A Office of Management and Budget publicou a estratégia federal de zero trust dos Estados Unidos, formalizada no memorando M-22-09. O documento exige que agências federais avancem para objetivos específicos de arquitetura dentro do prazo definido pelo governo, em resposta a ameaças persistentes, incidentes de supply chain e limitações do modelo tradicional baseado em perímetro.1

O texto assume uma premissa que já se tornou familiar para equipes de segurança: rede interna não deve equivaler a confiança. Em vez de proteger uma borda e presumir que o tráfego interno é legítimo, zero trust pede verificação contínua de usuários, dispositivos, aplicações e dados. A diferença, neste caso, é a transformação dessa arquitetura em política pública com prazos, responsáveis e cobrança executiva.

Identidade vem antes do perímetro

O memorando organiza a estratégia em cinco pilares: identidade, dispositivos, redes, aplicações e workloads, além de dados. Essa divisão ajuda a tirar zero trust do campo do slogan. A agência precisa saber quem acessa, a partir de qual dispositivo, em que condição, por qual aplicação, para qual dado e com qual nível de autorização.

Na prática, identidade forte passa a ser ponto de partida. Contas corporativas centralizadas, autenticação multifator resistente a phishing e políticas de acesso mais granulares reduzem a dependência de VPN como fronteira principal. Isso é especialmente importante no setor público, onde sistemas legados, fornecedores externos e trabalho remoto ampliam a variedade de caminhos de acesso.

Dispositivos também entram na equação. Não basta autenticar a pessoa se o endpoint está fora de gestão, sem postura de segurança conhecida ou sem telemetria. O programa exige que agências consigam rastrear e monitorar dispositivos usados no acesso federal. O acesso passa a depender de contexto, não apenas de senha correta.

Metas tornam arquitetura um programa

O ganho do M-22-09 está na linguagem de execução. A OMB não apresenta zero trust como produto único a ser comprado. O documento descreve objetivos para segmentação, criptografia, inventário, segurança de aplicações, logs e governança de dados. Isso pressiona agências a montar programa, orçamento, liderança e métricas, em vez de apenas renomear controles existentes.

Há desafios previsíveis. Sistemas antigos podem não suportar autenticação moderna, criptografia consistente ou telemetria rica. Bases de dados muitas vezes foram desenhadas com confiança implícita em redes internas. Aplicações terceirizadas podem depender de padrões de acesso que não se encaixam em políticas adaptativas. A estratégia, portanto, cria tanto uma agenda técnica quanto uma agenda de modernização.

Também existe uma consequência para fornecedores. Quem vende software, nuvem, consultoria, identidade, observabilidade ou serviços gerenciados ao governo federal passa a operar dentro de um vocabulário mais exigente. Integração com logs, suporte a autenticação forte, controles de sessão, criptografia e separação de privilégios deixam de ser diferenciais e viram condições de participação.

A OMB comunicou a estratégia como parte da implementação da ordem executiva de cibersegurança do governo Biden.2 O recado é claro: ataques recentes mostraram que perímetros são porosos demais para sustentar confiança ampla. A arquitetura federal passa a ser desenhada para reduzir movimento lateral, limitar dano e tornar cada acesso verificável.

  1. Office of Management and Budget, "M-22-09: Moving the U.S. Government Toward Zero Trust Cybersecurity Principles", 26 jan. 2022.
  2. The White House, "Office of Management and Budget releases federal strategy to move the U.S. government towards a zero trust architecture", 26 jan. 2022.