Entenda o que é DMZ, como funciona uma DMZ industrial, jump server, historiador, acesso remoto, regras entre TI e OT, redundância, testes e erros comuns.

Confira!

Uma DMZ é uma zona de rede intermediária criada para hospedar serviços que precisam se comunicar com ambientes de diferentes níveis de confiança, sem permitir acesso direto entre eles. Em arquiteturas corporativas, ela costuma separar serviços expostos à internet da rede interna. Em ambientes industriais, a DMZ OT separa a rede corporativa dos sistemas de automação, SCADA, supervisão e controle.

O objetivo não é apenas adicionar uma VLAN chamada “DMZ”. A zona precisa possuir fronteiras controladas, regras mínimas, serviços definidos, gestão própria, monitoramento e procedimentos de acesso. Quando mal projetada, ela se torna apenas mais um segmento conectado; quando bem estruturada, reduz a possibilidade de propagação de incidentes e organiza integrações necessárias entre TI, OT, fornecedores e centros de operação.

Este artigo explica como funciona uma DMZ, quais componentes podem ser instalados nela, como controlar fluxos e quais cuidados são necessários em ambientes críticos.

O que é DMZ

DMZ é a sigla de demilitarized zone, ou zona desmilitarizada. Em redes, representa uma área intermediária entre zonas com diferentes níveis de confiança.

A função da DMZ é receber serviços que precisam ser acessados por mais de um ambiente, evitando que uma conexão externa alcance diretamente a rede interna ou operacional.

Exemplos:

  • servidor web público separado da rede administrativa;
  • gateway de e-mail entre internet e usuários internos;
  • jump server entre rede corporativa e OT;
  • réplica de historiador para consumo corporativo;
  • repositório controlado de atualizações;
  • proxy para transferência de arquivos;
  • coletor de logs de sistemas industriais.

Como funciona uma DMZ

A arquitetura aplica controles nos dois lados da zona.

Rede externa ou corporativa
        ↓
Fronteira de segurança
        ↓
DMZ
        ↓
Fronteira de segurança
        ↓
Rede interna ou OT

Cada fluxo deve possuir origem, destino, protocolo, porta, direção, finalidade e responsável. A regra recomendada é negar por padrão e liberar apenas o necessário.

A DMZ não deve permitir que um usuário utilize um serviço intermediário para alcançar livremente os sistemas protegidos. O componente hospedado nela precisa possuir função específica e controles próprios.

DMZ no roteador é a mesma coisa?

Não. Em muitos roteadores residenciais, a opção chamada DMZ encaminha praticamente todo o tráfego recebido da internet para um único endereço IP da rede interna. Essa função é, na prática, uma forma ampla de encaminhamento de portas e pode expor diretamente o equipamento selecionado.

Uma DMZ de arquitetura corporativa ou industrial é diferente: utiliza uma sub-rede ou zona própria, políticas de firewall, serviços intermediários, regras específicas, monitoramento e separação da rede interna. Ativar “DMZ host” em um modem ou roteador não cria essa arquitetura e não deve ser utilizado como substituto de segmentação e controle de acesso.

DMZ tradicional e DMZ industrial

A DMZ tradicional normalmente protege serviços corporativos expostos à internet. A DMZ industrial protege a fronteira entre TI e OT.

AspectoDMZ corporativaDMZ industrial
Fronteirainternet e rede internaTI e OT
Serviçosweb, e-mail, proxy, DNSjump server, historiador, logs, transferência e atualização
Prioridadeconfidencialidade, integridade e disponibilidadesegurança operacional, integridade e disponibilidade
Mudançasciclos mais frequentesmudanças controladas e janelas restritas
Impactodados e serviços corporativosprocesso físico, supervisão e controle

Em OT, qualquer controle deve ser avaliado quanto à latência, disponibilidade e comportamento em falha.

DMZ não é apenas uma VLAN

Uma VLAN cria separação lógica de camada 2, mas não define sozinha quais comunicações são permitidas, quem administra os ativos ou como eventos serão monitorados.

Uma DMZ completa precisa incluir:

  • fronteiras de segurança;
  • política de acesso;
  • regras de firewall ou gateway;
  • ativos autorizados;
  • serviços permitidos;
  • gestão de identidades;
  • hardening;
  • logs;
  • monitoramento;
  • backup;
  • testes;
  • responsável técnico.

