Segmentação de rede é a prática de dividir uma infraestrutura de comunicação em zonas, segmentos ou microsegmentos com regras próprias de acesso, monitoramento e controle de tráfego. Em vez de tratar a rede interna como um ambiente único e confiável, a segmentação cria barreiras técnicas que reduzem a superfície de ataque, limitam o movimento lateral e tornam a operação mais governável.

Entenda o que é segmentação de rede, conheça modelos como VLAN, DMZ, Zero Trust e microsegmentação, e saiba quando usar cada abordagem em ambientes corporativos, industriais, cloud e infraestrutura crítica.

Confira!

O que é segmentação de rede?

Segmentação de rede é uma estratégia de arquitetura que divide a rede em partes menores e controláveis. Cada segmento agrupa ativos, usuários, aplicações, dados ou serviços com requisitos semelhantes de comunicação e segurança.

Na prática, segmentar uma rede pode envolver VLANs, sub-redes, ACLs, firewalls, NGFW, DMZs, NAC, SDN, políticas baseadas em identidade, recursos nativos de nuvem, agentes em endpoints, service mesh e modelos de Zero Trust Network Access (ZTNA). A escolha correta depende do risco, da criticidade dos ativos, da maturidade operacional, da existência de ambientes legados e da necessidade de preservar disponibilidade, especialmente em redes industriais e infraestruturas críticas.

O objetivo não é apenas organizar endereços IP. O objetivo é controlar quem pode se comunicar com quem, por qual protocolo, em qual contexto e com qual nível de privilégio. Em uma rede sem segmentação, um dispositivo comprometido pode alcançar muitos outros ativos internos. Em uma rede segmentada, esse alcance é reduzido por regras técnicas e políticas explícitas.

Segmentação, isolamento e filtragem: qual é a diferença?

Embora os termos sejam usados juntos, eles não são idênticos:

  • Segmentação: divisão da rede em zonas, VLANs, sub-redes, domínios ou microsegmentos.
  • Isolamento: separação efetiva entre ativos ou grupos de ativos para impedir comunicação indevida.
  • Filtragem: aplicação de regras que permitem, negam, registram ou inspecionam tráfego entre segmentos.

Uma VLAN, sozinha, cria uma separação lógica em camada 2. Porém, se o roteamento entre VLANs estiver liberado sem controle, a segmentação pode existir no desenho, mas não cumprir sua função de segurança. Por isso, segmentação deve ser tratada como disciplina de arquitetura, e não apenas como configuração de switch.

Conceitos essenciais

Alguns conceitos aparecem com frequência em projetos de segmentação:

  • VLAN: domínio lógico de camada 2 usado para separar grupos de dispositivos em uma LAN.
  • Sub-rede: divisão lógica de endereçamento IP, normalmente associada ao roteamento entre segmentos.
  • ACL: lista de controle de acesso usada para permitir ou negar tráfego conforme origem, destino, porta e protocolo.
  • Zona de firewall: agrupamento lógico de interfaces ou redes submetidas a uma política de segurança.
  • DMZ: zona intermediária para serviços expostos, reduzindo o risco de exposição direta da rede interna.
  • Microsegmento: segmento reduzido, muitas vezes associado a uma aplicação, workload, serviço ou fluxo específico.
  • Tráfego north-south: comunicação entre rede interna e ambiente externo, como internet, cloud ou parceiros.
  • Tráfego east-west: comunicação lateral dentro da própria rede, comum entre servidores, aplicações e microserviços.
  • PEP e PDP: no contexto Zero Trust, o Policy Enforcement Point aplica a decisão de acesso, enquanto o Policy Decision Point avalia a política.

Por que segmentar redes?

Reduzir movimento lateral

Um dos principais motivos para segmentar redes é limitar o movimento lateral. Depois que um invasor compromete uma estação de trabalho, câmera IP, servidor desatualizado ou conta de usuário, ele tende a procurar outros ativos alcançáveis. Se a rede é plana, a exploração se espalha com mais facilidade. Se a rede é segmentada, o atacante encontra barreiras adicionais para alcançar servidores, bancos de dados, sistemas industriais, backups e consoles administrativos.

Reduzir o blast radius

O termo blast radius descreve o alcance potencial de um incidente. Em redes segmentadas, o impacto de uma falha, infecção por malware, credencial comprometida ou configuração incorreta tende a ficar mais contido. Isso não elimina a necessidade de proteção em endpoint, backup, MFA e monitoramento, mas reduz a área afetada quando algo falha.

