se

• Controles e repositórios de políticas locais não confiáveis. O software de gerenciamento local

• Limites na abordagem centrada em hardware. Aeronaves, carros e trens têm restrições de

• Silos desconexos de segurança e rede. A prática de relegar certos tipos de hardware e

A emergência de Zero Trust Edge

Serviços virtuais Infraestrutura física

Loja AP sem fio Câmeras de vídeo

Sensor da Dispositivo ou agente da borda ZT

Serviço de ZTE IaaS

Data centers de nuvem Tráfego de rede/fluxos/ Aplicativo/Dados/

Internet das coisas Além do escritório corporativo: Fornecedor

Surpresa! A ZTE começa na nuvem

• Gerenciamento de rede e segurança baseado em nuvem. Historicamente, as configurações

• Monitoramento e análise baseados em nuvem. O monitoramento da rede e da segurança são,

Usar a ZTE para implantar 18 serviços de segurança e rede

FIGURA 4 Tipos de serviços disponíveis em uma solução de ZTE

Qualidade do serviço Prioriza o tráfego de rede

Resiliência Fornece e mantém um nível aceitável de serviço diante de falhas

Roteamento/melhor caminho Seleciona o caminho certo para o transporte da camada 3, mesmo

Conexão WAN Estabelece a conexão física com uma instalação

Otimização de WAN Fornece desduplicação, união de pacotes e outros recursos

FIGURA 4 Tipos de serviços disponíveis em uma solução ZTE (cont.)

Agente de segurança de acesso Controles e relatórios sobre o acesso a aplicativos na nuvem

Criptografia de link Criptografa e descriptografa todo o tráfego de rede em cada ponto

Análise avançada de malware Executa programas em um ambiente isolado (sandboxing) para

Os casos de uso ditarão os tipos e locais dos serviços de ZTE

• Proteger os funcionários remotos como o caso de uso inicial. A pandemia de 2020 e

• Priorize o tráfego de aplicativos de negócios que domina a WAN da filial. O número de

Trabalho remoto Pequeno escritório Local heterogêneo

Ativos Notebook Desktops, impressoras, Rede física

Gateway para ZTE Agente de ponto Dispositivo de WAN Dispositivo de WAN

IoT Não Baixo Alto

Computação de borda Não Baixo Alto

Prestadores de serviços Não Não Sim

Fornecedores de Não Baixo Alto

Serviços fornecidos Os recursos/serviços

Serviços fornecidos Os recursos/serviços

Serviços fornecidos Os recursos/serviços

Gerenciamento e políticas Segurança e rede

O mercado oferece diferentes tipos de opções de ZTE

As pilhas multifornecedor e de fornecedor único têm seu lugar

• As organizações menores serão pioneiras na abordagem de pilha de segurança completa.

Obstáculos no caminho rumo a Zero Trust Edge

• Aplicativos e serviços legados. Os aplicativos da Web modernos compreendem a federação