Entenda o que é DMZ, como funciona uma DMZ industrial, jump server, historiador, acesso remoto, regras entre TI e OT, redundância, testes e erros comuns.
Confira!
Uma DMZ é uma zona de rede intermediária criada para hospedar serviços que precisam se comunicar com ambientes de diferentes níveis de confiança, sem permitir acesso direto entre eles. Em arquiteturas corporativas, ela costuma separar serviços expostos à internet da rede interna. Em ambientes industriais, a DMZ OT separa a rede corporativa dos sistemas de automação, SCADA, supervisão e controle.
O objetivo não é apenas adicionar uma VLAN chamada “DMZ”. A zona precisa possuir fronteiras controladas, regras mínimas, serviços definidos, gestão própria, monitoramento e procedimentos de acesso. Quando mal projetada, ela se torna apenas mais um segmento conectado; quando bem estruturada, reduz a possibilidade de propagação de incidentes e organiza integrações necessárias entre TI, OT, fornecedores e centros de operação.
Este artigo explica como funciona uma DMZ, quais componentes podem ser instalados nela, como controlar fluxos e quais cuidados são necessários em ambientes críticos.
O que é DMZ
DMZ é a sigla de demilitarized zone, ou zona desmilitarizada. Em redes, representa uma área intermediária entre zonas com diferentes níveis de confiança.
A função da DMZ é receber serviços que precisam ser acessados por mais de um ambiente, evitando que uma conexão externa alcance diretamente a rede interna ou operacional.
Exemplos:
- servidor web público separado da rede administrativa;
- gateway de e-mail entre internet e usuários internos;
- jump server entre rede corporativa e OT;
- réplica de historiador para consumo corporativo;
- repositório controlado de atualizações;
- proxy para transferência de arquivos;
- coletor de logs de sistemas industriais.
Como funciona uma DMZ
A arquitetura aplica controles nos dois lados da zona.
Rede externa ou corporativa
↓
Fronteira de segurança
↓
DMZ
↓
Fronteira de segurança
↓
Rede interna ou OT
Cada fluxo deve possuir origem, destino, protocolo, porta, direção, finalidade e responsável. A regra recomendada é negar por padrão e liberar apenas o necessário.
A DMZ não deve permitir que um usuário utilize um serviço intermediário para alcançar livremente os sistemas protegidos. O componente hospedado nela precisa possuir função específica e controles próprios.
DMZ no roteador é a mesma coisa?
Não. Em muitos roteadores residenciais, a opção chamada DMZ encaminha praticamente todo o tráfego recebido da internet para um único endereço IP da rede interna. Essa função é, na prática, uma forma ampla de encaminhamento de portas e pode expor diretamente o equipamento selecionado.
Uma DMZ de arquitetura corporativa ou industrial é diferente: utiliza uma sub-rede ou zona própria, políticas de firewall, serviços intermediários, regras específicas, monitoramento e separação da rede interna. Ativar “DMZ host” em um modem ou roteador não cria essa arquitetura e não deve ser utilizado como substituto de segmentação e controle de acesso.
DMZ tradicional e DMZ industrial
A DMZ tradicional normalmente protege serviços corporativos expostos à internet. A DMZ industrial protege a fronteira entre TI e OT.
| Aspecto | DMZ corporativa | DMZ industrial |
| Fronteira | internet e rede interna | TI e OT |
| Serviços | web, e-mail, proxy, DNS | jump server, historiador, logs, transferência e atualização |
| Prioridade | confidencialidade, integridade e disponibilidade | segurança operacional, integridade e disponibilidade |
| Mudanças | ciclos mais frequentes | mudanças controladas e janelas restritas |
| Impacto | dados e serviços corporativos | processo físico, supervisão e controle |
Em OT, qualquer controle deve ser avaliado quanto à latência, disponibilidade e comportamento em falha.
DMZ não é apenas uma VLAN
Uma VLAN cria separação lógica de camada 2, mas não define sozinha quais comunicações são permitidas, quem administra os ativos ou como eventos serão monitorados.
