Grande parte das aplicações modernas ainda estrutura sua segurança a partir de um modelo centrado em identidade (NIST SP 800-207): Esse modelo resolve o problema de identidade e atende bem a cenários onde o ambiente é controlado. No entanto, ele se apoia em uma suposição que raramente é tratada explicitamente: o cliente é confiável (OWASP […]
Zero Trust é frequentemente apresentado como um conjunto de tecnologias ou práticas de segurança, mas essa leitura é incompleta.
Na prática, isso leva a uma compreensão superficial do modelo, onde a adoção de determinadas ferramentas ou mecanismos é confundida com a implementação de segurança efetiva.
Zero Trust não é uma ferramenta, nem uma arquitetura específica. É um modelo de decisão baseado em evidência (NIST SP 800-207).
Zero Trust redefine a forma como sistemas tomam decisões de segurança.
No entanto, ao trazer esse modelo para o contexto de aplicações mobile, surge uma questão prática inevitável:
como tomar decisões baseadas em evidência a partir de um ambiente que não pode ser confiado?
O cliente mobile ocupa uma posição paradoxal nesse modelo, pois é, ao mesmo tempo, a principal fonte de sinais sobre o contexto da requisição e o ponto menos confiável de todo o sistema.
Grande parte das evidências necessárias para qualificar uma interação, como estado da aplicação, características do dispositivo e condições de execução, nasce no próprio cliente, enquanto esse
Nos artigos anteriores, o modelo foi construído a partir de uma premissa simples:
autenticação não garante segurança.
A identidade resolve quem está fazendo a requisição, mas não responde em que condições ela está sendo executada. Para isso, são introduzidos sinais.
Dispositivo, aplicação, sessão e comportamento passam a compor o contexto necessário para avaliar cada operação. A confiança deixa de ser herdada e passa a ser construída a partir de evidências.
No entanto, existe um ponto crítico entre coleta e decisão: como esse contexto chega ao backend?
Nos artigos anteriores, o modelo foi estruturado em torno de duas capacidades fundamentais: a coleta de evidências no cliente e a padronização do seu transporte até o backend. Com isso, cada requisição deixa de ser apenas uma chamada funcional e passa a carregar um conjunto consistente de informações sobre o contexto em que foi gerada. O sistema, nesse ponto, já não opera às cegas. Ele observa.
No entanto, observação não implica ação. A presença de dados, por mais estruturados que sejam, não define comportamento. Sem um mecanismo que interprete essas evidências e estabeleça consequências, o sistema permanece passivo, incapaz de responder às condições reais em que cada operação ocorre. Dados ampliam visibilidade, mas não determinam decisões.
Esse é o limite do modelo até aqui. O cliente coleta e o transporte organiza, mas nenhum desses elementos resolve o problema central: como transformar contexto em ação de forma consistente, previsível e evolutiva.
É nesse ponto que o backend assume um papel estrutural. Ele deixa de ser apenas um executor de operações e passa a atuar como um motor de decisão, responsável por interpretar o contexto recebido, avaliar suas implicações e definir a resposta adequada para cada requisição. A decisão deixa de ser implícita ou herdada e passa a ser construída a partir das evidências disponíveis.
Nos artigos anteriores, o modelo foi estruturado a partir de um princípio central: cada requisição deve ser avaliada com base em evidências observáveis no momento em que ocorre. O cliente coleta sinais, o transporte garante consistência e o backend interpreta esse contexto para tomar decisões. Esse fluxo elimina a dependência de confiança herdada e permite que o sistema reaja às condições reais de cada interação.
No entanto, essa abordagem introduz uma consequência direta. Ao tratar cada requisição como uma unidade independente de decisão, o sistema passa a operar de forma estritamente orientada a eventos, onde cada chamada é avaliada isoladamente, sem vínculo explícito com interações anteriores.
Esse modelo é consistente do ponto de vista conceitual, mas possui um limite operacional claro.