Zero Trust na prática com o criador John Kindervag e o CISO Jared Nussbaum
O que acontece quando a mente por trás do Zero Trust fica cara a cara com alguém que o testa todos os dias?
Foi exatamente isso que a Illumio trouxe para a etapa do RSAC 2025 — uma conversa rara e improvisada entre John Kindervag, criador do Zero Trust e evangelista-chefe da Illumio, e Jared Nussbaum, CISO da Ares Management e um profissional experiente que viveu a jornada do Zero Trust internamente.
John apresentou o modelo há 15 anos. Jared passou décadas ajudando empresas globais a adotá-la, adaptá-la e se recuperar de violações do mundo real. Juntos, eles revelaram onde o Zero Trust começou, como ele evoluiu e o que é preciso para fazê-lo funcionar no cenário atual de ameaças.
Aqui estão seis insights importantes de sua conversa que todo líder de segurança deve levar a sério.
1. Zero Trust é uma estratégia, não um produto
Embora muitos fornecedores tentem empacotar Confiança zero como ferramenta, isso não é preciso. É uma mudança estratégica na forma como pensamos em proteger ambientes digitais.
Durante a conversa, John foi claro: “Zero Trust é, antes de tudo, uma estratégia. É algo que você faz, não algo que você compra.”
Jared, falando da perspectiva do CISO, concordou. “Qualquer coisa que me ajude a obter visibilidade e reduzir o risco é uma vitória”, disse ele.
Mas ele acrescentou que o Zero Trust precisa começar com uma mentalidade e uma estratégia alinhadas aos resultados do negócio. Antes de usar ferramentas ou estruturas, as equipes de segurança precisam entender o que estão protegendo e Por que. Isso garante que os gastos com segurança sejam priorizados adequadamente e possam obter uma forte adesão do conselho.
“O Zero Trust é, antes de tudo, uma estratégia. É algo que você faz, não algo que você compra.”
— John Kindervag, criador do Zero Trust
2. A microssegmentação é fundamental
Para John, segmentação é fundamental para o Zero Trust. Na verdade, o segundo relatório já escrito sobre Zero Trust foi um que John escreveu há 15 anos, Inclua a segurança no DNA da sua rede: a arquitetura de rede Zero Trust.
No relatório, ele destacou a importância da segmentação e do gerenciamento centralizado como componentes essenciais do Zero Trust. Ele pediu a criação de novas formas de segmentar redes, porque todas elas precisarão ser segmentadas.

Na conversa, John enfatizou que as redes atuais devem ser segmentadas por padrão para evitar que os invasores se movam lateralmente quando obtiverem acesso. “Os atacantes são os donos e você paga as contas”, disse ele. “A segmentação é a base do Zero Trust.”
Jared ilustrou o impacto das redes não segmentadas com o exemplo do Violação de metas em 2013. Os atacantes obtiveram acesso por meio de um fornecedor terceirizado de HVAC e migraram para os sistemas de ponto de venda porque os limites adequados não estavam estabelecidos.
“A segmentação feita com fortes limites de segurança oferece visibilidade e controle”, disse ele. “Você não pode impedir que todos os atacantes entrem, mas você pode impedir que eles cheguem muito longe.”
3. Comece aos poucos com Zero Trust
Um dos maiores erros que John vê são as equipes tentando implantar o Zero Trust em toda a organização de uma só vez.
“As pessoas falham na Zero Trust porque tentam fazer tudo de uma vez”, explicou. “Você precisa começar aos poucos — uma superfície protegida por vez.”
Seu conhecido metodologia Zero Trust em cinco etapas enfatiza a construção de ambientes personalizados, gerenciáveis e sustentáveis:
- Defina a superfície de proteção. Identifique o que precisa de proteção, entendendo que a superfície de ataque está em constante evolução.
- Mapeie os fluxos de transações. Obtenha visibilidade dos fluxos de comunicação e tráfego para determinar onde os controles de segurança são necessários.
- Arquitete o ambiente Zero Trust. Quando a visibilidade completa for alcançada, implemente controles personalizados para cada superfície de proteção.
- Crie políticas de segurança Zero Trust. Desenvolva regras granulares que permitam o acesso do tráfego aos recursos dentro da superfície protegida.
- Monitore e mantenha a rede. Estabeleça um ciclo de feedback por meio da telemetria, melhorando continuamente a segurança e construindo um sistema resiliente e antifrágil.
Nussbaum viu a mesma coisa acontecer nos treinos. “As empresas têm dificuldades com o Zero Trust quando assumem muitas tarefas ao mesmo tempo”, disse ele. “Se você começar aos poucos, se alinhar com as partes interessadas da sua empresa e construir de forma incremental, o Zero Trust se tornará alcançável.”
