Abrir um único túnel VPN para a rede corporativa antes bastava. Hoje não. Os usuários se conectam de qualquer lugar, as aplicações estão em todo lugar — no data center, na nuvem, em SaaS — e um único túnel VPN dá acesso demais a quem quer que faça login. Prestadores precisam de acesso de curta duração a aplicações específicas. O help desk precisa alcançar alvos RDP ou SSH internos sem distribuir cliente. As equipes de segurança querem ver quem acessa o quê e revogar o acesso no nível da aplicação, não da rede.
A resposta moderna do setor foi o Zero Trust Access. Mas os dois caminhos têm um preço. A maioria das plataformas ZTNA pure-play é cloud-only — seu tráfego e suas decisões de identidade são levados para o edge de outra pessoa. Já os fabricantes tradicionais de ADC on-prem oferecem o ZTA como um módulo separado e caro acoplado ao balanceador de carga: motor de política próprio, curva de aprendizado própria, licença própria.
TR7 coloca o acesso na plataforma que já entrega e protege suas aplicações. Mesmo modelo de vService, mesmo console de operador, mesma trilha de auditoria; somando dois modos de operação nomeados, protocolos de gateway pelo navegador e VPN baseada em padrões. Sem um módulo licenciado à parte, sem terceiros na rede no caminho do seu fluxo de login.
Cada um tem valor por si só. Juntos, definem como é um acesso zero trust que não depende da nuvem de outra pessoa e não aparece como linha à parte na fatura.
A maioria das plataformas ZTA modernas é SaaS. Suas decisões de identidade, seu tráfego de sessão e seus logs de auditoria vivem na rede deles. TR7 roda no seu próprio hardware. Logins, verificações de posture, sessões e logs permanecem onde sua política de segurança já vale.
Modo A — Per-Service Authentication: login e SSO são vinculados a uma aplicação existente. Um serviço, um wrapper de autenticação; ao fazer login, o usuário vai direto para a aplicação. Modo B — Portal de Acesso com Marca: um portal independente, white-label, com seu próprio listener. O usuário faz login uma vez e vê no launchpad todas as aplicações que está autorizado a usar. Cada modo tem sua própria interface; escolha o que se ajusta ao deploy ou rode os dois juntos.
Equipes internas alcançam alvos RDP, SSH e VNC direto da aba do navegador. Sem instalação de cliente, sem túnel VPN no endpoint, sem software nativo que exija manutenção. As sessões são tuneladas e auditadas centralmente; a revogação de acesso vale na próxima requisição.
Outras plataformas on-prem vendem um módulo para acesso, outro para balanceamento de carga, outro para WAF, outro para VPN. TR7 entrega tudo no mesmo motor, num único console de operador e numa única visão de auditoria. A transição de "temos VPN" para "temos acesso zero trust" acontece dentro do mesmo produto.
IKEv2 e SSL VPN rodam sobre padrões que todo sistema operacional moderno já fala — usuários de iOS, Android, Windows e macOS não baixam um aplicativo, apenas adicionam um perfil de VPN. OAuth 2.0, OIDC, SAML, LDAP e RADIUS têm suporte nativo. Sinais de segurança do endpoint (dispositivo conhecido, posture atualizada, status de conformidade) alimentam continuamente as decisões de acesso; uma sessão que começou confiável pode ser reavaliada e restringida se o contexto mudar.
Cada capacidade abaixo vem como parte da mesma plataforma que entrega e protege suas aplicações.
Vincula login e SSO a um serviço HTTP existente. A aplicação permanece no lugar; TR7 fica na frente e aplica autenticação, MFA e política. Um serviço, um wrapper de autenticação; ao fazer login, o usuário passa direto para a aplicação. Adequado quando cada aplicação tem uma URL estável e você quer implantar com a menor mudança possível.
Um portal independente, com seu próprio listener e sua própria marca. Após o login, os usuários veem o launchpad de cada aplicação que estão autorizados a usar — aplicações web internas, SaaS, sessões RDP/SSH/VNC. Um portal, muitos backends. Adequado quando há lógica operacional para um único ponto de entrada consolidado.
Acesso a alvos RDP, SSH e VNC internos pelo navegador. Sem cliente nativo no endpoint, sem túnel VPN no dispositivo. As sessões são tuneladas e auditadas centralmente; uma única ação de revogação encerra todas as sessões ativas.