Sem esses elementos, existe apenas segmentação, não necessariamente uma zona de segurança governada.

Arquitetura com um ou dois firewalls

Uma DMZ pode ser implementada com um firewall de três interfaces ou com dois firewalls em série.

Um firewall com três zonas

A arquitetura utiliza interfaces distintas para rede externa, DMZ e rede interna.

Vantagens:

  • menor quantidade de equipamentos;
  • operação simplificada;
  • custo reduzido.

Riscos:

  • falha ou erro de configuração concentrado em um único equipamento;
  • menor diversidade de controle;
  • necessidade de rigor na separação das políticas.

Dois firewalls

Um equipamento controla a entrada da DMZ e outro controla a saída para a rede protegida.

Vantagens:

  • separação de responsabilidades;
  • possibilidade de tecnologias ou equipes diferentes;
  • redução de determinados modos de falha comum.

Riscos:

  • maior complexidade;
  • regras duplicadas ou inconsistentes;
  • aumento de pontos de gestão;
  • necessidade de testes de failover e roteamento.

A escolha depende do risco, criticidade, operação e padrão corporativo.

Uma DMZ eficaz nasce de um projeto de arquitetura e fluxos.

Serviços, fronteiras, portas, protocolos, identidades, redundância e operação degradada precisam ser definidos antes da configuração dos equipamentos.

Conhecer o serviço de Projeto de Telecomunicações

Serviços típicos de uma DMZ OT

Jump server ou bastion host

É um servidor intermediário utilizado para administrar ativos da rede OT. O usuário acessa primeiro o bastion e, a partir dele, alcança somente os destinos autorizados.

O jump server pode aplicar:

  • autenticação multifator;
  • gravação de sessão;
  • limitação de horário;
  • autorização por ativo;
  • transferência controlada de arquivos;
  • registro de comandos;
  • isolamento entre fornecedores.

Réplica de historiador

Dados de processo podem ser replicados da OT para uma instância na DMZ. Sistemas corporativos consultam a réplica, sem acessar diretamente o historiador operacional.

A arquitetura deve definir direção do fluxo, atraso permitido, qualidade do dado e comportamento durante perda de conexão.

Servidor de transferência de arquivos

Arquivos de configuração, relatórios e atualizações podem ser transferidos por um repositório intermediário com análise, aprovação e rastreabilidade.

Evita-se o compartilhamento direto de pastas entre TI e OT.

Proxy de atualização

Servidores e estações OT podem obter atualizações a partir de um repositório controlado, sem acesso direto à internet.

O processo precisa considerar testes, homologação, janelas e retorno.

Coletores de logs

Logs podem ser consolidados na DMZ e encaminhados a SIEM ou SOC. O fluxo deve evitar que serviços corporativos iniciem conexões para ativos críticos.

Serviços de autenticação intermediários

Quando necessário, podem ser implantadas réplicas ou serviços específicos para reduzir dependência direta da OT em sistemas corporativos.

Fluxos entre TI, DMZ e OT

Uma matriz de fluxos deve ser produzida antes da configuração.

OrigemDestinoServiçoDireçãoFinalidade
Usuário autorizadojump serverHTTPS/RDP/SSH conforme políticaentradainiciar sessão de manutenção
Jump serverativo OTprotocolo de administraçãocontroladasuporte autorizado
Historiador OTréplica na DMZreplicaçãosaídadisponibilizar dados corporativos
Ativos OTcoletor de logssyslog ou agentesaídaauditoria e monitoramento
Proxy da DMZrepositório externoHTTPSsaídaobter pacotes aprovados
Estação OTproxy da DMZprotocolo definidosaídareceber atualização homologada

Regras genéricas entre sub-redes devem ser evitadas. O ideal é restringir por endereço, serviço, identidade e finalidade.

Comunicação iniciada pela OT

Sempre que possível, dados podem ser enviados da OT para a DMZ, evitando conexões iniciadas de zonas menos confiáveis para níveis críticos.

Entretanto, isso não é uma regra absoluta. Telecomandos, manutenção e autenticação podem exigir fluxos bidirecionais. O projeto deve documentar a necessidade e aplicar controles proporcionais.