Aumentar visibilidade e capacidade de resposta

Segmentos bem desenhados facilitam a inspeção de tráfego, o registro de eventos e a detecção de comportamento anômalo. Quando há fronteiras claras entre usuários, servidores, CFTV, automação, convidados, cloud e administração, fica mais simples identificar fluxos não previstos e responder a incidentes com precisão.

Aplicar menor privilégio à rede

O princípio do menor privilégio não se aplica apenas a usuários e sistemas. Ele também deve ser aplicado aos fluxos de rede. Um servidor de aplicação deve acessar apenas os bancos de dados necessários. Uma câmera IP deve conversar apenas com o VMS, NTP e serviços autorizados. Um fornecedor deve acessar apenas o recurso contratado, não toda a rede corporativa.

Apoiar Zero Trust

Arquiteturas Zero Trust partem da premissa de que a localização de rede, por si só, não deve gerar confiança automática. Em vez de confiar em tudo que está “dentro”, a arquitetura avalia identidade, contexto, postura do dispositivo, sensibilidade do recurso e política de acesso. A segmentação e a microsegmentação são mecanismos importantes para reduzir zonas de confiança implícita e aproximar o controle de acesso dos recursos protegidos.

Fundamentos técnicos da segmentação de rede

Segmentação em camada 2

A segmentação em camada 2 normalmente usa VLANs para separar domínios de broadcast. É comum criar VLANs para usuários, servidores, voz, Wi-Fi corporativo, convidados, CFTV, automação predial, administração e dispositivos IoT.

Esse modelo é amplamente utilizado porque aproveita a infraestrutura de switches existente. Porém, exige cuidado com trunks, native VLAN, VLAN padrão, portas não utilizadas e propagação indevida de VLANs. Uma boa prática é permitir nos trunks apenas as VLANs necessárias, desabilitar trunking dinâmico, remover a VLAN padrão do uso operacional e documentar cada VLAN com finalidade clara.

Segmentação em camada 3

Na camada 3, a separação ocorre por sub-redes, roteamento, VRFs e políticas aplicadas entre redes. Esse modelo permite controlar comunicação por origem e destino IP, mas precisa ser combinado com ACLs, firewalls ou políticas equivalentes. Caso contrário, a separação de endereçamento não impede comunicação ampla entre segmentos.

Segmentação em camada 4

Na camada 4, as regras consideram portas e protocolos. Um exemplo simples é permitir que estações de trabalho acessem uma aplicação via TCP/443, mas impedir conexões diretas ao banco de dados. Essa abordagem é útil, mas limitada quando aplicações modernas usam portas comuns para múltiplos serviços.

Segmentação em camada 7

Na camada 7, o controle passa a considerar aplicações, usuários, conteúdo e contexto. Firewalls de nova geração, WAFs, proxies e soluções SASE/ZTNA podem aplicar políticas mais refinadas do que regras baseadas apenas em IP e porta. Esse tema se conecta diretamente ao artigo da A3A sobre NGFW: o que é um Next Generation Firewall e quando usar.

Segmentação por identidade e contexto

Modelos mais modernos usam atributos além do endereço IP. A política pode considerar usuário, grupo, dispositivo, postura de segurança, localização, horário, aplicação acessada, risco da sessão, sensibilidade do dado e comportamento observado. Essa abordagem é essencial para cloud, usuários remotos, aplicações distribuídas e ambientes Zero Trust.

Modelos de segmentação de rede

Macrosegmentação

A macrosegmentação divide a rede em grandes domínios, como usuários, servidores, convidados, CFTV, OT, administração, telefonia, Wi-Fi e DMZ. É uma etapa fundamental para redes que ainda são muito planas.

Quando usar: em redes tradicionais, projetos de modernização inicial, separação entre áreas de negócio e ambientes onde ainda não há inventário suficiente para microsegmentação.

Segmentação por VLAN e sub-rede

É o modelo mais comum em LANs corporativas. Dispositivos semelhantes são agrupados em VLANs e sub-redes diferentes. O tráfego entre elas passa por roteadores, switches camada 3, firewalls ou gateways.

Vantagens: familiaridade operacional, custo incremental reduzido e compatibilidade com infraestrutura existente.

Limitações: políticas baseadas em IP podem ficar difíceis de manter; redes dinâmicas e cloud reduzem a eficácia de regras estáticas; VLANs sem controle entre segmentos não oferecem segurança suficiente.

