O que é segurança de data center?

Principais conclusões sobre a segurança de dados do data center

• A continuidade operacional é uma métrica fundamental para a segurança de data centers. Uma violação de segurança em seus sistemas de gerenciamento predial (OT) agora tem a mesma probabilidade de causar uma interrupção total do que um invasor em nível de rede.
• A lacuna entre a base e a nuvem é seu maior ponto cego de segurança. Os invasores estão usando cada vez mais o movimento lateral dos sistemas secundários de TI para sabotar o resfriamento físico e a energia.
• A infraestrutura de IA em um data center precisa de uma postura de segurança que priorize o desempenho. Não é possível permitir que os agentes de segurança tradicionais sobrecarreguem os ciclos de computação dos clusters de machine learning e IA de alta densidade.
• Como a tática "colha agora, descriptografe depois" acelera, leve em conta a exposição a longo prazo de seus dados criptografados hoje para preparar sua organização para impactos no futuro.

A segurança do data center é o gerenciamento unificado de exposições em todos os sistemas que mantêm suas instalações em funcionamento - desde sistemas de TO, IoT e cibernéticos e físicos em sua base até TI corporativa, nuvem, identidade, IA e aplicações Web. 

Se depender de ferramentas de segurança em silos e de sistemas reativos de detecção e resposta a ameaças, você nunca terá a visibilidade proativa e de ponta a ponta necessária para proteger seu data center. 

Isso porque o seu antigo perímetro de segurança de firewalls e controles de acesso pertence a uma era diferente, quando os data centers eram sinônimos de salas de servidores tradicionais, e não as fábricas de IA de alta densidade que são hoje. Os data centers modernos são industriais em escala, com vulnerabilidades físicas, operacionais e da cadeia de suprimentos que as ferramentas de segurança nunca previram, mas que os invasores estão ansiosos para explorar.

As ameaças à segurança dos data centers agora incluem qualquer coisa que interrompa as operações, desde falhas na distribuição interna de energia até danos à infraestrutura física e comprometimento da cadeia de suprimentos. 

Encontrar e mitigar esses riscos significa obter visibilidade de cada ativo em todo o seu cenário operacional e digital. 

Unified exposure management gives you a single view of your cyber risk across a complex data center attack surface that your team built piece by piece. It aligns how you defend your infrastructure with how attackers actually move through it: without boundaries.

Em um data center, você gerencia uma área de cobertura em que os ativos físicos e digitais são inseparáveis. 

Uma vulnerabilidade em um controlador lógico programável (PLC) da instalação principal ou uma configuração incorreta nos sistemas internos de distribuição de energia é agora um risco cibernético de nível um. Em um ambiente de alta densidade, a falta de energia nesses sistemas, mesmo que por um microssegundo, pode resultar na falha simultânea de centenas de servidores.

Se um agente de ameaças sabotar seu sistema HVAC, o impacto em um centro de hiperescala de 100 MW, que requer até 28.500 toneladas de resfriamento, será imediato. Dentro de três a oito minutos, as CPUs reduzirão o desempenho e, dentro de nove a 15 minutos, o cluster será totalmente desligado, causando danos catastróficos ao hardware. 

Para proteger seu centro de dados, é preciso preencher a lacuna de visibilidade entre o subsolo (sua energia e refrigeração) e toda a sua pilha de computação, incluindo as unidades de processamento gráfico (GPUs) de alto desempenho, os modelos proprietários de IA que elas executam e as identidades que as acessam.

Deseja gerenciar melhor a segurança de seu data center em uma única plataforma de gerenciamento de exposição? Veja como em Tenable One.

Os ataques convergentes que unem instalações físicas e redes digitais podem superar a capacidade da maioria das equipes de segurança de dados enxutas dos data centers. Essa vulnerabilidade decorre de uma diferença fundamental de linguagem e de equipes isoladas. Os gerentes das instalações monitoram a integridade mecânica, enquanto os analistas do centro de operações de segurança (SOC) monitoram as anomalias em nível de bits. 

Quando um chiller envia um alerta mecânico, um analista de SOC geralmente o descarta como um problema de manutenção. Eles simplesmente não têm o contexto para reconhecê-lo como o primeiro estágio de um invasor de desligamento térmico.

O gerenciamento de exposição corrige isso retirando a correlação manual de dados de sua mesa e mapeando automaticamente toda a via de ataque. O Tenable One, por exemplo, combina insights sobre as instalações com vulnerabilidades de TI para lhe dar o porquê das anomalias mecânicas e revelar a intenção de segurança que o monitoramento tradicional deixa passar.

