VPN vs ZTNA: qual tecnologia de acesso remoto usar em 2025?

O problema que as duas resolvem

Tanto VPN quanto ZTNA existem para permitir que usuários fora da rede corporativa acessem recursos internos com segurança. A diferença fundamental está em o que é concedido após a autenticação.

A VPN tradicional concede acesso à rede — o usuário remoto se torna parte da rede interna e pode, em princípio, alcançar qualquer recurso nela. O ZTNA concede acesso apenas à aplicação específica solicitada — nada mais é acessível, independentemente de onde o usuário está na rede.

VPN tradicional: pontos fortes e limitações

A VPN SSL (e IPsec) é uma tecnologia madura, amplamente compreendida e suportada pelo FortiGate com excelente performance. Seus pontos fortes são:

Simplicidade: o usuário instala o FortiClient, autentica uma vez e tem acesso transparente a todos os recursos autorizados — exatamente como estar no escritório. Nenhuma configuração por aplicação é necessária.

Compatibilidade universal: qualquer aplicação que funcione na rede local funciona via VPN — sem adaptações, sem exceções. Aplicações legadas, RDP, compartilhamentos de arquivo, sistemas ERP antigos — todos compatíveis.

Limitações: o acesso à rede inteira significa que um dispositivo comprometido tem acesso amplo a recursos internos. Não há verificação contínua de postura — uma vez autenticado, o usuário permanece conectado até a sessão expirar.

ZTNA: acesso por aplicação com verificação contínua

O ZTNA (Zero Trust Network Access) muda o modelo de acesso à rede para acesso por aplicação. Cada solicitação de acesso é avaliada individualmente com base em três fatores:

Identidade do usuário: quem está solicitando acesso? Verificado via FortiAuthenticator, Active Directory ou IdP externo com MFA.

Postura do dispositivo: o dispositivo está em conformidade? Sistema operacional atualizado, antivírus ativo, certificado de dispositivo válido emitido pelo FortiClient EMS.

Contexto da solicitação: o usuário está autorizado a acessar essa aplicação específica, neste horário, a partir desta localização?

Se todos os critérios são atendidos, o acesso à aplicação é liberado. Se a postura do dispositivo mudar durante a sessão (antivírus desativado, patch crítico pendente), o acesso pode ser suspenso automaticamente.

Comparativo direto: VPN vs ZTNA

Granularidade de acesso: VPN concede acesso à rede inteira (ou sub-rede); ZTNA concede acesso por aplicação individual.

Verificação de postura: VPN verifica na conexão inicial (com FortiClient EMS); ZTNA verifica continuamente durante toda a sessão.

Compatibilidade com aplicações legadas: VPN suporta qualquer protocolo; ZTNA cobre principalmente HTTP/HTTPS, RDP e SSH nativamente.

Complexidade de configuração: VPN é mais simples de configurar inicialmente; ZTNA exige FortiClient EMS e definição de regras por aplicação.

Experiência do usuário: VPN é transparente após a conexão; ZTNA pode exigir acesso via portal para aplicações não agentless.

Adequação ao Zero Trust: VPN é incompatível com Zero Trust por design; ZTNA é o modelo nativo de acesso Zero Trust.

Quando usar cada um

Use VPN quando: a equipe acessa aplicações legadas ou protocolos não-HTTP, o ambiente não tem FortiClient EMS implantado, a simplicidade operacional é prioridade, ou a migração para ZTNA está planejada mas ainda não executada.

Use ZTNA quando: as aplicações acessadas remotamente são principalmente web, RDP ou SSH, há preocupação com dispositivos comprometidos tendo acesso amplo à rede, o ambiente precisa de conformidade com modelos Zero Trust (ISO 27001, NIST), ou a empresa tem força de trabalho remota significativa e permanente.

Use os dois em paralelo: esta é a abordagem mais comum durante a transição. VPN para aplicações legadas e casos de uso simples; ZTNA para as aplicações críticas onde verificação de postura e acesso mínimo são obrigatórios. O FortiGate suporta os dois simultaneamente.