Blog da EVEO

VPN: o que é, como funciona e quando ainda faz sentido

Escrito por Vicente Neto | 5/12/20 12:17 PM

⏱ 9 min de leitura

A VPN (Virtual Private Network) foi por décadas a tecnologia padrão para conectar trabalhadores remotos a redes corporativas com segurança. Em 2026, ela ainda existe e ainda é usada em escala — mas a discussão técnica mudou. Protocolos antigos perderam espaço para o WireGuard. Modelos baseados em perímetro estão sendo substituídos por arquiteturas ZTNA. E muitas empresas descobriram, da pior forma, que VPN mal configurada não protege — apenas cria uma falsa sensação de segurança.

Este artigo cobre o que é VPN, como funciona, os protocolos modernos, quando ainda faz sentido e quando ZTNA ou SASE são alternativas melhores. Direcionado a gestores de TI, profissionais de segurança da informação e qualquer pessoa que precise entender VPN em profundidade técnica, não apenas o nome.

Neste artigo:

  1. O que é VPN
  2. Como uma VPN funciona na prática
  3. Tipos de VPN: site-to-site, acesso remoto e pessoal
  4. Protocolos modernos: WireGuard, OpenVPN, IPsec
  5. Os benefícios reais para uso corporativo
  6. Limitações da VPN tradicional em 2026
  7. Quando ZTNA e SASE são alternativas melhores
  8. Onde a EVEO entra na sua estratégia de segurança
  9. Perguntas frequentes

O que é VPN

VPN VPN (Virtual Private Network, ou Rede Virtual Privada) é uma tecnologia que cria um túnel criptografado entre dois pontos sobre uma rede pública, normalmente a internet, permitindo que dados trafeguem com confidencialidade e integridade como se estivessem em uma rede privada dedicada.

O conceito tem origem no fim dos anos 1990, com o desenvolvimento do protocolo PPTP (1996) pela Microsoft, voltado para acesso remoto corporativo. Desde então, a tecnologia evoluiu por várias gerações: L2TP/IPsec, SSL VPN, IKEv2/IPsec, OpenVPN, e mais recentemente WireGuard (2019), que mudou o jogo em performance e simplicidade.

Em uma VPN, o cliente (pode ser um computador, smartphone ou dispositivo de rede) estabelece uma conexão criptografada com um servidor VPN. Todo o tráfego entre os dois pontos passa por esse túnel, indiferente ao caminho real que os pacotes percorrem na internet pública. Para quem está fora do túnel, o tráfego é apenas dados criptografados sem significado aparente.

VPN não protege a empresa. Protege o tráfego entre dois pontos. Quando o atacante já está dentro da rede, VPN vira ponte de mais fácil acesso, não barreira. Empresa que confia tudo na VPN está confiando em arquitetura de segurança da década passada.

Como uma VPN funciona na prática

O fluxo básico de operação tem três etapas técnicas que acontecem em milissegundos quando você ativa a VPN:

1. Autenticação
O cliente VPN se identifica para o servidor por meio de credenciais (usuário/senha, certificado digital, autenticação multifator). Sem autenticação válida, o túnel não é estabelecido. Em ambientes corporativos sérios, MFA é obrigatório — VPN com apenas usuário e senha é vetor recorrente de ataques de credential stuffing.
2. Negociação criptográfica
Cliente e servidor negociam algoritmos de criptografia, troca de chaves e parâmetros de sessão. Os padrões modernos usam AES-256 para criptografia simétrica, ECDH ou X25519 para troca de chaves, e SHA-256 ou Poly1305 para integridade. Negociação fraca = sessão fraca.
3. Estabelecimento do túnel
Após autenticação e negociação, o túnel é criado. A partir desse momento, todo tráfego entre cliente e servidor passa criptografado. O ISP, redes Wi-Fi públicas e qualquer ator no caminho enxergam apenas o fato de que existe uma conexão VPN, não o conteúdo.

A VPN também substitui o endereço IP do cliente pelo IP do servidor VPN para o tráfego que sai do túnel. Para o destino final (um site, uma aplicação corporativa), a conexão parece vir do servidor VPN. Esse mecanismo é o que permite acessar recursos restritos por geografia ou rede.

