GitHub

O pitch comercial do Zero Trust inclui, quase invariavelmente, a promessa de que vai ser mais barato que a VPN. Às vezes é verdade — mas não nos primeiros dois anos, não para times pequenos, e não sem considerar os custos de migração que raramente aparecem nas planilhas iniciais. Fazer uma análise honesta exige separar o custo de licenciamento do custo total de operação, e o custo de operação recorrente do custo único de transição.

O que a VPN tradicional realmente custa

O custo de uma VPN corporativa bem mantida tem três componentes que raramente são somados juntos. O primeiro é o hardware ou VM do concentrador VPN: appliances Cisco ASA ou Palo Alto GlobalProtect Gateway para ambientes médios custam entre R$ 25 mil e R$ 250 mil, amortizados em 3 a 5 anos. O segundo é o licenciamento do cliente: Cisco AnyConnect e GlobalProtect cobram entre $15 e $25 por usuário por ano; para 200 usuários, isso é de $3.000 a $5.000 anuais apenas em software de cliente.

O terceiro — e frequentemente subestimado — é o custo operacional. VPN exige rotação de certificados, gerenciamento de versões de cliente em dispositivos heterogêneos, manutenção de regras de split tunnel quando novos serviços internos são criados, e gerenciamento de capacidade do concentrador quando o número de sessões simultâneas cresce. Para um time de 100 usuários, estimativas conservadoras colocam esse overhead em 10 a 15 horas de engenharia por mês. Para 100 usuários, o TCO de VPN bem operada fica entre $15.000 e $25.000 por ano, considerando hardware amortizado, licenciamento e tempo de engenharia.

O que o Cloudflare Zero Trust custa de fato

O plano Team do Cloudflare Zero Trust custa $7 por usuário por mês. Para 100 usuários, são $8.400 por ano de licenciamento — abaixo do TCO de VPN mesmo sem contar o tempo de engenharia economizado. Para 500 usuários, são $42.000 por ano, com possibilidade de negociação abaixo de $7 em volumes acima de 200. O plano inclui Access, Tunnel, WARP e Gateway com logs — sem hardware a amortizar.

O custo de implementação inicial muda a equação no primeiro ano. Uma implantação de complexidade média — três a oito aplicações internas, integração com Okta ou Azure AD, rollout do WARP via MDM para 100 dispositivos — exige entre 40 e 80 horas de engenharia. Somando implementação ao licenciamento do primeiro ano, o custo total para 100 usuários fica entre $14.000 e $22.000 — comparável ao TCO de VPN. A partir do segundo ano, sem custo de implementação e com menor overhead operacional, a vantagem financeira do Zero Trust se torna concreta.

Os custos ocultos da migração

A migração de VPN para Zero Trust tem custos que projetos otimistas omitem. O período de operação paralela é o primeiro: durante a migração, a VPN velha continua rodando enquanto as aplicações são migradas uma a uma para o Access. Para organizações com muitas aplicações internas, esse período pode durar seis meses ou mais — pagando por VPN e Cloudflare simultaneamente.

O segundo custo são as aplicações que dependem de IP allowlisting. Qualquer serviço que aceita conexões apenas de faixas de IP específicas — bancos de dados configurados para aceitar apenas o IP do concentrador VPN, APIs internas que verificam IP de origem — quebra no modelo Zero Trust, onde o IP de origem é o edge da Cloudflare. A remediação envolve atualizar o allowlist ou implementar service tokens. Inventariar essas dependências antes de iniciar a migração é essencial — descobri-las durante é custoso.

O terceiro custo é o treinamento. Usuários que ligam para o suporte perguntando "a VPN caiu" após a migração não são um problema de TI — são um sinal de que a comunicação da mudança falhou. O esforço de documentação e comunicação para usuários finais precisa ser orçado, especialmente em organizações com usuários não técnicos.

Quando a migração não faz sentido

Para times com menos de 20 pessoas e uma configuração de VPN simples e estável — split tunnel básico, poucos serviços internos, hardware já pago — o esforço de migração para Zero Trust raramente se justifica pelo retorno financeiro. O ganho de segurança é real, mas o custo de implementação distribuído sobre poucos usuários e a baixa complexidade do ambiente tornam o ROI negativo no horizonte de dois a três anos.

A migração também não se justifica para organizações com grande quantidade de aplicações cliente-pesado que exigem acesso a sub-redes internas específicas e não podem ser refatoradas para modelo de acesso por hostname. Sistemas legados de ERP e ferramentas de engenharia que acessam equipamentos por IP diretamente continuam exigindo acesso de rede que o modelo per-application do Zero Trust não substitui sem mudanças significativas na aplicação.

O argumento de segurança com valor financeiro real

O custo de um incidente por credencial VPN comprometida é a variável que transforma a análise. VPN concede acesso de rede após autenticação — credencial roubada significa acesso lateral irrestrito à rede interna. Zero Trust concede acesso por aplicação — credencial comprometida alcança apenas as aplicações explicitamente autorizadas para aquela identidade, com verificação de postura do dispositivo como controle adicional.

Para fins de auditoria — SOC 2, ISO 27001, HIPAA — os logs do Access são qualitativamente superiores a logs de conexão VPN. Cada evento registra usuário, aplicação específica, timestamp, IP, dispositivo e decisão tomada. Logs de VPN registram que uma conexão foi estabelecida e quando foi encerrada — o que aconteceu dentro não aparece. A diferença tem impacto concreto no tempo e custo de auditorias externas.

O que decidir antes de aprovar o projeto

A análise de TCO é necessária mas não suficiente para a decisão de migrar. A pergunta mais importante é sobre o perfil de risco atual: quantas aplicações internas com dados sensíveis estão acessíveis para qualquer usuário com VPN ativa? Se a resposta for "não sei exatamente quais dados estão acessíveis via VPN", isso é por si só um argumento para migrar — não pelo custo, mas pelo controle.

A implantação começa pelas duas ou três aplicações com maior sensibilidade de dados e maior risco de exposição. O padrão de configuração testado nelas — políticas de acesso por grupo, duração de sessão, device posture — é replicado para o restante. O que a primeira aplicação migrada gera não é apenas segurança melhor para aquele serviço; é a evidência operacional de que o modelo funciona no contexto da organização.