Gateways unidirecionais podem ser utilizados quando a aplicação exige somente saída de dados, mas não atendem cenários que dependem de comandos ou sessões interativas.

Acesso remoto por meio da DMZ

VPN é apenas a entrada da arquitetura. Um acesso remoto seguro deve combinar:

1. solicitação e aprovação; 2. autenticação forte; 3. conexão à VPN; 4. acesso ao jump server; 5. autorização ao ativo específico; 6. janela de tempo limitada; 7. monitoramento da sessão; 8. registro das alterações; 9. encerramento e revogação.

O fornecedor não deve possuir túnel permanente até a rede OT. Contas precisam ser individuais e vinculadas a contrato, chamado ou ordem de serviço.

DNS, NTP e serviços compartilhados

Serviços de infraestrutura podem criar dependências entre TI e OT.

DNS

A OT pode utilizar servidores próprios, réplicas ou encaminhadores controlados. A indisponibilidade do DNS corporativo não deve necessariamente paralisar funções críticas.

NTP

Fontes de tempo podem ser distribuídas por servidores intermediários. A arquitetura deve impedir que ativos críticos consultem diretamente serviços públicos sem controle.

Diretório e identidade

A autenticação centralizada facilita gestão, mas cria dependência. O projeto precisa considerar operação degradada, contas locais de emergência e proteção dos serviços replicados.

DMZ em subestações e centros de operação

Em subestações, a DMZ pode separar:

  • rede corporativa;
  • centro de operação;
  • SCADA e SDSC;
  • estação de engenharia;
  • telecomunicações operacionais;
  • vídeo operativo;
  • segurança patrimonial;
  • acesso de fornecedores.

A comunicação com relés, IEDs e sistemas de proteção deve ser minimizada. Serviços de apoio não devem alcançar diretamente redes críticas sem justificativa.

DMZ e arquitetura IEC 62443

Na IEC 62443, ativos são organizados em zonas e comunicações em conduítes. A DMZ pode funcionar como uma zona intermediária entre ambientes com requisitos de segurança diferentes.

Sua definição deve incluir:

  • ativos pertencentes à zona;
  • função de cada serviço;
  • nível de risco;
  • conduítes autorizados;
  • responsáveis;
  • requisitos de acesso;
  • monitoração;
  • resposta a falhas;
  • critérios de teste.

A DMZ não substitui a análise de zonas dentro da própria OT.

Hardening dos ativos da DMZ

Por receber comunicações de diferentes ambientes, a DMZ é um alvo relevante.

Os ativos precisam de:

  • sistema operacional suportado;
  • serviços mínimos;
  • contas administrativas separadas;
  • autenticação multifator;
  • firewall local;
  • EDR quando compatível;
  • atualização controlada;
  • logs centralizados;
  • backup;
  • monitoramento de integridade;
  • proteção de certificados e chaves;
  • restrição de administração.

Um jump server comprometido pode se tornar caminho para a OT. Sua proteção deve ser proporcional ao privilégio que possui.

Redundância e disponibilidade

Serviços da DMZ podem ser críticos. A arquitetura deve analisar:

  • firewalls em alta disponibilidade;
  • redundância de links;
  • cluster de jump servers;
  • replicação de historiador;
  • DNS e NTP alternativos;
  • armazenamento;
  • balanceamento;
  • backups de configuração;
  • dependências de autenticação.

A redundância não deve criar caminhos paralelos não controlados. Interfaces de heartbeat, gestão e sincronização também precisam de proteção.

Logs e monitoramento

Eventos importantes incluem:

  • tentativas de acesso negadas;
  • criação e alteração de contas;
  • sessões remotas;
  • transferências de arquivos;
  • alterações de regras;
  • mudanças em serviços;
  • conexões novas entre zonas;
  • falhas de autenticação;
  • perda de sincronismo;
  • indisponibilidade de componentes;
  • alteração de configuração.

Os logs precisam utilizar horário coerente e ser protegidos contra alteração.

Projeto e entregáveis

Um projeto de DMZ pode incluir:

  • diagrama de arquitetura;
  • mapa de zonas e conduítes;
  • inventário de serviços;
  • matriz de fluxos;
  • tabela de portas e protocolos;
  • regras de firewall;
  • política de acesso remoto;
  • arquitetura de identidade;
  • baseline de hardening;
  • plano de logs;
  • plano de backup;
  • plano de redundância;
  • procedimentos operacionais;
  • plano de testes;
  • documentação as-built.