Tipos de VPN: site-to-site, acesso remoto e pessoal

A categoria "VPN" engloba arquiteturas bem diferentes, cada uma com seu caso de uso:

VPN site-to-site
Conecta duas redes inteiras por meio de túneis permanentes entre roteadores ou firewalls de cada local. Muito usada para integrar filiais de uma empresa, conectar data centers ou estabelecer comunicação segura entre parceiros de negócio. Usuários finais não precisam configurar nada — a conexão é transparente.
VPN de acesso remoto
Permite que dispositivos individuais (laptops, smartphones) se conectem à rede corporativa de qualquer lugar com internet. É o uso mais comum em empresas com trabalho remoto ou híbrido. Exige instalação de cliente VPN no dispositivo do usuário.
VPN pessoal (consumer VPN)
Serviços comerciais como NordVPN, ExpressVPN e ProtonVPN. Foco em privacidade individual, mascaramento de IP e contorno de restrições geográficas. Não tem função corporativa direta — em ambiente empresarial, geralmente é proibida pela política de TI por gerar pontos cegos para o time de segurança.
VPN cliente-para-cliente (peer-to-peer)
Modelos descentralizados onde dispositivos se conectam diretamente entre si por túneis VPN. Tailscale e ZeroTier são exemplos modernos baseados em WireGuard. Crescente em equipes técnicas distribuídas que precisam de conectividade simples sem gerenciar servidor VPN central.

Protocolos modernos: WireGuard, OpenVPN, IPsec

O protocolo determina performance, segurança e compatibilidade da VPN. Os principais em uso corporativo em 2026:

Protocolo Lançamento Performance Quando usar
WireGuard 2019 Excelente Padrão moderno, código enxuto, ideal para acesso remoto
OpenVPN 2001 Boa Compatibilidade ampla, configuração flexível, padrão consolidado
IKEv2/IPsec 2005 Muito boa Excelente para mobile (reconexão rápida), comum em fabricantes corporativos
L2TP/IPsec 1999 Razoável Legado, ainda comum em hardware antigo
PPTP 1996 Alta (mas inseguro) Não usar — quebrado, sem segurança real

⚠ Atenção a protocolos legados

PPTP foi quebrado há mais de uma década e continua sendo desligado por fabricantes a cada nova versão de sistema operacional. Apesar disso, ainda aparece em configurações antigas de empresas que nunca atualizaram. Se a sua empresa ainda usa PPTP, isso é o equivalente a deixar a porta destrancada com placa de "bem-vindos, hackers". Migrar para WireGuard ou IKEv2 é prioridade de segurança, não otimização.

Por que o WireGuard mudou o jogo

O WireGuard, lançado em 2019 e mantido pelo desenvolvedor Jason Donenfeld, é hoje o protocolo VPN moderno de referência. Os motivos da adoção massiva:

  • Código pequeno: cerca de 4.000 linhas de código (vs ~600.000 do OpenVPN+OpenSSL). Menor superfície para vulnerabilidades.
  • Criptografia moderna fixa: usa apenas algoritmos atuais (ChaCha20, Poly1305, X25519, BLAKE2s, Curve25519). Sem combinações antigas para suportar.
  • Performance superior: tipicamente 2-4x mais rápido que OpenVPN em cenários comparáveis.
  • Implementação simples: configuração mínima, ideal para automação e provisioning.
  • Bateria amiga: em mobile, consome muito menos energia que protocolos antigos.

Ferramentas como Tailscale, NetBird e Headscale popularizaram WireGuard em ambientes corporativos por adicionar camadas de gerenciamento que faltavam ao protocolo "puro".

Os benefícios reais para uso corporativo

VPN bem implementada em ambiente corporativo entrega ganhos concretos:

Acesso remoto seguro

Funcionários acessam recursos corporativos (ERPs, intranets, repositórios de código, sistemas internos) de qualquer local com internet, com criptografia ponta a ponta. Para empresas com modelo híbrido ou home office, é capacidade básica.

