Zero Trust: o modelo de segurança que toda empresa com dados críticos deveria adotar

Confiar em um usuário só porque ele está dentro da rede corporativa é um dos erros de segurança mais comuns no ambiente corporativo é um dos mais explorados por atacantes. O modelo de segurança Zero Trust parte de uma premissa diferente: nenhuma entidade, seja um usuário, dispositivo ou sistema, recebe acesso automaticamente, independentemente de onde está conectada. Cada solicitação de acesso é verificada antes de ser autorizada.

O conceito foi formalizado em 2010 pelo analista John Kindervag, da Forrester Research, que propôs um modelo de segurança que tratasse riscos internos e externos com o mesmo nível de desconfiança. Desde então, evoluiu para uma arquitetura amplamente adotada por organizações que precisam proteger dados sensíveis em ambientes distribuídos, com trabalho remoto e infraestrutura em nuvem.

O que é Zero Trust

Zero Trust é uma abordagem de arquitetura de segurança. Ela define como controles de acesso, autenticação e monitoramento devem ser estruturados, não é um software que se instala ou um equipamento que se compra. A implementação prática envolve um conjunto de tecnologias e políticas que, juntas, garantem que apenas usuários e dispositivos verificados acessem recursos específicos, e apenas os necessários para aquela função.

O modelo se opõe diretamente ao modelo de segurança baseado em perímetro, no qual a autenticação inicial garante acesso irrestrito à rede interna. Com ambientes híbridos e acesso remoto como parte da rotina corporativa, esse modelo apresenta falhas estruturais: credenciais válidas podem estar comprometidas por phishing ou roubo de senha, e um invasor com acesso válido tem liberdade para se mover lateralmente pelo ambiente sem ser detectado.

Por que o modelo tradicional de segurança falha em ambientes modernos

O modelo de segurança baseado em perímetro pressupõe que tudo dentro do firewall corporativo é confiável. Essa premissa deixou de ser válida por três razões observáveis:

• Trabalho remoto e híbrido: colaboradores acessam sistemas corporativos de redes domésticas, dispositivos pessoais e redes públicas, tornando o perímetro físico irrelevante como critério de confiança
• Computação em nuvem: dados e aplicações residem fora da infraestrutura local, em ambientes que não estão sob o controle direto do time de TI interno
• Ameaças internas: credenciais válidas comprometidas por phishing ou acesso indevido permitem que um atacante opere dentro do ambiente com permissões legítimas

Em dezembro de 2025, o Brasil registrou uma média de 3.520 ataques cibernéticos por organização por semana, crescimento de 38% em relação ao ano anterior, o maior aumento percentual entre todos os países monitorados Parte significativa desses ataques explora confiança implícita em credenciais válidas para expandir o acesso lateralmente dentro do ambiente corporativo.

Os três princípios fundamentais do Zero Trust

1. Verificar sempre, confiar nunca

Cada solicitação de acesso é tratada como potencialmente não autorizada. Identidade do usuário, estado de conformidade do dispositivo, localização e comportamento recente são avaliados em tempo real antes de qualquer permissão ser concedida. Esse processo ocorre a cada novo acesso, sem acúmulo de confiança de sessões anteriores.

2. Menor privilégio de acesso

Cada usuário recebe apenas as permissões necessárias para executar sua função naquele momento. Um analista financeiro não precisa ter acesso a arquivos de RH ou a sistemas de infraestrutura de TI. Limitar o escopo de acesso reduz a superfície disponível para um atacante explorar em caso de comprometimento de credencial, impedindo que o acesso inicial se expanda pelo ambiente.

3. Monitoramento contínuo e auditoria

O Zero Trust exige visibilidade permanente sobre acessos, dispositivos e comportamentos no ambiente. Registrar quem acessa o quê, quando e a partir de qual dispositivo permite identificar comportamentos anômalos antes que causem impacto. Essa rastreabilidade atende diretamente a requisitos regulatórios da LGPD, do Banco Central do Brasil e da CVM para o setor financeiro.

Como implementar Zero Trust com as ferramentas Microsoft

Para organizações que operam no ecossistema Microsoft 365, a arquitetura Zero Trust pode ser implementada com ferramentas nativas integradas, sem necessidade de soluções de terceiros para os controles principais.

Microsoft Entra ID

O que é: serviço de gerenciamento de identidade e acesso da Microsoft, anteriormente chamado de Azure Active Directory.

Função no Zero Trust: aplica políticas de acesso condicional que verificam identidade, conformidade do dispositivo e contexto da solicitação antes de autorizar qualquer acesso. Se o dispositivo não estiver em conformidade ou a autenticação multifator não for concluída, o acesso é bloqueado automaticamente.