Testes e comissionamento

Os testes devem comprovar:

  • bloqueio de fluxos não autorizados;
  • funcionamento dos serviços permitidos;
  • autenticação e perfis;
  • acesso remoto com aprovação;
  • gravação de sessões;
  • transferência controlada de arquivos;
  • replicação de dados;
  • failover de firewalls e links;
  • perda de DNS ou NTP;
  • geração de logs;
  • restauração de backup;
  • operação durante falhas.

Regras de DMZ precisam ser comprovadas por testes de aceite.

O comissionamento deve validar fluxos permitidos e bloqueados, acesso remoto, logs, failover, dependências e recuperação sem comprometer a operação.

Conhecer o serviço de Comissionamento e Aceite Técnico

Erros comuns

Chamar uma VLAN de DMZ

Sem política, fronteiras, regras e gestão, existe apenas segmentação lógica.

Permitir acesso direto da TI à OT

A DMZ deve intermediar serviços e impedir conexões amplas para ativos críticos.

Concentrar todos os serviços no mesmo servidor

A consolidação pode ampliar privilégios e criar falha comum.

Manter acesso permanente de fornecedores

Acesso deve ser temporário, aprovado, registrado e revogado.

Não controlar fluxos de saída

Ativos comprometidos também podem iniciar conexões para outras zonas.

Ignorar dependências

DNS, NTP, identidade e certificados podem causar indisponibilidade se não houver modo degradado.

Conclusão

Uma DMZ organiza a comunicação entre redes de diferentes níveis de confiança. Seu valor está em impedir conexões diretas, hospedar serviços intermediários e tornar os fluxos visíveis, controláveis e testáveis.

Em ambientes TI–OT, a arquitetura precisa equilibrar segurança e disponibilidade. Jump servers, réplicas, proxies e coletores são úteis apenas quando combinados com hardening, identidade, monitoramento, redundância e procedimentos operacionais.

Referências técnicas

[1] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-82 Rev. 3 — Guide to Operational Technology Security.

[2] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-41 Rev. 1 — Guidelines on Firewalls and Firewall Policy.

[3] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT IEC/TS 62443-1-1:2023 — Segurança para sistemas de automação e controle industriais.

Perguntas frequentes
O que é uma DMZ?

É uma zona intermediária entre redes com diferentes níveis de confiança, utilizada para hospedar serviços sem permitir acesso direto entre os ambientes.

Qual a diferença entre DMZ e VLAN?

VLAN é um mecanismo de segmentação lógica. DMZ inclui fronteiras, políticas, regras de acesso, ativos definidos, monitoramento e gestão.

O que é uma DMZ industrial?

É a zona que separa redes corporativas de ambientes OT, hospedando serviços intermediários como jump servers, réplicas de historiador, proxies e coletores de logs.

VPN substitui uma DMZ?

Não. VPN protege o túnel de entrada, mas não define autorização, destino, sessão, gravação, duração e intermediação até os ativos OT.

O que deve ficar em uma DMZ OT?

Serviços intermediários necessários à integração, como jump server, transferência de arquivos, réplica de historiador, proxy de atualização e coleta de logs.

É melhor usar um ou dois firewalls?

Depende do risco, da criticidade e do padrão corporativo. Dois firewalls podem aumentar separação, mas também elevam complexidade e necessidade de gestão.

Uma DMZ precisa de alta disponibilidade?

Quando seus serviços são críticos, sim. Firewalls, links, servidores e dependências devem ser analisados e testados quanto a falhas.

Como controlar fornecedores na DMZ?

Com contas individuais, MFA, jump server, aprovação, janela limitada, gravação de sessão e revogação após a atividade.

A DMZ pode hospedar NTP e DNS?

Pode hospedar ou intermediar serviços de infraestrutura, desde que dependências, redundância, segurança e operação degradada sejam planejadas.

Como testar uma DMZ?

Devem ser testados fluxos permitidos e bloqueados, autenticação, acesso remoto, failover, logs, transferência de arquivos, restauração e comportamento durante falhas.

Materiais técnicos complementares

Soluções

Serviços de engenharia

Materiais técnicos complementares