Uma DMZ completa precisa incluir:
- fronteiras de segurança;
- política de acesso;
- regras de firewall ou gateway;
- ativos autorizados;
- serviços permitidos;
- gestão de identidades;
- hardening;
- logs;
- monitoramento;
- backup;
- testes;
- responsável técnico.
Sem esses elementos, existe apenas segmentação, não necessariamente uma zona de segurança governada.
Arquitetura com um ou dois firewalls
Uma DMZ pode ser implementada com um firewall de três interfaces ou com dois firewalls em série.
Um firewall com três zonas
A arquitetura utiliza interfaces distintas para rede externa, DMZ e rede interna.
Vantagens:
- menor quantidade de equipamentos;
- operação simplificada;
- custo reduzido.
Riscos:
- falha ou erro de configuração concentrado em um único equipamento;
- menor diversidade de controle;
- necessidade de rigor na separação das políticas.
Dois firewalls
Um equipamento controla a entrada da DMZ e outro controla a saída para a rede protegida.
Vantagens:
- separação de responsabilidades;
- possibilidade de tecnologias ou equipes diferentes;
- redução de determinados modos de falha comum.
Riscos:
- maior complexidade;
- regras duplicadas ou inconsistentes;
- aumento de pontos de gestão;
- necessidade de testes de failover e roteamento.
A escolha depende do risco, criticidade, operação e padrão corporativo.
Uma DMZ eficaz nasce de um projeto de arquitetura e fluxos.
Serviços, fronteiras, portas, protocolos, identidades, redundância e operação degradada precisam ser definidos antes da configuração dos equipamentos.
Serviços típicos de uma DMZ OT
Jump server ou bastion host
É um servidor intermediário utilizado para administrar ativos da rede OT. O usuário acessa primeiro o bastion e, a partir dele, alcança somente os destinos autorizados.
O jump server pode aplicar:
- autenticação multifator;
- gravação de sessão;
- limitação de horário;
- autorização por ativo;
- transferência controlada de arquivos;
- registro de comandos;
- isolamento entre fornecedores.
Réplica de historiador
Dados de processo podem ser replicados da OT para uma instância na DMZ. Sistemas corporativos consultam a réplica, sem acessar diretamente o historiador operacional.
A arquitetura deve definir direção do fluxo, atraso permitido, qualidade do dado e comportamento durante perda de conexão.
Servidor de transferência de arquivos
Arquivos de configuração, relatórios e atualizações podem ser transferidos por um repositório intermediário com análise, aprovação e rastreabilidade.
Evita-se o compartilhamento direto de pastas entre TI e OT.
Proxy de atualização
Servidores e estações OT podem obter atualizações a partir de um repositório controlado, sem acesso direto à internet.
O processo precisa considerar testes, homologação, janelas e retorno.
Coletores de logs
Logs podem ser consolidados na DMZ e encaminhados a SIEM ou SOC. O fluxo deve evitar que serviços corporativos iniciem conexões para ativos críticos.
Serviços de autenticação intermediários
Quando necessário, podem ser implantadas réplicas ou serviços específicos para reduzir dependência direta da OT em sistemas corporativos.
Fluxos entre TI, DMZ e OT
Uma matriz de fluxos deve ser produzida antes da configuração.
| Origem | Destino | Serviço | Direção | Finalidade |
| Usuário autorizado | jump server | HTTPS/RDP/SSH conforme política | entrada | iniciar sessão de manutenção |
| Jump server | ativo OT | protocolo de administração | controlada | suporte autorizado |
| Historiador OT | réplica na DMZ | replicação | saída | disponibilizar dados corporativos |
| Ativos OT | coletor de logs | syslog ou agente | saída | auditoria e monitoramento |
| Proxy da DMZ | repositório externo | HTTPS | saída | obter pacotes aprovados |
| Estação OT | proxy da DMZ | protocolo definido | saída | receber atualização homologada |
Regras genéricas entre sub-redes devem ser evitadas. O ideal é restringir por endereço, serviço, identidade e finalidade.
Comunicação iniciada pela OT
Sempre que possível, dados podem ser enviados da OT para a DMZ, evitando conexões iniciadas de zonas menos confiáveis para níveis críticos.