A pontuação de exposição pondera a criticidade do ativo, para que sua equipe tome decisões com base no contexto operacional e de ameaças reais. Por exemplo, uma ameaça de resfriamento a um cluster de GPU de 100 MW nunca deve ficar na mesma fila que um patch de software de rotina em um servidor periférico e, com o Tenable One, isso não acontecerá. Você pode pular o gargalo da triagem e ir direto para as correções que realmente fazem a diferença no risco.

A maioria das equipes de instalações e de SOC não se comunicam o suficiente, e essa lacuna é um problema de segurança.

Em vez de enfrentar um firewall corporativo reforçado, hoje os invasores podem usar sistemas de gerenciamento de edifícios (BMSs) ou fontes de alimentação ininterrupta (UPSs) como pontos de entrada e passar por esses controladores negligenciados e conectados em rede diretamente para sua pilha de computação primária.

Uma vez dentro, eles podem ajustar os controladores de temperatura e umidade para forçar um desligamento térmico ou girar lateralmente e extrair dados dos servidores que os sistemas de resfriamento estão mantendo vivos. A maioria das equipes não percebe isso porque está observando a TO e a TI por lentes separadas.

O gerenciamento de exposição preenche essa lacuna de visibilidade. Ao reunir os dados de TO, TI e todas as outras partes da superfície de ataque em um único painel de controle, é possível ver como os controladores da instalação e a pilha de computação se conectam. Seu SOC obtém visibilidade de uma via de ataque baseada em instalações antes que um invasor possa explorá-la.

E, ao quantificar o risco em todos os ambientes ao mesmo tempo, você deixa de fazer suposições em silos e começa a executar uma defesa proativa que abrange toda a sua cadeia operacional.

Resfriamento e energia: Sistemas de suporte à vida útil do data center

As dependências críticas também criam riscos significativos em um data center. 

De acordo com a Análise Anual de Interrupções 2025 do Uptime Institute, a energia continua sendo a principal causa de interrupções impactantes, enquanto os problemas de TI e de rede agora são responsáveis por quase um quarto de todas as falhas significativas.

Em 2023, um mau funcionamento do resfriamento em um importante data center de Cingapura interrompeu 2,5 milhões de transações bancárias. Da mesma forma, no final de 2025, um incêndio de 22 horas em uma bateria de íons de lítio na Coreia do Sul resultou na perda de 858 TB de dados. Esses eventos ressaltam a necessidade da segurança de TO como parte do seu programa de gerenciamento de exposição para monitorar o no-break, as unidades de distribuição de energia (PDUs) e os aparelhos de detecção precoce de fumaça (VESDA). 

Convergência de TI/OT e acesso físico

A segurança do data center agora tem a ver com o movimento lateral entre dois mundos anteriormente isolados, criando um desafio de segurança convergência de TI/OT em que uma única credencial phishing na sua rede empresarial pode dar aos agentes de ameaças uma base para acessar câmeras de segurança física, leitores de crachás ou controles de ambiente.

Para impedir que os agentes de ameaças obtenham acesso, monitore a exposição da identidade para garantir que os agentes de ameaças não possam usar credenciais de usuário comprometidas para desbloquear salas de servidores ou desativar alarmes físicos.

Ao realizar uma análise da via de ataque desde a superfície de ataque externa até os ativos críticos internos, é possível ver como um servidor da Web exposto pode levar a uma violação física. É preciso ver seu data center como uma estrutura contínua de riscos para protegê-lo de forma proativa.

Ameaças físicas especializadas

O dimensionamento da infraestrutura modular em seu data center para suportar racks de alta densidade introduz vulnerabilidades físicas que nem sempre recebem supervisão digital. Aqui estão algumas que pegam as equipes desprevenidas:

• Muitos data centers utilizam sistemas de armazenamento de energia de bateria (BESS) e geração de energia no local para workloads de IA. O consumo de energia é enorme. A conexão entre a rede de serviços públicos e seu data center é o principal alvo de agentes de estado-nação que buscam causar interrupções regionais.
• Se ainda estiver usando discos rígidos físicos para armazenamento secundário, a supressão de incêndios é uma ameaça que a maioria dos CISOs nunca prevê. Uma descarga VESDA de alto decibéis desencadeia liberações de gás, como o Inergen, FM200. Embora o gás não danifique os circuitos, a pressão acústica da descarga cria vibrações fortes o suficiente para quebrar fisicamente os pratos do disco rígido.
• Os componentes envelhecidos também são um problema de segurança. As baterias de íon-lítio que já passaram da vida útil podem ser um risco de incêndio. Quando esses sistemas falham, os custos de substituição de hardware e o tempo de inatividade costumam ser mais graves do que a maioria das violações de dados.

O gerenciamento de exposição ingere informações dos controladores BESS e dados do ciclo de vida do hardware. Uma plataforma de avaliação de exposição (EAP) pode sinalizar componentes de energia antigos ou ativos de borda não corrigidos como pontos de entrada de alto risco. Priorização baseada em riscos então dita a substituição do hardware de acordo com os níveis reais de ameaça, e não com cronogramas de manutenção arbitrários. 

