CISA Nomeia a Arquitetura: Como Seu Novo Documento SASE-TIC 3.0 Dá às Agências um Caminho Real de Migração para Fora do VPN Legado

As orientações federais de segurança de redes têm uma reputação bem merecida de dizer às agências o que alcançar, enquanto permanecem deliberadamente silenciosas sobre como chegar lá. O TIC 3.0, introduzido para substituir o rígido modelo de backhaul total do TIC 2.0, foi descrito pela própria CISA como uma "orientação flexível e não prescritiva" — linguagem que arquitetos traduziram discretamente como "descubra você mesmo". O documento de junho de 2026 intitulado "The Journey to Zero Trust: Using Secure Access Service Edge in a Modern TIC 3.0 Solution" representa uma ruptura com essa tradição. Ele nomeia uma arquitetura, descreve uma direção de migração e identifica a VPN legada como o obstáculo. Isso não é pouca coisa.

O Que o TIC 3.0 Sempre Deveria Permitir

A iniciativa Trusted Internet Connections começou como um programa de consolidação: canalizar todo o tráfego federal de internet por um pequeno número de pontos de acesso monitorados e, em seguida, inspecioná-lo. Esse modelo funcionava quando as agências operavam sistemas monolíticos no local. Ele cria atrito quando as agências trabalham com cargas de trabalho em nuvem, equipes remotas e ambientes multi-cloud, porque rotear todo o tráfego por nós de inspeção legados introduz latência e complexidade que as arquiteturas modernas foram projetadas para evitar.

De acordo com o documento de orientação da CISA publicado em junho de 2026, o TIC 3.0 foi desenvolvido especificamente para ajudar as agências civis executivas federais (FCEB, na sigla em inglês) a migrarem de arquiteturas focadas em perímetro para práticas modernas de segurança, alinhadas ao Memorando OMB M-19-26. A flexibilidade incorporada ao TIC 3.0 sempre foi pensada para acomodar abordagens como o SASE; este documento é a forma de a CISA tornar isso explícito, em vez de deixá-lo implícito.

O SASE, Secure Access Service Edge, combina redes de longa distância com funções de segurança entregues na nuvem, organizadas em torno do princípio de zero trust que a CISA resume como "nunca confiar, sempre verificar". Em vez de presumir que um usuário dentro de um perímetro de rede está seguro, o modelo aplica decisões de acesso baseadas em identidade e sensíveis ao contexto em cada conexão. De acordo com o documento em PDF da CISA, a orientação é a mais recente publicação de uma série mais ampla chamada "The Journey to Zero Trust", que aborda capacidades de segurança cibernética e tópicos de arquitetura que apoiam a adoção organizacional de princípios modernos de zero trust.

A Mudança de Arquitetura que o Documento Está Realmente Descrevendo

A instrução prática aqui não é sutil. As implementações legadas do TIC exigiam que as agências fizessem backhaul do tráfego por pontos de inspeção centralizados antes que ele pudesse alcançar a internet ou os serviços em nuvem. O SASE inverte esse fluxo: a inspeção de segurança ocorre na borda, próxima ao usuário ou à carga de trabalho, por meio de uma pilha entregue na nuvem que inclui funções como gateways web seguros, corretores de segurança de acesso à nuvem e capacidades de firewall como serviço.

De acordo com a cobertura da Industrial Cyber sobre a orientação, a CISA apresentou o SASE como um caminho prático de modernização para o TIC 3.0, dizendo explicitamente às agências federais que elas podem reduzir a dependência do modelo legado de backhaul ao adotar arquiteturas SASE que distribuem a aplicação de políticas em vez de centralizá-la.

O documento está marcado como TLP:CLEAR, o que significa que os destinatários podem compartilhá-lo sem restrições — algo relevante para prestadores de serviços e integradores que precisam discutir seu conteúdo com clientes das agências. É a Versão 1.0, datada de junho de 2026, produzida pela Divisão de Segurança Cibernética da CISA. De acordo com o comunicado de imprensa da CISA, seguir o guia tem como objetivo ajudar as agências a entender melhor, planejar e amadurecer em direção a arquiteturas de zero trust, ao mesmo tempo em que aumentam a visibilidade e o controle. Essa sequência — entender, planejar, amadurecer — é o que o documento oferece mais explicitamente como um roteiro por fases.

Quem É Afetado e O Que Muda na Prática

O público principal são as agências civis executivas federais, mas o alcance prático é mais amplo. Prestadores de serviços que apoiam agências FCEB, provedores de serviços em nuvem que buscam autorização FedRAMP e integradores de sistemas que constroem redes para agências operam sob as restrições do TIC. Quando a CISA publica um documento que endossa uma direção arquitetural específica, a linguagem de aquisições tende a seguir o mesmo caminho.

Fornecedores que vêm posicionando capacidades SASE para clientes federais agora têm um documento de referência oficial para citar; fornecedores que ainda vendem soluções de VPN com backhaul centralizado têm um problema que se agravará ao longo dos ciclos de aquisição.

De acordo com a cobertura da MeriTalk sobre a publicação de 24 de junho, a CISA afirmou que a orientação visa apoiar as agências à medida que avançam em capacidades de zero trust e adotam arquiteturas modernas suportadas pelo TIC 3.0. O comunicado de imprensa da agência enquadrou o documento como parte de seu esforço contínuo para apoiar as agências federais e o ecossistema mais amplo de segurança cibernética na adoção de arquiteturas de rede de zero trust.

A expressão "ecossistema mais amplo de segurança cibernética" está fazendo um trabalho real aqui: ela sinaliza que a CISA pretende que esta orientação seja útil além do limite estrito do FCEB, sem expandir formalmente a obrigação de conformidade.

O Que os Arquitetos Devem Ler com Atenção

O status TLP:CLEAR do documento e sua posição dentro da série "Journey to Zero Trust" merecem atenção de qualquer pessoa que esteja construindo um argumento de conformidade ou uma justificativa de aquisição. O enquadramento em série significa que esta não é uma orientação pontual; faz parte de um corpo estruturado de orientações que a CISA presumivelmente irá ampliar. Arquitetos que planejam programas de modernização de vários anos devem tratar este documento como um ponto de referência que será citado em futuras atualizações da política TIC, e não como uma opinião isolada.

A implicação prática para arquitetos de rede em agências FCEB e seus prestadores é direta: se sua arquitetura atual roteia todo o tráfego de usuários por um ponto de inspeção central antes de alcançar os serviços em nuvem, você está operando um modelo que a própria orientação da CISA agora descreve como aquilo que está sendo abandonado. Isso não cria um prazo imediato de conformidade, mas cria um sinal de aquisição e planejamento difícil de ignorar. Na próxima vez que o orçamento de modernização de rede de uma agência for submetido a revisão, este documento estará na sala.

O FAQ do TIC da CISA e a biblioteca mais ampla de recursos sobre zero trust em cisa.gov são as leituras complementares naturais para qualquer pessoa que esteja construindo o argumento interno para uma migração SASE.