VPN baseada em padrões rodando na mesma plataforma. SSL VPN para túnel completo ou dividido; IPsec IKEv2 para site-to-site ou acesso remoto com criptografia forte. Especialmente forte no mobile: iOS e Android falam IKEv2 nativamente, e o usuário adiciona um perfil de VPN nas configurações em vez de instalar um aplicativo — sem carga de distribuição, atualização ou manutenção. Windows e macOS funcionam da mesma forma pelos clientes de VPN embutidos. Encaixa-se naturalmente em cenários de Dispositivo Pessoal (BYOD).
Suporte nativo a OAuth 2.0, OIDC, SAML, LDAP e RADIUS. Conecta-se aos seus IdPs existentes — Azure AD, Okta, ADFS, Google Workspace, OneLogin — sem ponte de protocolo.
MFA é aplicado na borda de acesso. Quando o contexto da requisição muda — país diferente, dispositivo diferente, aplicação mais sensível — a autenticação escalonada (step-up) é acionada.
Uma sessão que começa confiável não permanece confiável por padrão. Posture do endpoint, geografia, saúde do dispositivo e anomalias de sessão são reavaliadas ao longo da sessão. Se o contexto mudar, o acesso pode ser restringido ou revogado no meio da sessão.
Em implantações em que os usuários estão em dispositivos gerenciados pela camada de segurança de endpoint do TR7, os sinais de confiança do dispositivo (dispositivo conhecido, posture atualizada, conformidade) alimentam a política de acesso. Endpoints não gerenciados passam por inspeção completa.
As sessões SSH que alcançam alvos internos pelo gateway são registradas no nível de comando — cada comando digitado, cada resposta recebida. A trilha de auditoria fica pronta para investigação; sem necessidade de um produto PAM separado.
Cada aplicação tem sua própria política de acesso: identidade, posture do dispositivo, horário do dia, geografia, força do MFA. O usuário que alcança o CRM não é automaticamente autorizado no banco de dados. O movimento lateral fica limitado ao escopo que cada aplicação autoriza explicitamente.
As aplicações atrás do TR7 não são acessíveis diretamente. Varreduras de descoberta, port sweeps e ataques pré-autenticação veem o TR7, não suas aplicações. A superfície de ataque diminui sem alterar o código da aplicação.
Políticas de acesso, fluxos de autenticação e regras condicionais são montados no mesmo flow builder visual usado no restante da plataforma. Sem linguagem de política proprietária; sem necessidade de certificação do fabricante para alterar uma regra.
Eventos de acesso, tráfego do ADC, detecções do WAAP e sinais de DDoS compartilham uma única visão de operador e uma única trilha de auditoria. As exportações para SIEM usam a mesma taxonomia do restante da plataforma.
Ambos os modos entregam Zero Trust Access. A diferença está no esforço do operador e na experiência do usuário final. Podem rodar lado a lado.
Uma aplicação, um wrapper de autenticação. A aplicação mantém sua URL existente; TR7 fica na frente e aplica autenticação, MFA, posture e política. Os usuários caem direto na aplicação após o login. Adequado quando cada aplicação tem uma URL estável e você quer implantar com a menor mudança possível.
Um portal, muitos backends. Um portal independente, white-label, com seu próprio listener. Os usuários fazem login uma vez e veem no launchpad cada aplicação que estão autorizados a usar. Adequado quando um ponto de entrada consolidado faz sentido operacional ou quando você quer um launchpad de aplicações.
Os dois modos podem rodar ao mesmo tempo. Algumas aplicações ficam encapsuladas com per-service auth, outras são acessadas pelo portal. Mesmas políticas de identidade, mesmos sinais de endpoint, mesma trilha de auditoria.
Sessões RDP, SSH e VNC podem ser oferecidas em ambos os modos — como uma URL per-service encapsulada ou como um bloco do launchpad do portal. A experiência no navegador é a mesma; só muda o enquadramento operacional.
SSL VPN e IPsec VPN continuam rodando ao lado dos dois modos. Útil no período de transição: os usuários migram da VPN para o acesso por aplicação ou por portal no cronograma que você definir.
Qualquer que seja o modo escolhido, o objeto de configuração é um vService. Verificações de saúde, regras de tráfego, observabilidade e modelo de largura de banda se comportam da mesma forma. É o mesmo motor que entrega suas demais aplicações.