Entretanto, isso não é uma regra absoluta. Telecomandos, manutenção e autenticação podem exigir fluxos bidirecionais. O projeto deve documentar a necessidade e aplicar controles proporcionais.
Gateways unidirecionais podem ser utilizados quando a aplicação exige somente saída de dados, mas não atendem cenários que dependem de comandos ou sessões interativas.
Acesso remoto por meio da DMZ
VPN é apenas a entrada da arquitetura. Um acesso remoto seguro deve combinar:
1. solicitação e aprovação; 2. autenticação forte; 3. conexão à VPN; 4. acesso ao jump server; 5. autorização ao ativo específico; 6. janela de tempo limitada; 7. monitoramento da sessão; 8. registro das alterações; 9. encerramento e revogação.
O fornecedor não deve possuir túnel permanente até a rede OT. Contas precisam ser individuais e vinculadas a contrato, chamado ou ordem de serviço.
DNS, NTP e serviços compartilhados
Serviços de infraestrutura podem criar dependências entre TI e OT.
DNS
A OT pode utilizar servidores próprios, réplicas ou encaminhadores controlados. A indisponibilidade do DNS corporativo não deve necessariamente paralisar funções críticas.
NTP
Fontes de tempo podem ser distribuídas por servidores intermediários. A arquitetura deve impedir que ativos críticos consultem diretamente serviços públicos sem controle.
Diretório e identidade
A autenticação centralizada facilita gestão, mas cria dependência. O projeto precisa considerar operação degradada, contas locais de emergência e proteção dos serviços replicados.
DMZ em subestações e centros de operação
Em subestações, a DMZ pode separar:
- rede corporativa;
- centro de operação;
- SCADA e SDSC;
- estação de engenharia;
- telecomunicações operacionais;
- vídeo operativo;
- segurança patrimonial;
- acesso de fornecedores.
A comunicação com relés, IEDs e sistemas de proteção deve ser minimizada. Serviços de apoio não devem alcançar diretamente redes críticas sem justificativa.
DMZ e arquitetura IEC 62443
Na IEC 62443, ativos são organizados em zonas e comunicações em conduítes. A DMZ pode funcionar como uma zona intermediária entre ambientes com requisitos de segurança diferentes.
Sua definição deve incluir:
- ativos pertencentes à zona;
- função de cada serviço;
- nível de risco;
- conduítes autorizados;
- responsáveis;
- requisitos de acesso;
- monitoração;
- resposta a falhas;
- critérios de teste.
A DMZ não substitui a análise de zonas dentro da própria OT.
Hardening dos ativos da DMZ
Por receber comunicações de diferentes ambientes, a DMZ é um alvo relevante.
Os ativos precisam de:
- sistema operacional suportado;
- serviços mínimos;
- contas administrativas separadas;
- autenticação multifator;
- firewall local;
- EDR quando compatível;
- atualização controlada;
- logs centralizados;
- backup;
- monitoramento de integridade;
- proteção de certificados e chaves;
- restrição de administração.
Um jump server comprometido pode se tornar caminho para a OT. Sua proteção deve ser proporcional ao privilégio que possui.
Redundância e disponibilidade
Serviços da DMZ podem ser críticos. A arquitetura deve analisar:
- firewalls em alta disponibilidade;
- redundância de links;
- cluster de jump servers;
- replicação de historiador;
- DNS e NTP alternativos;
- armazenamento;
- balanceamento;
- backups de configuração;
- dependências de autenticação.
A redundância não deve criar caminhos paralelos não controlados. Interfaces de heartbeat, gestão e sincronização também precisam de proteção.
Logs e monitoramento
Eventos importantes incluem:
- tentativas de acesso negadas;
- criação e alteração de contas;
- sessões remotas;
- transferências de arquivos;
- alterações de regras;
- mudanças em serviços;
- conexões novas entre zonas;
- falhas de autenticação;
- perda de sincronismo;
- indisponibilidade de componentes;
- alteração de configuração.
Os logs precisam utilizar horário coerente e ser protegidos contra alteração.