Conectividade entre filiais

VPNs site-to-site conectam matriz e filiais sem precisar de links dedicados (MPLS, P2P) caros. Para empresas multi-localização, é a forma mais econômica de integrar redes mantendo segurança.

Proteção em redes públicas

Funcionário em aeroporto, hotel ou café usa Wi-Fi público sem expor credenciais e dados sensíveis. A criptografia da VPN inutiliza tentativas de interceptação no nível da rede pública.

Compliance e auditoria

VPN bem configurada gera logs de acesso, autenticação e tráfego que ajudam em auditoria de conformidade (LGPD, ISO/IEC 27001, normas setoriais). Acesso remoto sem VPN frequentemente significa lacuna grande em log de auditoria.

Continuidade em situações de exceção

Pandemias, problemas de transporte, emergências locais — qualquer situação que impeça presença física no escritório vira menos crítica quando há VPN robusta para acesso remoto.

Limitações da VPN tradicional em 2026

VPN não é solução universal. As limitações que importam para gestores em 2026:

  • Modelo de "castelo e fosso": uma vez que o usuário entra na VPN, normalmente tem acesso amplo à rede. Se as credenciais são comprometidas, o atacante ganha acesso pleno — característica explorada em incidentes recentes de ransomware.
  • Performance: tráfego que poderia ir direto à internet pública passa pelo servidor VPN, gerando latência adicional. Em aplicações cloud e SaaS, isso degrada experiência sem ganho de segurança proporcional.
  • Escala: servidores VPN têm limite de conexões simultâneas. Em pico de uso (início do home office na pandemia, por exemplo), sistemas inteiros caíram por falta de capacidade.
  • Falha de segmentação: usuário que precisa apenas do CRM acaba ganhando acesso à rede inteira. Princípio de menor privilégio fica difícil de aplicar.
  • Visibilidade limitada: uma vez dentro do túnel, tráfego do usuário não é inspecionado pelas ferramentas de segurança da rede pública. Ataques que abusam de credenciais válidas passam despercebidos.
  • Complexidade operacional: manter clientes VPN atualizados em centenas de dispositivos, lidar com diversidade de sistemas operacionais e renovações de certificado consome tempo do time de TI.

💡 O movimento "after VPN"

Empresas grandes (Google foi pioneira com o BeyondCorp em 2014) abandonaram a VPN tradicional como modelo central de acesso. A nova arquitetura, conhecida como Zero Trust, parte do princípio de que nenhuma rede é confiável por padrão — todo acesso é autenticado, autorizado e validado a cada requisição, com base em identidade, contexto e postura do dispositivo. VPN não morre, mas vira uma das peças (não o centro) de uma arquitetura mais sofisticada.

Quando ZTNA e SASE são alternativas melhores

Duas categorias modernas que estão substituindo VPNs tradicionais em operações corporativas:

ZTNA (Zero Trust Network Access)
Em vez de dar acesso à rede inteira após autenticação (modelo VPN), ZTNA dá acesso apenas a aplicações específicas, autorizado caso a caso, com validação contínua de identidade e dispositivo. Ferramentas como Zscaler Private Access, Cloudflare Access, Palo Alto Prisma Access e Cisco Duo são líderes do segmento. Ideal para acesso remoto a aplicações corporativas individuais.
SASE (Secure Access Service Edge)
Categoria mais ampla criada pela Gartner em 2019. Combina ZTNA, firewall de próxima geração, gateway web seguro, CASB (Cloud Access Security Broker) e SD-WAN em uma plataforma cloud-nativa unificada. Ideal para empresas que querem consolidar segurança de borda e acesso remoto em um único provedor.
SD-WAN com VPN integrada
Software-Defined WAN que combina otimização de tráfego com criptografia VPN para conexões entre filiais. Substitui MPLS tradicional por internet pública gerenciada com inteligência. Cisco Meraki, Fortinet Secure SD-WAN e VMware VeloCloud são referências.

Para empresas pequenas, VPN tradicional ainda é a escolha mais simples e econômica. Para empresas médias e grandes com aplicações distribuídas em cloud e legado, ZTNA e SASE entregam segurança superior. A migração não é urgente para todos, mas vale entrar no radar de quem ainda usa apenas VPN tradicional.

