Setor público 
A Cybersecurity Maturity Model Certification (CMMC) é uma estrutura do Departamento de Defesa dos EUA (DoD) criada para que as organizações que lidam com informações federais
Publicado em abril 15, 2026
A confiança zero é uma estrutura de cibersegurança construída com base no princípio de “nunca confiar, sempre verificar”, significando que cada usuário, dispositivo e sessão deve ser continuamente verificado para que o acesso seja concedido e mantido. Em ambientes federais, a confiança zero é especialmente crítica porque contas privilegiadas podem fornecer acesso a sistemas, infraestrutura e dados sensíveis. As agências governamentais podem reforçar a segurança de confiança zero ao adotar uma plataforma de segurança de identidade com Gerenciamento de Acesso Privilegiado (PAM), que autentica continuamente as solicitações de acesso, impõe o acesso de menor privilégio e oferece visibilidade em tempo real sobre atividades privilegiadas.
Continue lendo para saber como as agências podem garantir acesso privilegiado com uma plataforma de segurança de identidade e como o Keeper® aplica princípios de confiança zero para proteger o acesso em ambientes federais e corporativos.
Por que a segurança de confiança zero é importante para agências governamentais
A segurança de confiança zero não é mais apenas uma recomendação para agências governamentais; é uma exigência federal. A diretriz do presidente dos Estados Unidos Executive Order 14028, emitida em 2021, orientou as agências a modernizarem suas práticas de cibersegurança, incluindo a adoção de uma arquitetura de confiança zero. Em 2022, o gabinete de gestão e orçamento (Office of Management and Budget – OMB) emitiu o memorando M-22-09, ordenando que as agências civis federais estadunidenses cumpram requisitos específicos de segurança de confiança zero e os implementem em seus ambientes. O departamento de guerra (Department of War – DoW) norte-americano também divulgou sua Zero Trust Strategy em 2022, descrevendo o plano de implementar integralmente, até setembro de 2027, uma estrutura de cibersegurança de confiança zero em toda a organização. À medida que o DoW avança para a implementação, ainda existem lacunas em torno da visibilidade dos dados, da governança de identidade (especialmente para identidades não humanas (NHIs) e agentes de IA) e da aplicação de confiança zero em sistemas legados e operacionais. Essas diretrizes e estratégias demonstram uma mudança da segurança tradicional baseada em perímetro para um modelo centrado em dados.
Como os ambientes federais agora estão distribuídos entre sistemas locais, híbridos e em nuvem, é essencial verificar continuamente cada usuário, dispositivo e sessão. Os sistemas federais dão suporte a serviços públicos, operações de segurança nacional e dados sensíveis, o que significa que uma única conta privilegiada comprometida pode levar a movimentação laterais, interrupções operacionais ou acesso não autorizado a informações confidenciais. A confiança zero ajuda as agências a reduzir riscos, impor controles de acesso granulares e cumprir os requisitos federais em grande escala.
Os pilares da confiança zero em ambientes federais
A agência de segurança cibernética e de infraestrutura (Cybersecurity and Infrastructure Security Agency – CISA) define o conceito de confiança zero por meio de cinco pilares no seu modelo de maturidade da confiança zero. Saiba como o PAM desempenha um papel em todos os cinco pilares da confiança zero:
| Pillar of zero trust | What it means for federal agencies | How PAM supports it |
|---|---|---|
| Identity | Verify employees, third-party vendors, contractors, machines and AI agents before granting access | Enforces strong authentication and time-limited, role-based access |
| Devices | Ensure both government-issued and personal endpoints are trusted before granting access | Restricts privileged access on unmanaged or unfamiliar devices |
| Networks | Secure access beyond traditional perimeter-based models | Works with Zero-Trust Network Access (ZTNA) to secure identity-based connections |
| Applications and workloads | Protect access across on-premises, hybrid and cloud systems | Secures sessions and enables credential injection |
| Data | Secure sensitive and classified data | Enforces least privilege and logs all privileged activity |
Desafios enfrentados por agências federais ao adotar o princípio de confiança zero
Implementar a confiança zero em ambientes federais é complexo devido a sistemas legados, requisitos de conformidade rigorosos e infraestrutura distribuída.