Ele enfatizou a importância de entender o meio ambiente, definir metas claras e agregar valor com antecedência para criar impulso. Caso contrário, ele alerta que os projetos da Zero Trust podem se desintegrar rapidamente e prejudicar a postura de segurança de uma organização.
4. Identidade não é suficiente
Embora a identidade geralmente ocupe o centro das conversas do Zero Trust, John vem desafiando essa noção desde o início. “A identidade é apenas um sinal”, disse ele. “É sempre fungível. Você precisa de mais contexto para tomar boas decisões.”
Em outras palavras, confiar apenas na identidade introduz riscos. Isso ocorre porque ainda é possível que uma sessão seja invadida ou que uma identidade seja mal utilizada.
Jared reforçou a necessidade de olhar além das credenciais do usuário. “Você tem que verificar continuamente o usuário, seu dispositivo, onde está trabalhando, o que está acessando e se isso faz sentido”, disse ele.
Ele ressaltou que também não se trata apenas de pessoas. As comunicações entre cargas de trabalho também devem ser verificadas e controladas. “Sem um contexto completo, você não pode aplicar uma política eficaz.”
Ferramentas de observabilidade de IA, como Illumio Insights forneça o tipo de contexto profundo que a segurança moderna exige. Eles ajudam você a contextualizar seus ambientes para entender o comportamento, identificar anomalias e avaliar riscos com base em como as coisas deveriam funcionar versus o que realmente está acontecendo.
5. Enquadre o risco cibernético em termos comerciais
John descreveu o Zero Trust como “a grande estratégia da cibersegurança”. Ele apontou sua crescente adoção entre governos e empresas.
Em particular, ele compartilhou como a estratégia ressoou até mesmo entre os líderes do Congresso após o Violação de dados do OPM. Foi quando o Zero Trust foi identificado como o modelo que poderia ter limitado o movimento dos atacantes e protegido a segurança nacional.
Mas, como Jared apontou, falar sobre Zero Trust — ou cibersegurança de forma mais ampla — só importa se você a enquadrar em termos de risco comercial.
“O risco cibernético contribui para o risco comercial, mas não é o mesmo”, disse ele. “Seu conselho não se importa com o tempo de permanência ou com as cargas de ransomware. Eles se preocupam com o tempo de inatividade, a perda de receita, o impacto no cliente e as consequências regulatórias.”
Para Jared, traduzir preocupações de segurança em resultados de negócios é o que impulsiona a adesão e torna a segurança bem-sucedida em toda a organização.
“Seu conselho não se importa com o tempo de permanência ou com as cargas de ransomware. Eles se preocupam com o tempo de inatividade, a perda de receita, o impacto no cliente e as consequências regulatórias.”
— Jared Nussbaum, CISO da Ares Management
6. Alinhe o Zero Trust com seu ambiente
Um dos pontos mais importantes de John durante a palestra foi que todo ambiente Zero Trust deve ser construído para se adequar à organização.
“Cada ambiente é personalizado”, disse ele. “Você não pode simplesmente tirar uma arquitetura de referência da prateleira e esperar que ela funcione. Você precisa projetá-lo com base na sua superfície de proteção e no que a empresa precisa.”
Jared concordou e destacou a importância da colaboração interfuncional.
“Você não pode fazer Zero Trust em um silo”, explicou ele. “Você precisa trazer equipes de infraestrutura, desenvolvedores de aplicativos, unidades de negócios e até mesmo a diretoria executiva. Se você não se alinhar com suas prioridades e cronogramas, seu programa não terá sucesso.”
Ele enfatizou o valor da comunicação contínua, pedindo aos líderes de segurança que “socializem seus planos com antecedência e frequência e os adaptem com base no feedback da empresa”.
Incorporando Zero Trust em sua estratégia
John Kindervag e Jared Nussbaum trouxeram perspectivas diferentes para o estágio do RSAC — uma como criadora do Zero Trust e outra como praticante que o aplica diariamente. Mas ambos concordaram com isso: Zero Trust é uma jornada, não um projeto único.
“Você terminará com o Zero Trust quando terminar de respirar”, brincou John. “Essa é uma estratégia para o longo prazo.”
Para líderes de segurança que buscam construir uma base mais resiliente, o Zero Trust oferece um caminho comprovado. Começa com a estratégia, se expande com o alinhamento dos negócios e tem sucesso por meio de visibilidade, contexto e controle.
Saiba mais sobre como mais Clientes da Illumio estão colocando o Zero Trust em ação em suas organizações, ou entre em contato conosco hoje para conversar com um de nossos especialistas em Zero Trust.