Segmentação por firewall e zonas

Nesse modelo, os segmentos são representados por zonas de segurança. As regras determinam quais fluxos são permitidos, negados, inspecionados e registrados. A abordagem recomendada é deny-by-default e permit-by-exception: tudo é negado por padrão, e apenas fluxos necessários são liberados.

Esse modelo é indicado para controlar tráfego entre usuários e servidores, DMZ e rede interna, redes de terceiros, ambientes de backup, administração e zonas críticas.

DMZ

A DMZ é uma zona intermediária usada para serviços que precisam interagir com redes externas, como portais, proxies reversos, VPN concentrators, servidores de integração e aplicações publicadas. O objetivo é evitar que um serviço exposto à internet tenha acesso direto e amplo à rede interna.

Uma DMZ bem projetada controla fluxos em três direções: externo para DMZ, DMZ para interno e interno para DMZ. Cada fluxo deve ter justificativa, porta, protocolo, origem, destino e registro.

NAC e segmentação por dispositivo

Network Access Control (NAC) controla quem pode entrar na rede física ou sem fio. Pode usar 802.1X, certificados, autenticação de usuário, postura do dispositivo e VLAN dinâmica. Dispositivos desconhecidos ou não conformes podem ser bloqueados, colocados em quarentena ou direcionados a uma rede restrita.

É especialmente útil em ambientes com grande circulação de notebooks, terceiros, dispositivos móveis, salas de reunião, Wi-Fi corporativo e convidados.

Segmentação OT/ICS

Redes industriais e sistemas de controle exigem cuidado especial. Disponibilidade, segurança operacional e compatibilidade com equipamentos legados costumam ser mais importantes do que flexibilidade. Por isso, a segmentação em OT deve separar redes corporativas e industriais, criar zonas e conduítes, controlar acesso remoto, usar DMZ industrial e monitorar protocolos específicos.

Quando agentes de segurança não são suportados por CLPs, IHMs, relés, sensores ou sistemas legados, a segmentação por rede e o monitoramento passivo ganham importância. O objetivo é permitir somente os fluxos necessários para operação, manutenção e supervisão.

Microsegmentação

Microsegmentação é a evolução da segmentação tradicional para unidades menores e mais próximas dos recursos protegidos. Pode ser aplicada por rede, endpoint, hypervisor, container, service mesh, cloud-native ou identidade de workload.

Seu principal benefício é limitar o tráfego east-west. Em vez de permitir que todos os servidores de uma zona conversem entre si, cada aplicação, serviço ou workload recebe uma política específica. Assim, mesmo que um servidor seja comprometido, o movimento lateral fica restrito.

Há várias abordagens:

  • Network-based: usa firewalls, roteadores, SD-WAN, WAF ou NGFW.
  • Endpoint-based: usa agentes ou firewalls locais em servidores e estações.
  • Hypervisor-based: aplica políticas no ambiente de virtualização.
  • Container/service mesh: controla comunicação entre containers, pods e serviços.
  • Cloud-native: usa security groups, network policies, firewalls cloud e controles de workload.
  • Identity-based: usa identidade criptográfica de aplicação ou serviço, reduzindo dependência de IP.

Segmentação em cloud

Em cloud, a segmentação depende de recursos como VPC, VNet, subnets públicas e privadas, security groups, network ACLs, gateways, firewalls cloud-native e políticas de identidade. A lógica muda: em vez de depender apenas do perímetro físico, o controle precisa acompanhar workloads, contas, regiões, serviços gerenciados e integrações.

O erro mais comum é replicar a rede local na nuvem sem redesenhar fluxos, controles e responsabilidades. Projetos cloud devem tratar segmentação como parte da arquitetura de segurança desde o início.

ZTNA e Software-Defined Perimeter

VPNs tradicionais tendem a ampliar a presença lógica do usuário na rede. ZTNA e Software-Defined Perimeter seguem outra lógica: o usuário ou dispositivo recebe acesso apenas à aplicação ou recurso autorizado. Isso reduz exposição, melhora auditoria e permite políticas condicionais por identidade, contexto e risco.

Em ambientes com trabalho remoto, terceiros, aplicações cloud e equipes distribuídas, ZTNA pode ser uma alternativa mais segura e governável do que conceder acesso amplo por VPN.