Sistemas legados limitam a autenticação moderna
Muitas agências ainda dependem de sistemas legados que não têm suporte para a autenticação moderna, como autenticação multifator (MFA). A atualização desses sistemas pode ser difícil e arriscada, pois as mudanças podem interromper operações críticas. Por exemplo, sistemas que dão suporte a registros de cidadãos ou processamento de benefícios costumam ser executados em uma infraestrutura local antiga que não se integra facilmente aos controles modernos, criando lacunas de segurança exploráveis.
Requisitos de conformidade complexos
Nos Estados Unidos, as organizações federais devem cumprir marcos regulatórios como a Federal Information Security Modernization Act (FISMA) e atender aos requisitos de autenticação informados pela NIST Special Publication 800-63B. Organizações e provedores de serviços na área da defesa também devem cumprir a certificação do modelo de maturidade de cibersegurança (Cybersecurity Maturity Model Certification – CMMC), que se aplica a quem protege informações não confidenciais controladas (Controlled Unclassified Information – CUI) sob contratos do DoW. A comprovação do acesso de menor privilégio e a manutenção de trilhas de auditoria costumam ser processos manuais e tediosos que demandam tempo e recursos significativos.
Ambientes descentralizados e multinuvem
Os ambientes de TI federais são muito descentralizados, abrangendo plataformas locais e em nuvem, com usuários remotos e fornecedores terceirizados distribuídos por diversas regiões. Essa arquitetura sem perímetro dificulta a aplicação de controles de acesso consistentes e a manutenção da visibilidade entre as cadeias de suprimentos, aumentando o risco de configurações incorretas e acessos não autorizados.
Credenciais privilegiadas não gerenciadas aumentam o risco
As credenciais privilegiadas concedem acesso a sistemas críticos, incluindo infraestrutura de serviços públicos, sistemas financeiros e plataformas de identidade. Se comprometidas, elas podem permitir que os cibercriminosos movimentem-se lateralmente e acessem dados sensíveis, como registros de cidadãos ou informações de saúde. Sem controles adequados, contas privilegiadas comprometidas com amplo acesso administrativo podem colocar em risco a segurança de sistemas críticos e dados sensíveis.
Benefícios de uma solução PAM de confiança zero para agências governamentais
Embora a confiança zero exija que usuários e dispositivos sejam continuamente verificados, o PAM garante que o acesso privilegiado seja monitorado de perto, controlado e limitado. Os principais benefícios da implementação de uma solução PAM de confiança zero em ambientes federais incluem:
- Reduzir a superfície de ataque eliminando o acesso permanente: conceda acesso somente quando necessário e por um período limitado com privilégios de permanência zero (ZSP), minimizando o número de contas exploráveis.
- Evitar violações baseadas em credenciais com controles de acesso granulares: imponha o acesso de menor privilégio, proteja as credenciais privilegiadas e reduza o risco de roubo de credenciais e movimentação lateral.
- Alcançar conformidade contínua com visibilidade em tempo real: tenha monitoramento centralizado de sessões, trilhas de auditoria e relatórios de acordo com os requisitos da FISMA, NIST e CMMC.
- Melhorar a eficiência operacional com gerenciamento centralizado de acesso: otimize a aplicação e o provisionamento de políticas, reduzindo processos manuais e o risco de erro humano.
- Proteger ambientes híbridos e multinuvem: aplique controles de acesso e visibilidade uniformes em sistemas locais, híbridos e na nuvem.
Como o Keeper possibilita a segurança de confiança zero para agências federais
Ao consolidar o gerenciamento de senhas corporativas, gerenciamento de segredos, gerenciamento de sessões privilegiadas e gerenciamento de privilégios de endpoint em uma plataforma nativa em nuvem com autorização FedRAMP High, o Keeper permite que as agências protejam sistemas críticos e controlem o acesso privilegiado em toda a cadeia de suprimentos.
Imponha confiança zero em sistemas legados e modernos
Muitas organizações federais dependem de uma combinação de sistemas legados e modernos, o que dificulta a aplicação consistente de medidas de segurança. O Keeper resolve isso por meio de intermediação de sessões criptografadas pelo Keeper Gateway, permitindo acesso seguro sem expor credenciais nem exigir alterações na infraestrutura. Além disso, as agências podem impor MFA em todos os sistemas, incluindo ambientes legados que não têm suporte nativo, mantendo as credenciais ocultas dos usuários finais. Isso permite que organizações federais apliquem controles de confiança zero a sistemas legados obsoletos sem interromper as operações.
