Zero Trust na prática: o que o NIST SP 800-207 realmente exige da sua rede

Zero Trust virou palavra de marketing. Quase todo fabricante vende "solução Zero Trust" — e quase nenhuma corresponde ao que o NIST SP 800-207, o documento oficial publicado pelo NIST, define como Zero Trust de verdade. Este artigo é o filtro entre o que é doutrina e o que é slide de vendas.

O que o NIST SP 800-207 diz, em uma frase

Zero Trust é um conjunto de princípios de design em que a confiança nunca é implícita. Cada acesso a cada recurso é avaliado de forma contínua, dinâmica e com o menor privilégio possível, considerando identidade, postura do dispositivo, contexto e risco — independentemente de o usuário estar dentro ou fora do perímetro corporativo.

Os 7 princípios oficiais (resumo)

Todas as fontes de dados e serviços de computação são consideradas recursos.
Toda comunicação é protegida, independentemente da localização da rede.
O acesso a recursos individuais é concedido por sessão.
O acesso é determinado por política dinâmica — identidade, aplicação, postura do dispositivo, comportamento e atributos ambientais.
A organização monitora e mede a integridade e a postura de segurança de todos os ativos.
Toda autenticação e autorização é dinâmica e estritamente aplicada antes do acesso.
A organização coleta o máximo possível de informação sobre o estado atual dos ativos, infraestrutura e comunicação, e usa isso para melhorar a postura de segurança.

Componentes da arquitetura (PE, PA, PEP)

O documento descreve um plano lógico simples e poderoso:

Policy Engine (PE) — decide. Avalia regras + telemetria + contexto e emite uma decisão de acesso.
Policy Administrator (PA) — executa a decisão. Cria, mantém ou encerra a sessão entre o solicitante e o recurso.
Policy Enforcement Point (PEP) — aplica. Fica no caminho dos dados, abre/fecha o acesso conforme o PA orienta.

Em uma rede Cisco real, o PE/PA tipicamente vive em algo como o ISE integrado a SIEM/EDR; os PEPs são switches, controladores wireless, firewalls (Secure Firewall), proxies (Umbrella/Secure Access) e gateways de aplicação.

O que NÃO é Zero Trust (mesmo que o vendor diga que é)

VPN tradicional que entrega "acesso à rede inteira" depois do login. Isso é perímetro disfarçado.
MFA isolado, sem avaliação de postura do dispositivo.
Microssegmentação puramente baseada em VLAN/IP. Zero Trust pede identidade como dimensão primária.
"Confiança implícita por estar no escritório". A regra do NIST é explícita: localização não é critério de confiança.

Roadmap de implementação realista

Inventário e classificação — você não protege o que não conhece. Liste recursos, donos, criticidade.
Identidade forte e centralizada — IdP único, MFA universal, ciclo de vida de conta automatizado.
Postura do dispositivo — telemetria de EDR, compliance de patch, criptografia em disco, antes de qualquer acesso sensível.
Microssegmentação por identidade — TrustSec/SGT, identidade-aware proxies, segmentação de aplicação.
Política dinâmica e telemetria — decisões reavaliadas durante a sessão, não só no login.
Reduzir progressivamente a VPN — substituir acesso amplo por acesso por aplicação (ZTNA).

Como reforçar isso sem depender só de teoria

Zero Trust quebra muito mais por operação errada do que por arquitetura errada. ACLs mal escritas, políticas conflitantes em ISE, integração frágil entre IdP e PEP. A TechLeague não vende simulado de prova; o que ela faz é colocar o engenheiro em desafios reais de segmentação, AAA, NAC e troubleshooting cronometrado, em ranking público. Quem treina assim toda semana entrega Zero Trust real, não apresentação de slide.

Próximo passo

Baixe o NIST SP 800-207 oficial, leia a seção 2 (princípios) e a seção 3 (componentes). Depois mapeie sua rede contra esses 7 princípios — você vai ver imediatamente onde está a dívida técnica. Para treinar segmentação e NAC sob pressão, conheça os torneios práticos da TechLeague.