Suporte de TI, hospedagem e tecnologia sustentável para empresas
(51) 98143-8470 suporte@itcservice.com.br
ITC Service ITC Service Vila Eunice Velha, Cachoeirinha - RS, 94910-001
WhatsApp
Notícia 8 min de leitura

Tipos de VPN para empresas: usos, comparação e quando sua empresa precisa adotar

SSL VPN, IPSec, WireGuard, site-to-site e acesso remoto: guia completo sobre tipos de VPN corporativa, para que serve cada uma, diferença entre VPN de consumo e firewall empresarial, e os sinais de que sua PME já deveria ter implementado.

Tipos de VPN para empresas: usos, comparação e quando sua empresa precisa adotar

O que é VPN — e por que gestor confunde com “app de internet”

VPN (Virtual Private Network) cria um túnel criptografado entre o dispositivo do usuário e a rede da empresa. Para quem está conectado, ERP, pastas de rede, impressoras e servidores internos ficam acessíveis como se o colaborador estivesse no escritório — sem expor esses sistemas diretamente na internet.

O erro mais comum é tratar VPN como sinônimo de “NordVPN no celular”. Apps de consumo mascaram o IP para privacidade pessoal; VPN corporativa autentica o funcionário, aplica políticas, registra logs e limita o que ele alcança dentro da rede. São problemas diferentes.

Este guia organiza os tipos de VPN, os usos reais em PMEs e o momento em que adiar a implementação vira risco operacional e de segurança. Para implementação prática, veja também VPN e acesso remoto seguro: guia para PMEs e o tutorial Como acessar pastas de rede e VPN no Windows (empresa).

Os dois grandes modelos: acesso remoto e site-to-site

Antes de comparar protocolos, entenda o propósito da conexão:

1. VPN de acesso remoto (remote access)

Cada notebook, celular ou home office conecta sob demanda ao firewall ou concentrador da matriz. Uso típico:

  • Colaborador em casa acessando pasta \\servidor\arquivos e ERP local.
  • Vendedor externo consultando sistema que só existe no servidor do escritório.
  • Técnico de TI fazendo manutenção sem ir presencialmente.
  • Contador ou auditor com acesso temporário e monitorado.

É o primeiro passo da maioria das PMEs brasileiras — especialmente após home office estruturado.

2. VPN site-to-site (filial ↔ matriz)

Dois ou mais locais físicos permanecem interligados 24 horas: a rede da filial “vira extensão” da matriz. Uso típico:

  • Filial com servidor local de PDV ou impressão que precisa falar com ERP na matriz.
  • Telefonia IP entre unidades.
  • Replicação de backup entre escritórios.
  • Indústria ou logística com VLAN de produção em mais de um galpão.

Exige projeto de rede, endereçamento IP planejado e firewall em ambos os lados. Não é “instalar app no notebook”.

3. Modelo híbrido

Empresas em crescimento combinam: site-to-site entre matriz e filiais + remote access para quem trabalha de casa. O firewall corporativo (Fortinet, pfSense, Endian, Sophos e similares) costuma licenciar os dois perfis.

Tipos de VPN por protocolo e tecnologia

“VPN” não é uma tecnologia única. O protocolo define performance, compatibilidade, facilidade e nível de segurança.

Tipo / protocoloComo funcionaPontos fortesLimitaçõesUso típico em PME
SSL VPN / HTTPSTúnel sobre porta 443 (mesma do navegador)Passa em redes restritas; portal web; fácil para usuárioPerformance variável; depende do applianceHome office, acesso a portal e apps internos
IPSec (IKEv2)Túnel na camada 3, padrão de mercadoEstável, rápido, nativo em Windows/macOS/iOSConfiguração mais técnica; NAT pode complicarRemote access e site-to-site em firewall
OpenVPNOpen source sobre UDP/TCPFlexível, auditável, multiplataformaCliente extra; tuning manualPMEs com pfSense/OPNsense ou Linux
WireGuardProtocolo moderno, código enxutoMuito rápido, baixa latência, simples de manterMenos recursos enterprise legadosProjetos novos, equipes técnicas, cloud
SSTPSSL proprietário MicrosoftIntegrado ao WindowsPouco usado fora ecossistema MSAmbientes 100% Windows legados
L2TP/IPSecCamada 2 + IPSecCompatibilidade antigaConsiderado fraco/obsoleto para novos projetosEvitar em projetos novos

VPN no firewall vs. software avulso vs. nuvem (SaaS)

VPN integrada ao firewall corporativo

O padrão recomendado para PME com servidor local, NAS ou ERP on-premise. O mesmo appliance que faz NAT, VLAN e filtro de conteúdo concentra usuários VPN, políticas e logs de quem entrou e quando. Integra com MFA e segmentação — usuário remoto não precisa “ver” a rede inteira.

Software em servidor (OpenVPN Access Server, WireGuard em VM)

Funciona quando já existe servidor Linux ou Windows dedicado e equipe para patch. Custo de licença menor, mas responsabilidade de hardening é sua: atualização, backup de chaves, monitoramento.

VPN “de consumo” ou extensão de navegador

Não substitui VPN corporativa. Não autentica contra AD, não dá acesso a \\servidor, não gera log para auditoria e não segmenta tráfego interno. No máximo mascarar IP — útil para viagem pessoal, inadequado para TI empresarial.