Quando usar cada modelo

CenárioModelo recomendadoMotivo
Pequena rede corporativaVLAN + firewall entre segmentosModelo simples, conhecido e suficiente para maturidade inicial.
Rede de visitantesVLAN de convidados + NAC ou portal de acessoImpede que visitantes alcancem a rede interna.
CFTV/IP e segurança eletrônicaVLAN dedicada + ACL/NGFW + acesso controlado ao VMSEvita que câmeras, NVRs e servidores de vídeo fiquem expostos à rede de usuários.
Data centerZonas de firewall + microsegmentaçãoControla tráfego east-west e reduz movimento lateral entre servidores.
Cloud pública ou híbridaSubnets, security groups, network policies e firewall cloud-nativeAcompanha workloads e serviços distribuídos.
Ambiente OT/ICSZonas e conduítes + DMZ industrial + monitoramentoProtege disponibilidade, sistemas legados e comunicação operacional.
Usuários remotosZTNA/SASEConcede acesso por aplicação, não à rede inteira.
Aplicações críticasMicrosegmentação por workload ou identidadePermite políticas granulares e reduz o impacto de comprometimento.
Terceiros e fornecedoresSegmento dedicado + menor privilégio + logsReduz risco de acesso excessivo e cadeia de suprimentos.
Ambientes legadosSegmentação por rede e firewallAgentes e controles modernos podem não ser suportados.

Boas práticas de projeto

Comece pelo inventário

Não é possível segmentar bem aquilo que não é conhecido. O projeto deve começar com inventário de ativos, aplicações, usuários, grupos, fluxos de comunicação, dependências, dados sensíveis, fornecedores e requisitos regulatórios.

Classifique criticidade e risco

Ativos não têm o mesmo valor. Identidade, backups, servidores de aplicação, bancos de dados, sistemas industriais, redes de administração e serviços expostos à internet precisam de atenção prioritária.

Use deny-by-default

A política padrão deve negar tráfego e liberar apenas o necessário. Regras amplas, como any-any, devem ser tratadas como exceções temporárias, com responsável, justificativa e prazo de revisão.

Reduza zonas de confiança implícita

Estar na rede interna não deve ser suficiente para obter acesso amplo. A política deve considerar identidade, contexto, postura do dispositivo e necessidade real de acesso.

Monitore tráfego entre segmentos

Segmentação sem visibilidade dificulta operação e resposta a incidentes. Firewalls, NIDS, NDR, SIEM, NetFlow/IPFIX e logs de acesso ajudam a validar políticas e detectar comportamentos inesperados.

Separe redes de administração

A administração de switches, firewalls, controladoras Wi-Fi, hypervisors, sistemas de backup, servidores críticos e consoles OT deve ocorrer por segmento próprio, com autenticação forte, menor privilégio, logs e acesso restrito.

Proteja VLANs e trunks

Boas práticas incluem desabilitar trunking dinâmico, evitar uso operacional da VLAN padrão, permitir apenas VLANs necessárias nos trunks, desabilitar portas não utilizadas e usar port security ou 802.1X quando viável.

Trate OT, IoT e legado como casos especiais

Dispositivos industriais, câmeras IP, controladoras, sensores, sistemas embarcados e equipamentos legados podem não receber agentes ou atualizações frequentes. Nesses casos, segmentação por rede, regras mínimas, monitoramento passivo e DMZs específicas são medidas essenciais.

Teste antes de bloquear

Antes de ativar bloqueios rígidos, é recomendável observar tráfego real, mapear dependências ocultas e aplicar políticas em modo monitor quando a tecnologia permitir. Isso reduz o risco de indisponibilidade.

Revise periodicamente

Segmentação não é um projeto único. Mudanças em aplicações, cloud, usuários, fornecedores, ameaças e topologia exigem revisão contínua. Regras antigas acumuladas são uma fonte comum de risco.

Roadmap de implantação

Um caminho seguro é implantar segmentação de forma faseada, começando por ativos ou ambientes de maior valor e menor complexidade operacional.

Fase 1 — Identificar candidatos

Selecionar aplicações, ambientes, ativos ou workflows candidatos à segmentação. Critérios úteis incluem criticidade, exposição, facilidade de implantação, valor do dado e histórico de incidentes.

Fase 2 — Mapear dependências

Levantar quem se comunica com quem, por qual porta, protocolo e finalidade. É importante envolver donos de aplicação, operação, segurança, infraestrutura e usuários-chave.

Fase 3 — Definir políticas

Criar políticas orientadas a negócio, não apenas a IP. Exemplos:

  • Usuários do financeiro podem acessar o ERP via HTTPS.
  • Câmeras IP só podem se comunicar com VMS, NTP e serviços autorizados.
  • Servidores de aplicação só acessam o banco de dados na porta necessária.
  • Fornecedores acessam apenas o recurso contratado, por janela e método definidos.

