VPN Site-to-Site: boas práticas de segurança para ambientes corporativos
Uma VPN conecta redes, mas mal segmentada vira um corredor de movimento lateral. Veja como conectar com segurança.
VPNs Site-to-Site conectam redes inteiras, como um data center a uma VPC ou dois escritórios. O risco que muitas equipes ignoram é que, depois de estabelecida, a VPN frequentemente vira um túnel aberto entre as redes, permitindo que um comprometimento de um lado se propague para o outro. Segurança de VPN não termina no túnel criptografado; ela depende de segmentação, rotas restritas e visibilidade.
Este guia trata das boas práticas para configurar e operar uma VPN Site-to-Site de forma defensiva: criptografia adequada, controle do que pode atravessar o túnel, gestão de chaves, logs e disponibilidade. O objetivo é conectar sem criar um caminho fácil de movimento lateral.
Criptografia e gestão de chaves
Use parâmetros de criptografia atuais no IPsec, evitando algoritmos e grupos considerados fracos. Prefira conjuntos modernos e desabilite os legados. As chaves pré-compartilhadas, quando usadas, devem ser fortes, guardadas com segurança e rotacionadas; uma chave fraca ou vazada compromete todo o túnel.
Documente os parâmetros acordados entre os dois lados e mantenha-os alinhados. Divergências de configuração causam instabilidade e, às vezes, levam a equipe a relaxar parâmetros para fazer o túnel subir, o que enfraquece a segurança.
Segmentação e rotas restritas
O controle mais importante e mais negligenciado é restringir o que pode atravessar o túnel. Em vez de rotear redes inteiras de um lado ao outro, defina rotas e regras que permitam apenas os fluxos realmente necessários, por exemplo um conjunto específico de hosts e portas. Assim, mesmo que um lado seja comprometido, o acesso ao outro lado fica limitado.
- Permitir apenas os fluxos necessários através do túnel
- Evitar rotear redes inteiras quando só alguns hosts precisam falar
- Aplicar firewall em ambos os lados, não confiar só na VPN
- Segmentar para conter movimento lateral entre as redes
- Revisar periodicamente o que o túnel realmente permite
Trate a VPN como uma conexão entre zonas de confiança diferentes, não como uma extensão transparente da rede interna. Firewalls nos dois lados continuam necessários.
Logs e alta disponibilidade
Habilite logs do túnel e do tráfego que o atravessa, para detecção e investigação. Sem visibilidade, um acesso lateral malicioso pela VPN passa despercebido. Para serviços críticos, planeje alta disponibilidade com túneis redundantes, de forma que a queda de um caminho não derrube a conexão inteira.
Monitore a saúde do túnel e alerte sobre quedas e renegociações anormais, que podem indicar tanto problema operacional quanto atividade suspeita.
Checklist prático
- Usar parâmetros de criptografia IPsec atuais e desabilitar legados
- Empregar chaves fortes, protegidas e com rotação
- Documentar e alinhar parâmetros entre os dois lados
- Permitir apenas os fluxos necessários através do túnel
- Evitar rotear redes inteiras sem necessidade
- Aplicar firewall em ambos os lados da VPN
- Segmentar para conter movimento lateral
- Habilitar logs do túnel e do tráfego
- Planejar alta disponibilidade com túneis redundantes
- Monitorar saúde, quedas e renegociações do túnel
Boas práticas
- Trate a VPN como conexão entre zonas distintas, não rede única
- Restrinja o túnel aos fluxos estritamente necessários
- Mantenha firewall ativo nos dois lados
- Rotacione e proteja as chaves do túnel
- Garanta visibilidade com logs e alertas
- Planeje redundância para serviços críticos
Erros comuns
Rotear redes inteiras de um lado ao outro
Cria um corredor amplo de movimento lateral entre as redes.
Relaxar criptografia para o túnel subir
Enfraquece a proteção do tráfego entre os sites.
Chave pré-compartilhada fraca ou nunca rotacionada
Uma chave comprometida expõe todo o túnel.
Confiar só na VPN, sem firewall nos lados
Um lado comprometido alcança o outro sem barreira adicional.
Túnel sem logs
Acesso lateral malicioso pela VPN passa despercebido.
Quando procurar apoio especializado
Conectar redes com segmentação adequada e visibilidade é trabalho de arquitetura de segurança de redes. A GUARDIASEC apoia isso nos serviços de Consultoria em Segurança e de Segurança AWS, avaliando segmentação, exposição e controle de fluxos entre ambientes.
Perguntas frequentes
A VPN já não criptografa tudo, então está seguro?
A criptografia protege o tráfego em trânsito entre os sites, mas não controla o que pode atravessar o túnel. Se a VPN roteia redes inteiras, um comprometimento de um lado alcança o outro livremente. Segurança de VPN depende tanto da criptografia quanto da segmentação e do controle de fluxos.
Devo rotear toda a rede pelo túnel?
Em geral não. O recomendado é permitir apenas os fluxos realmente necessários, como hosts e portas específicos, em vez de conectar redes inteiras. Isso limita o movimento lateral caso um dos lados seja comprometido e reduz bastante a superfície de risco da conexão.
Preciso de firewall se já tenho a VPN?
Sim. A VPN conecta zonas de confiança diferentes e não substitui o firewall. Manter firewalls nos dois lados garante que apenas o tráfego esperado atravesse o túnel e que um lado comprometido não tenha acesso irrestrito ao outro. VPN e firewall são camadas complementares.
Como detecto abuso pela VPN?
Com logs do túnel e do tráfego que o atravessa, somados a alertas sobre quedas e renegociações anormais. A visibilidade permite identificar padrões de acesso lateral inesperado e investigar. Sem logs, um uso malicioso da conexão entre os sites pode passar completamente despercebido.
Guias relacionados
Próximo passo
Vamos avaliar os riscos do seu ambiente?
Conte seu cenário e definimos juntos o escopo certo. O objetivo é reduzir caminhos prováveis de ataque e elevar a maturidade de segurança, sem promessas absolutas.