Zero Trust / SASE (evolução)

Em empresas maiores, substitui ou complementa VPN clássica: cada aplicação exige identidade e postura do dispositivo, sem “túnel para a rede inteira”. PME ainda começa bem com VPN no firewall + MFA; Zero Trust entra quando há dezenas de apps SaaS, muitos terceiros e compliance exigente. Leia Firewall corporativo para PMEs: EDR, VLAN e VPN além do antivírus gratuito.

Para que a empresa usa VPN na prática

  • Arquivos e NAS — pastas de rede sem expor SMB na internet.
  • ERP, folha e sistemas legados — software que só roda no servidor local.
  • Impressão remota — enviar job para impressora do escritório.
  • Administração de servidores — RDP/SSH só após VPN, nunca porta aberta.
  • Integração entre filiais — site-to-site transparente para usuários.
  • Terceiros controlados — contador, suporte de software, auditor com perfil limitado e prazo.

O que não exige VPN: e-mail e arquivos já 100% em Microsoft 365 ou Google Workspace, desde que não haja dependência de servidor local. Muitas PMEs são híbridas — nuvem para e-mail, VPN para o que ficou no escritório.

Quando sua empresa já deveria ter VPN

Não existe número mágico universal, mas estes sinais indicam que adiar custa mais caro que implementar:

Sinais imediatos (implementar agora)

  • Colaboradores acessam RDP, AnyDesk ou TeamViewer direto no servidor “porque é mais rápido”.
  • Home office precisa de pasta de rede ou ERP local e hoje usa gambiarra (pen drive, cópia por WhatsApp).
  • Existe servidor de arquivos, NAS ou banco no escritório consultado de fora.
  • filial que precisa do mesmo domínio AD ou mesmo ERP da matriz.
  • Cliente ou auditor exige acesso remoto rastreável (log, MFA, revogação).
  • Já ocorreu incidente: notebook perdido com mapa de unidade Z: sem criptografia.

Sinais de maturidade (planejar em 3–6 meses)

  • Equipe entre 5 e 10 pessoas com rotina híbrida (escritório + casa).
  • Crescimento de contratações remotas ou vendedores externos.
  • Projeto de segmentação VLAN (visitantes, câmeras, produção).
  • Substituição de roteador doméstico por firewall gerenciado.
  • Preparação para LGPD: acesso a dados pessoais só por canal autenticado.

Quando VPN pode esperar (com ressalvas)

  • Microempresa 100% nuvem, sem servidor local, sem dados sensíveis on-premise.
  • Operação presencial fixa, zero home office, zero filial.

Mesmo assim, ter VPN pronta no firewall costuma ser barato comparado a um incidente de ransomware via RDP exposto — vetor nº 1 automatizado no Brasil.

Checklist: sua empresa está pronta para VPN?

  1. Inventário — quem precisa de acesso remoto, de onde, a quais sistemas.
  2. Firewall compatível — licença VPN para usuários simultâneos reais (não só “2 de graça”).
  3. MFA obrigatório — app autenticador; SMS sozinho é fraco.
  4. Política escrita — proibir RDP direto na internet; bloquear tela ao afastar.
  5. Split tunnel definido — decidir se tráfego de YouTube/Netflix passa fora do túnel.
  6. Revogação — processo no desligamento: desativar VPN no mesmo dia.
  7. Teste real — validar de casa de um colaborador, não só do escritório.
  8. Backup e patches — VPN não protege notebook infectado que entra no túnel.

Erros que anulam o benefício da VPN

  • RDP na porta 3389 aberta — ransomware em horas. VPN existe justamente para evitar isso.
  • VPN sem MFA — senha vazada em vazamento = rede interna comprometida.
  • Perfil “acesso total” para todos — estagiário não precisa do VLAN de servidores.
  • BYOD sem política — celular pessoal com malware entrando no ERP.
  • Ex-funcionário com usuário ativo — revogação esquecida é incidente adiado.
  • Wi-Fi público sem VPN — café, hotel, aeroporto: sempre conectar antes de abrir sistemas.

Mais contexto em Ransomware: o que fazer nas primeiras horas e Política de senhas e MFA: como implementar em empresas sem travar a operação.

Quanto custa e quanto tempo leva

PME típica (10–30 usuários, um escritório, home office):

  • Licença VPN no firewall — de dezenas a poucas centenas de reais/mês conforme appliance e usuários simultâneos.
  • Projeto + configuração — 1 a 3 dias de trabalho técnico (mapeamento, MFA, testes, documentação).
  • Site-to-site extra — adiciona visita técnica na filial ou configuração remota guiada.

Comparar com uma parada de produção ou resgate de ransomware torna o investimento previsível. A ITC projeta redes corporativas e VPN no Rio Grande do Sul — diagnóstico, implantação e suporte contínuo.

Próximos passos

Se você se reconheceu nos sinais acima, o caminho é:

  1. Leia o VPN e acesso remoto seguro: guia para PMEs.
  2. Siga o tutorial Como acessar pastas de rede e VPN no Windows (empresa).
  3. Consulte o pilar Emergências e acesso remoto e Redes e Wi-Fi corporativo.
  4. Fale com a ITC para diagnóstico sem compromisso.