Fase 4 — Implantar, testar e monitorar

Aplicar a política em modo monitor quando possível, corrigir dependências, ativar bloqueio, acompanhar logs, documentar exceções e criar rotina de revisão.

Erros comuns em segmentação de rede

ErroConsequência
Criar VLAN sem controlar tráfego entre VLANsHá separação lógica, mas não há segurança efetiva.
Usar regras any-any permanentesA política perde valor e cria exposição excessiva.
Segmentar sem inventárioAplicações quebram por dependências desconhecidas.
Não monitorar tráfego east-westMovimento lateral pode passar despercebido.
Usar IP como única base de políticaBaixa escalabilidade em cloud, virtualização e ambientes dinâmicos.
Ignorar OT, IoT e legadoAtivos frágeis podem virar ponto de entrada ou propagação.
Não documentar exceçõesRegras acumuladas ficam sem dono, sem prazo e sem justificativa.
Não revisar regras antigasA superfície de ataque aumenta com o tempo.

Conclusão

A segmentação de rede é um dos fundamentos mais importantes da segurança moderna. Ela organiza a infraestrutura, reduz a superfície de ataque, limita movimento lateral, melhora visibilidade e permite aplicar menor privilégio aos fluxos de comunicação.

O ponto central é escolher o modelo certo para cada contexto. VLANs e sub-redes são úteis, mas não bastam sozinhas. Firewalls e DMZs continuam relevantes, mas precisam ser complementados por visibilidade, identidade e políticas granulares. Em data centers, cloud, OT/ICS e ambientes críticos, microsegmentação e Zero Trust tendem a oferecer um nível superior de controle.

Para organizações que dependem de redes corporativas, industriais, CFTV/IP, data centers ou infraestrutura crítica, segmentação deve fazer parte do projeto desde o início, junto com cabeamento, topologia, segurança, operação e governança. A A3A Engenharia apoia empresas na avaliação, projeto, documentação e implantação de arquiteturas de rede mais seguras, escaláveis e alinhadas às melhores práticas técnicas.

Precisa avaliar a segmentação da sua rede? Fale com a A3A Engenharia para estruturar um diagnóstico técnico e identificar oportunidades de melhoria em segurança, disponibilidade e governança.

Referências Técnicas

[1] NIST SP 800-207 — Zero Trust Architecture

[2] NIST SP 800-215 — Guide to a Secure Enterprise Network Landscape

[3] CISA — Microsegmentation in Zero Trust: Introduction and Planning

[4] NSA/CISA — Network Infrastructure Security Guide

[5] NIST SP 800-82r3 — Guide to Operational Technology Security

[6] ABNT IEC TS 62443 — Redes Industriais

[7] CIS Controls Guide v8.1.2

[8] NIST SP 800-41 — Guidelines on Firewalls and Firewall Policy

Perguntas Frequentes
Segmentação de rede é a mesma coisa que VLAN?

Não. VLAN é uma técnica de segmentação em camada 2. Segmentação de rede é um conceito mais amplo, que pode envolver VLANs, sub-redes, firewalls, ACLs, identidade, agentes, cloud, ZTNA e microsegmentação.

Toda VLAN precisa de firewall?

Nem toda VLAN precisa necessariamente de um firewall dedicado, mas qualquer comunicação entre segmentos deve ter algum controle. Em ambientes críticos, o ideal é aplicar políticas explícitas entre VLANs, preferencialmente com inspeção, logs e revisão periódica.

Microssegmentação substitui firewall?

Não necessariamente. Microsegmentação complementa firewalls, NAC, EDR, IAM, SIEM e defesa em profundidade. Em muitos projetos, firewalls continuam sendo parte importante da arquitetura.

Quando usar microsegmentação?

Use microsegmentação quando houver ativos críticos, aplicações distribuídas, tráfego east-west relevante, ambientes cloud, data centers, risco de movimento lateral ou necessidade de política granular por workload, identidade ou aplicação.

Segmentação ajuda contra ransomware?

Sim. Segmentação não impede sozinha uma infecção, mas ajuda a limitar movimento lateral, reduzir alcance do incidente e melhorar contenção. Ela deve ser combinada com backup, EDR, MFA, gestão de vulnerabilidades, logs e resposta a incidentes.

Como segmentar redes industriais?

Redes industriais devem ser separadas das redes corporativas, preferencialmente com zonas e conduítes, DMZ industrial, controle rigoroso de acesso remoto, regras mínimas por protocolo e monitoramento compatível com OT. A disponibilidade da operação deve orientar o desenho.

Materiais Técnicos Complementares