Implemente privilégios mínimos com acesso Just-in-Time (JIT)
O Keeper oferece suporte à segurança de confiança zero ao impor o acesso de menor privilégio por meio do provisionamento Just-in-Time (JIT). Em vez de conceder acesso contínuo, os privilégios são atribuídos com base na função e no contexto por um período limitado e são revogados automaticamente quando deixam de ser necessários. Isso ajuda a eliminar o acesso permanente, reduzir o risco de ameaças internas e minimizar as oportunidades de os cibercriminosos explorarem contas privilegiadas.
Simplifique a conformidade com o gerenciamento de sessões privilegiadas
O Keeper oferece monitoramento e gravação de sessões privilegiadas, capturando a atividade da tela e do teclado para total visibilidade. As organizações devem verificar se as práticas de gravação de sessão estão alinhadas com as políticas aplicáveis da agência e com os requisitos federais de monitoramento da força de trabalho antes da implantação. Todas as atividades privilegiadas são registradas e podem ser integradas com ferramentas SIEM. O KeeperDB estende os controles de confiança zero ao acesso a bancos de dados por meio de injeção de credenciais. Os usuários se conectam a bancos de dados diretamente do Cofre do Keeper sem que as credenciais subjacentes sejam expostas. Isso ajuda as agências federais a proteger dados sensíveis e a garantir a conformidade com FISMA, NIST SP 800-53 e CMMC.
Reforce o acesso à rede de confiança zero (ZTNA)
O Keeper amplia o acesso seguro, permitindo conexões baseadas em identidade sem as tradicionais redes privadas virtuais (VPNs). O Keeper substitui as soluções tradicionais de acesso à rede de confiança zero (ZTNA), permitindo que as agências garantam que os usuários estejam autenticados e autorizados antes de acessar os sistemas de qualquer local. Quando combinado com o PAM, o ZTNA garante tanto o acesso seguro quanto o controle rigoroso das ações do usuário dentro dos sistemas.
Estenda a confiança zero para endpoints
A segurança de confiança zero deve ir além da infraestrutura para incluir dispositivos. O Gestor de Privilégios de Endpoints do Keeper impõe privilégios mínimos no nível do endpoint em sistemas Windows, macOS e Linux. Ao remover direitos administrativos amplos e persistentes e habilitar a elevação de privilégios baseada em tarefas, as agências podem minimizar o risco de ameaças internas e prevenir alterações não autorizadas.
Detecte ameaças em tempo real com o KeeperAI
O KeeperAI analisa sessões privilegiadas em tempo real utilizando análises comportamentais avançadas para detectar atividades suspeitas e classificar os níveis de risco. Administradores podem configurar respostas automatizadas, incluindo o encerramento da sessão, com base em limites de risco definidos, com controles implementados para minimizar falsos positivos e permitir a revisão humana. Quando uma atividade de alto risco é detectada, o KeeperAI pode encerrar automaticamente uma sessão antes que potenciais ameaças cibernéticas aumentem, ajudando organizações federais a responder mais rapidamente a incidentes de segurança e minimizar o impacto dos ataques cibernéticos.
Melhore a cibersegurança federal com o Keeper
As diretrizes EO 14028 e OMB M-22-09 estabeleceram a confiança zero não como uma prática recomendada, mas como uma obrigação federal nos Estados Unidos. Para atender a essas exigências em infraestruturas legadas, ambientes de nuvem distribuídos e um cenário de conformidade complexo, é necessária uma plataforma desenvolvida especificamente para a segurança federal. O Keeper tem autorização FedRAMP High e é projetado para os ambientes federais e corporativos atuais, permitindo que as agências imponham privilégios mínimos e garantam acesso seguro em infraestruturas legadas e em nuvem. Para saber como o Keeper pode ajudar sua agência a impor a segurança de confiança zero e ter visibilidade em tempo real sobre atividades privilegiadas, solicite uma demonstração.