Enterprise Mobility + Security (EMS)

O que é: conjunto de ferramentas Microsoft que cobre gestão de dispositivos, proteção de identidade e segurança de dados.

Componentes principais no contexto Zero Trust:

• Microsoft Intune: gerenciamento centralizado de dispositivos corporativos e pessoais, com aplicação de políticas de segurança e bloqueio de acesso a partir de dispositivos não conformes
• Microsoft Entra ID Protection: detecção automatizada de comportamentos de risco associados a identidades, com bloqueio de acessos suspeitos
• Microsoft Purview: classificação e proteção de dados sensíveis, com políticas de DLP (Data Loss Prevention) que impedem o compartilhamento não autorizado de informações críticas por e-mail, Teams ou outros canais

Microsoft Defender

O que é: plataforma de detecção e resposta a ameaças da Microsoft, integrada ao ecossistema Microsoft 365.

Função no Zero Trust: monitora continuamente o ambiente, detecta comportamentos anômalos e responde automaticamente a incidentes. Gera logs de auditoria completos com rastreabilidade de todas as ações no ambiente, atendendo a requisitos de conformidade re

Zero Trust e conformidade regulatória no Brasil

A adoção do Zero Trust tem implicação direta no atendimento a três marcos regulatórios relevantes para empresas brasileiras:

LGPD (Lei Geral de Proteção de Dados): exige controles de acesso a dados pessoais, rastreabilidade de quem acessa essas informações e capacidade de resposta documentada a incidentes. O Zero Trust entrega esses controles como consequência direta da arquitetura, sem depender de processos manuais.

Resolução BCB 85/2021 e normas do Banco Central: exige que instituições financeiras mantenham políticas de segurança da informação com controle de acesso, gestão de identidade e resposta a incidentes. Uma arquitetura Zero Trust estruturada atende a esses requisitos de forma nativa.

Instruções CVM: corretoras e gestoras de investimento estão sujeitas a requisitos de rastreabilidade de comunicações e acesso a dados de clientes que se alinham diretamente com os controles de auditoria e monitoramento do modelo Zero Trust.

Perguntas frequentes sobre Zero Trust

O que significa Zero Trust em segurança da informação? Zero Trust é um modelo de arquitetura de segurança que parte do princípio de que nenhum acesso é confiável por padrão. Cada solicitação de acesso é verificada com base em identidade, dispositivo e contexto, independentemente de a solicitação vir de dentro ou de fora da rede corporativa.

Zero Trust é um produto ou uma estratégia? É uma estratégia. A implementação prática envolve um conjunto de ferramentas e políticas, como Microsoft Entra ID, Microsoft Intune e Microsoft Purview, configuradas para aplicar os princípios de verificação contínua e menor privilégio de acesso.

Qual a diferença entre Zero Trust e VPN? A VPN concede acesso amplo à rede após a autenticação inicial. O Zero Trust concede acesso granular e específico a recursos determinados, verificado a cada solicitação. Com Zero Trust, um usuário autenticado acessa apenas o que precisa — sem acesso irrestrito ao ambiente interno.

Zero Trust é aplicável a pequenas e médias empresas? Sim. As ferramentas Microsoft que implementam Zero Trust estão disponíveis em planos do Microsoft 365 Business e Enterprise, permitindo que empresas de diferentes portes adotem os controles de acordo com o nível de risco e complexidade do ambiente.

Quanto tempo leva para implementar Zero Trust? Depende da maturidade do ambiente atual. O processo começa com um diagnóstico dos controles existentes, identificação de gaps e implementação gradual das políticas. Uma empresa que já opera no Microsoft 365 pode começar pelos controles de acesso condicional e autenticação multifator em poucas semanas.

Como a BHS implementa Zero Trust

A BHS conduz a implementação da arquitetura Zero Trust com profissionais certificados Microsoft, a partir de um diagnóstico do ambiente atual que mapeia identidades, dispositivos, políticas de acesso existentes e lacunas em relação aos princípios do modelo.

A partir desse diagnóstico, a BHS configura as políticas de acesso condicional no Microsoft Entra ID, implementa o gerenciamento de dispositivos via Microsoft Intune, ativa as políticas de DLP e proteção de dados no Microsoft Purview e estrutura o monitoramento contínuo com o Microsoft Defender.

Com mais de 30 anos de experiência em tecnologia, certificação ISO 27001 e equipe com dezenas de certificações Microsoft ativas, a BHS tem histórico comprovado em implementações de segurança para setores com requisitos regulatórios exigentes, incluindo o setor financeiro.

Quer avaliar o nível de maturidade Zero Trust do ambiente da sua empresa? Entre em contato com o time da BHS e fale com um especialista.