Tire os usuários do túnel VPN plano e leve-os ao acesso por aplicação — sem uma mudança radical. A SSL VPN continua funcionando; as equipes migram gradualmente para o Per-Service Auth ou para o Portal com Marca.
Usuários externos recebem acesso de curta duração e com escopo a aplicações específicas. Não é preciso dispositivo corporativo nem instalação de cliente VPN; eles fazem login no portal e veem apenas aquilo que estão autorizados a usar.
As equipes de operação alcançam alvos RDP, SSH e VNC internos pela aba do navegador. Cada sessão é tunelada e auditada; quando o acesso de um prestador é revogado, todas as suas sessões ativas encerram imediatamente.
Políticas por aplicação vinculadas a MFA, posture do dispositivo e auditoria no nível da sessão. Logs de comando SSH no nível PAM atendem aos requisitos regulatórios e de auditoria interna sem necessidade de um produto PAM separado.
As regras de residência de dados proíbem que o tráfego de identidade e sessão deixe a rede. A implantação on-prem mantém cada decisão de autenticação, sessão e log de auditoria sob controle local.
Duas organizações, dois provedores de identidade, dois catálogos de aplicações. O Portal de Acesso com Marca se torna uma única porta de entrada enquanto a integração avança — os usuários veem um único launchpad, mesmo com o trabalho de identidade no backend ainda em curso.
Capacidades referenciadas por esta solução — as peças técnicas que compõem os controlos descritos acima.
Gerencie o acesso VPN não como uma exceção de rede isolada, mas como parte da política de identidade e confiança de dispositivo do AAM.
Acesso pelo navegador a RDP, VNC, SSH, Kubernetes e sistemas legados — cofre de credenciais, gravação e watermark já incluídos.
Três métodos de MFA, política baseada em serviço, atalho de dispositivo confiável — sem nuvem de MFA de terceiros.
Um único motor de fluxo determina cada resultado de autenticação — quem, o quê, após qual fator, em qual contexto.
A confiança conquistada no login não é carregada para sempre. Cada sessão permanece sob avaliação, a cada passo.
SP SAML conforme aos padrões — IdPs corporativos, federação de identidade governamental e roteamento por tenant; coordenado com MFA, acesso condicional e confiança de dispositivo.
Relying party OIDC conforme aos padrões — código de autorização com PKCE, tokens de identidade verificados via JWKS, defesas de nonce e state, roteamento de IdP por tenant.
Seu diretório corporativo já existe; o TR7 AAM não o copia, conecta-se a ele e transforma a pertinência a grupos em política de acesso.
Conecte toda fonte de identidade além de SAML e OIDC ao mesmo fluxo de acesso e auditoria.
Extraia o certificado de cliente do controle de conexão e transforme-o em um objeto de identidade que orienta as decisões de tráfego.
Conecte serviços sem fundir redes — gerencie planos de IP sobrepostos e isolamento de tenant com um único modelo vService.
Detenha tentativas de credential stuffing, força bruta e sequestro de sessão com base em decisão de risco combinada — não em um único sinal.
Três estágios de fricção graduada — avisar, desafiar, bloquear — em escopos de IP, nome de usuário ou ambos. CAPTCHA auto-hospedado, sem nuvem externa.
Proteja a sessão sob um único policy graph, da geração do Session ID à segurança de cookie, do controle de bind IP+UA à gestão de idle e absolute timeout.
O pillar do add-on ETM integrado ao AAM: a postura do dispositivo torna-se o sinal vivo da decisão de acesso.
UX de login com marca por gateway, com herança de template. Um template separado para cada marca, tenant ou aplicação; sem servidor web separado.
Autenticação moderna na frente, identidade injetada downstream como header, Authorization ou cookie — aplicações legadas permanecem legadas.
Fluxos de alteração, esqueci e redefinição em um único motor — token de uso único, mascaramento do destinatário, auditoria a cada passo.
Solicite uma demo ao vivo do TR7 Zero Trust Access. Percorremos os dois modos de operação, abrimos uma sessão RDP ao vivo pelo navegador e mostramos como o mesmo motor de política gerencia SSL VPN, autenticação por aplicação e portal de acesso de um único lugar.