Projeto e entregáveis
Um projeto de DMZ pode incluir:
- diagrama de arquitetura;
- mapa de zonas e conduítes;
- inventário de serviços;
- matriz de fluxos;
- tabela de portas e protocolos;
- regras de firewall;
- política de acesso remoto;
- arquitetura de identidade;
- baseline de hardening;
- plano de logs;
- plano de backup;
- plano de redundância;
- procedimentos operacionais;
- plano de testes;
- documentação as-built.
Testes e comissionamento
Os testes devem comprovar:
- bloqueio de fluxos não autorizados;
- funcionamento dos serviços permitidos;
- autenticação e perfis;
- acesso remoto com aprovação;
- gravação de sessões;
- transferência controlada de arquivos;
- replicação de dados;
- failover de firewalls e links;
- perda de DNS ou NTP;
- geração de logs;
- restauração de backup;
- operação durante falhas.
Regras de DMZ precisam ser comprovadas por testes de aceite.
O comissionamento deve validar fluxos permitidos e bloqueados, acesso remoto, logs, failover, dependências e recuperação sem comprometer a operação.
Erros comuns
Chamar uma VLAN de DMZ
Sem política, fronteiras, regras e gestão, existe apenas segmentação lógica.
Permitir acesso direto da TI à OT
A DMZ deve intermediar serviços e impedir conexões amplas para ativos críticos.
Concentrar todos os serviços no mesmo servidor
A consolidação pode ampliar privilégios e criar falha comum.
Manter acesso permanente de fornecedores
Acesso deve ser temporário, aprovado, registrado e revogado.
Não controlar fluxos de saída
Ativos comprometidos também podem iniciar conexões para outras zonas.
Ignorar dependências
DNS, NTP, identidade e certificados podem causar indisponibilidade se não houver modo degradado.
Conclusão
Uma DMZ organiza a comunicação entre redes de diferentes níveis de confiança. Seu valor está em impedir conexões diretas, hospedar serviços intermediários e tornar os fluxos visíveis, controláveis e testáveis.
Em ambientes TI–OT, a arquitetura precisa equilibrar segurança e disponibilidade. Jump servers, réplicas, proxies e coletores são úteis apenas quando combinados com hardening, identidade, monitoramento, redundância e procedimentos operacionais.
Referências técnicas
[1] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-82 Rev. 3 — Guide to Operational Technology Security.
[2] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-41 Rev. 1 — Guidelines on Firewalls and Firewall Policy.
[3] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT IEC/TS 62443-1-1:2023 — Segurança para sistemas de automação e controle industriais.
Perguntas frequentes
É uma zona intermediária entre redes com diferentes níveis de confiança, utilizada para hospedar serviços sem permitir acesso direto entre os ambientes.
VLAN é um mecanismo de segmentação lógica. DMZ inclui fronteiras, políticas, regras de acesso, ativos definidos, monitoramento e gestão.
É a zona que separa redes corporativas de ambientes OT, hospedando serviços intermediários como jump servers, réplicas de historiador, proxies e coletores de logs.
Não. VPN protege o túnel de entrada, mas não define autorização, destino, sessão, gravação, duração e intermediação até os ativos OT.
Serviços intermediários necessários à integração, como jump server, transferência de arquivos, réplica de historiador, proxy de atualização e coleta de logs.
Depende do risco, da criticidade e do padrão corporativo. Dois firewalls podem aumentar separação, mas também elevam complexidade e necessidade de gestão.
Quando seus serviços são críticos, sim. Firewalls, links, servidores e dependências devem ser analisados e testados quanto a falhas.
Com contas individuais, MFA, jump server, aprovação, janela limitada, gravação de sessão e revogação após a atividade.
Pode hospedar ou intermediar serviços de infraestrutura, desde que dependências, redundância, segurança e operação degradada sejam planejadas.
Devem ser testados fluxos permitidos e bloqueados, autenticação, acesso remoto, failover, logs, transferência de arquivos, restauração e comportamento durante falhas.
Materiais técnicos complementares
Soluções
- Redes Industriais
- Network Access Control (NAC)
- Centro de Operações de Segurança (SOC)
- Secure Access Service Edge (SASE)
Serviços de engenharia
Materiais técnicos complementares