ZTNA vs NAC: o ZTNA pode substituir o NAC?
ZTNA substitui NAC? Entenda as diferenças técnicas entre ZTNA e NAC, quando se complementam e se o ZTNA da Fortinet pode substituir o FortiNAC.
A transformação digital acelerou a dissolução do perímetro tradicional de rede. Usuários remotos, aplicações em nuvem, workloads efêmeros e dispositivos não gerenciados tornaram o modelo clássico “usuário dentro = confiável” obsoleto. Nesse cenário, duas abordagens ganham protagonismo: NAC (Network Access Control) e ZTNA (Zero Trust Network Access).
A pergunta que muitas equipes de segurança fazem hoje é direta: o ZTNA pode substituir o NAC? E, indo além: o ZTNA da Fortinet pode substituir o FortiNAC?
1. O que é NAC (Network Access Control) – visão técnica
O NAC é um conjunto de mecanismos que controla o acesso inicial de dispositivos à rede, antes mesmo que qualquer tráfego de aplicação seja permitido. Seu foco é a identidade e postura do dispositivo no momento da conexão.
Componentes técnicos típicos do NAC
-
Autenticação de rede: 802.1X (EAP-TLS, PEAP), MAB, captive portal
-
Perfis de dispositivos: fingerprinting por DHCP, SNMP, RADIUS, LLDP
-
Avaliação de postura (posture check):
-
Sistema operacional
-
Patch level
-
Certificados
-
-
Ações de enforcement na camada de rede:
-
VLAN dinâmica
-
ACLs
-
Quarentena
-
Segmentação por switch/AP
-
Onde o NAC é insubstituível
-
Redes LAN e Wi-Fi corporativas
-
Ambientes OT/ICS, manufatura e mineração
-
Dispositivos IoT, médicos, industriais
-
Cenários onde o dispositivo precisa existir na rede, mesmo sem acesso a aplicações
Resumo: NAC controla quem e o que entra na rede.
2. O que é ZTNA (Zero Trust Network Access) – visão técnica
O ZTNA parte do princípio de que nenhum usuário ou dispositivo é confiável por padrão, mesmo após autenticação. O acesso é concedido por aplicação, de forma explícita, contextual e temporária.
Fundamentos técnicos do ZTNA
-
Identidade forte: IdP, MFA, certificados
-
Contexto dinâmico:
-
Usuário
-
Dispositivo
-
Localização
-
Risco
-
-
Microsegmentação por aplicação
-
Modelo application-centric, não network-centric
-
Túnel sob demanda, invisível à rede
Arquitetura típica de ZTNA
-
Usuário nunca “entra” na rede
-
A aplicação não é exposta publicamente
-
Políticas do tipo:
-
“Usuário X, do grupo Y, com dispositivo compliant, acessa apenas a aplicação Z”
-
Resumo: ZTNA controla quem acessa qual aplicação, quando e sob quais condições.
3. ZTNA substitui NAC? A resposta curta (e honesta)
Não. ZTNA não substitui NAC.
Mas pode substituir partes específicas do NAC, dependendo do caso de uso.
A confusão acontece porque ambos:
-
Trabalham com identidade
-
Avaliam contexto
-
Aplicam políticas de acesso
Mas atuam em camadas diferentes da pilha de segurança.
4. Comparação técnica direta: ZTNA vs NAC
| Dimensão | NAC | ZTNA |
|---|---|---|
| Camada principal | Rede (L2/L3) | Aplicação (L7) |
| Momento do controle | Antes de entrar na rede | Antes de acessar a aplicação |
| Foco | Dispositivo | Usuário + aplicação |
| IoT / OT | Excelente | Inadequado |
| Usuário remoto | Limitado | Excelente |
| Microsegmentação | VLAN / ACL | Por aplicação |
| Acesso sem rede | Não | Sim |
| Dependência de infraestrutura local | Alta | Baixa |
5. ZTNA da Fortinet pode substituir o FortiNAC?
Aqui a resposta exige precisão técnica.
Onde o ZTNA da Fortinet PODE substituir o FortiNAC
-
Acesso remoto a aplicações internas
-
Usuários híbridos e cloud-first
-
Substituição de VPNs tradicionais
-
Ambientes onde não há IoT/OT
-
Controle por aplicação, não por rede
Onde o ZTNA da Fortinet NÃO substitui o FortiNAC
-
Controle de acesso à rede local
-
Identificação de dispositivos desconhecidos
-
Segmentação por switch/AP
-
Ambientes industriais, hospitais, fábricas
-
Postura de dispositivos não autenticáveis
Conclusão técnica:
O ZTNA da Fortinet não substitui o FortiNAC, mas complementa.
6. Arquitetura ideal: NAC + ZTNA (modelo Zero Trust completo)
Modelo recomendado (camadas)
-
NAC
-
Controla quem entra na rede
-
Classifica e segmenta dispositivos
-
-
ZTNA
-
Controla o acesso às aplicações
-
Reduz superfície de ataque
-
-
Firewall NGFW
-
Inspeção L7
-
IPS, AV, SSL inspection
-
-
SOC / SIEM
-
Correlação e resposta
-
Esse modelo elimina confiança implícita em todas as camadas.
7. Quando escolher apenas ZTNA?
Você pode operar sem NAC se:
-
Não há rede LAN/Wi-Fi corporativa relevante
-
Não existem IoT/OT
-
Tudo é SaaS ou cloud
-
Usuários são 100% remotos
-
A empresa é application-centric
Exemplo típico:
-
Startup SaaS
-
Empresa distribuída
-
Ambientes VDI + cloud
8. Quando NAC é obrigatório?
NAC é inegociável se você tem:
-
Indústria, mineração, óleo e gás
-
Hospitais e dispositivos médicos
-
Campus corporativo
-
Redes Wi-Fi abertas ou BYOD
-
Requisitos regulatórios fortes
9. ZTNA não é “novo NAC” – é uma mudança de paradigma
Um erro comum é tentar usar ZTNA para:
-
Identificar IoT
-
Controlar acesso à rede física
-
Fazer segmentação L2/L3
ZTNA não foi desenhado para isso.
Ele resolve outro problema:
“Como permitir acesso seguro a aplicações sem confiar na rede?”
10. Conclusão: ZTNA substitui NAC?
Resposta final e técnica:
-
ZTNA não substitui NAC
-
ZTNA substitui VPNs
-
ZTNA complementa NAC
-
Juntos, formam um Zero Trust real
Empresas maduras não escolhem entre ZTNA ou NAC.
Elas integram ambos para cobrir rede, usuário, dispositivo e aplicação de ponta a ponta.
Se sua empresa busca implementar um projeto de ZTNA Fortinet de forma segura e eficiente, a Forti Firewall conta com especialistas prontos para desenhar, implantar e operar a solução ideal para o seu ambiente. Fale com nosso time e leve sua estratégia Zero Trust para o próximo nível.