Onde a EVEO entra na sua estratégia de segurança

VPN é apenas uma das camadas de segurança em uma operação madura. Para empresas brasileiras que precisam combinar acesso remoto seguro, segmentação de rede, monitoramento e governança de dado, a EVEO opera nuvem privada e servidores dedicados em data centers brasileiros, com firewall corporativo, monitoramento contínuo e suporte técnico em português.

Para empresas com requisitos regulatórios fortes (financeiro, saúde, governo, jurídico), o modelo combina infraestrutura nacional, conformidade com LGPD e arquitetura de segurança em camadas (firewall, VPN, monitoramento, backup imutável, Disaster Recovery). Casos documentados em histórias de sucesso mostram operações que estruturaram segurança com governança real, não apenas produto comprado.

No fim, VPN segue sendo tecnologia útil — mas não a tecnologia central. Em 2026, segurança corporativa séria combina VPN moderna (com WireGuard ou IKEv2/IPsec), arquiteturas Zero Trust onde fizer sentido e governança consistente sobre toda a operação. Quem entende isso constrói defesa real. Quem ainda confia tudo em VPN antiga descobre o erro no primeiro incidente sério.

Perguntas frequentes sobre VPN

Qual a diferença entre VPN corporativa e VPN pessoal?

VPN corporativa permite que funcionários acessem recursos da empresa (ERPs, sistemas internos, intranets) de forma segura a partir de qualquer local. É gerenciada pelo time de TI e integrada a políticas de segurança. VPN pessoal (NordVPN, ExpressVPN, ProtonVPN) é serviço comercial focado em privacidade individual e contorno de restrições geográficas — não tem função corporativa e geralmente é proibida em ambientes empresariais por gerar pontos cegos para o time de segurança.

WireGuard, OpenVPN ou IPsec: qual escolher?

WireGuard é a escolha padrão moderna para acesso remoto: simples, rápido, código enxuto e criptografia atual. OpenVPN ainda faz sentido em cenários que exigem compatibilidade ampla com hardware legado e políticas granulares. IKEv2/IPsec é excelente em mobile (reconecta rapidamente quando a rede muda) e padrão em fabricantes corporativos (Cisco, Fortinet, Palo Alto). PPTP não deve ser usado em hipótese alguma — está quebrado há mais de uma década.

VPN é suficiente para garantir segurança corporativa?

Não. VPN protege o tráfego entre dois pontos, mas não protege contra credenciais comprometidas, malware no endpoint, configuração errada de servidores ou ataques que exploram aplicações. Segurança corporativa séria combina múltiplas camadas: firewall, VPN ou ZTNA, antivírus/EDR, MFA, monitoramento, segmentação de rede, backup imutável, treinamento de usuários e governança de identidade. Empresa que confia tudo em VPN está com defesa parcial.

O que é Zero Trust e como se relaciona com VPN?

Zero Trust é arquitetura de segurança que parte do princípio "nunca confie, sempre verifique". Em vez de assumir que tudo dentro da rede corporativa é confiável (modelo de "castelo e fosso" da VPN tradicional), Zero Trust valida cada acesso individualmente, baseado em identidade, dispositivo, contexto e postura de segurança. ZTNA (Zero Trust Network Access) é a tecnologia que substitui VPN tradicional, dando acesso apenas a aplicações específicas em vez de à rede inteira. VPN não morre, mas vira uma das peças, não o centro da segurança.

Posso usar VPN para fazer home office com segurança?

Sim, VPN bem configurada é capacidade básica para home office em 2026. Os requisitos mínimos: protocolo moderno (WireGuard ou IKEv2/IPsec), autenticação multifator obrigatória, certificados de cliente sempre que possível, criptografia AES-256, logs de auditoria centralizados e revisão regular dos acessos concedidos. VPN sem MFA é ponto de entrada favorito de atacantes — a maioria dos ataques de ransomware do último ano usou credenciais VPN comprometidas como vetor inicial.
Visualizar publicação completa