Ao sincronizar essas métricas de saúde física com seu SOC, você impede que os invasores explorem a deterioração estrutural do seu data center para obter acesso aos seus ativos digitais.

Em um ambiente de IA de alta densidade, a quantidade de comunicação entre nós pode sobrecarregar a segurança tradicional baseada em perímetro. 

Os firewalls padrão lidam com o tráfego norte-sul. Elas não conseguem acompanhar as explosões maciças e de baixa latência no sentido leste-oeste exigidas pelo treinamento distribuído, em que milhares de GPUs precisam sincronizar parâmetros em paralelo sem criar gargalos.

O gerenciamento de exposição resolve esse trade-off entre desempenho e segurança mapeando os caminhos de comunicação específicos entre esses clusters de GPU para detectar movimentos laterais sem interromper o fluxo de treinamento. 

Ao correlacionar esses dados de rede de alta velocidade com a criticidade dos ativos, o gerenciamento de exposição identifica mudanças de dados não autorizadas na malha leste-oeste antes que um adversário possa usar como arma a enorme taxa de transferência do cluster.

Eliminação do imposto sobre o desempenho da computação

Quando você executa dados de treinamento de IA de alto desempenho e workloads de machine learning em seu data center, cada ciclo de computação é um ativo valioso. 

Os agentes de segurança tradicionais geralmente impõem uma taxa de desempenho que os modelos de IA não podem pagar. Esse imposto refere-se ao consumo de ciclos de computação valiosos e à injeção de latência nos pipelines de dados pelo software de segurança tradicional. 

Como as workloads de IA e machine learning de alta densidade e os clusters de GPU exigem cada grama de energia disponível para treinamento e inferência, qualquer entrave no desempenho aumenta diretamente o tempo de treinamento de grandes modelos de linguagem, transformando a segurança em um gargalo. 

Para evitar gargalos, opte por uma abordagem de gerenciamento de superfície de ataque sem agentes, com base em uma avaliação híbrida e adaptativa:

• Transfira o processamento de segurança da CPU/GPU do host para unidades especializadas de processamento de dados (DPUs) para obter uma visibilidade profunda do host e do hipervisor sem afetar os ciclos de computação necessários para o treinamento do modelo.
• Execute a inspeção profunda de pacotes no tráfego leste-oeste, incluindo VXLAN, na taxa de linha. É possível detectar anomalias e movimentos laterais sem injetar latência em seus pipelines de dados.
• Use a segmentaçãode confiança zero para que uma vulnerabilidade em uma PDU não possa se tornar um ponto de apoio em um cluster de treinamento de alto desempenho.
• Audite sua pilha de software de nuvem e IA, incluindo camadas de orquestração como Kubernetes e bibliotecas de modelos especializados, usando a verificação baseada em snapshot para encontrar vulnerabilidades e configurações incorretas sem colocar uma carga ativa em um cluster de GPU.

Leia "Segurança de data centers de IA" para saber mais sobre essa abordagem não disruptiva.

Protegendo seus dados de treinamento de IA e o ciclo de vida do machine learning

A segurança do seu data center deve acompanhar os dados desde os pipelines de ingestão na camada de armazenamento até os endpoints de inferência que atendem aos usuários, para evitar:

• Envenenamento de modelos: Acesso lateral não autorizado às camadas de armazenamento de alta velocidade onde residem os conjuntos de dados de treinamento.
• Injeção imediata: Entradas mal-intencionadas direcionadas a endpoints de serviços de inferência em execução em seus clusters de produção.
• Shadow AI: Funcionários ou desenvolvedores que desenvolvem modelos de IA não autorizados que criam cantos escuros onde os sistemas processam dados confidenciais sem supervisão da segurança corporativa.

O gerenciamento contínuo de exposição mapeia toda a sua linhagem de dados e identifica configurações incorretas na infraestrutura de serviço de modelos. Correlacionar essas vulnerabilidades com os riscos das instalações físicas garante que uma violação no sistema de resfriamento ou uma API não remediada não possa comprometer a integridade de seus sistemas.

A IA autêntica é um risco significativo para seu data center. Esses sistemas de IA tomam decisões independentes para ativar malware polimórfico que reescreve seu próprio código em tempo real e agentes de reconhecimento automatizados que verificam petabytes de tráfego para encontrar microvulnerabilidades mais rapidamente do que qualquer ser humano.

To counter AI risks in your data center, perform regular vulnerability assessments of your autonomous AI agents to ensure threat actors haven’t poisoned them with malicious instructions that alter security logic.

Use o gerenciamento de exposição para mitigar essa ameaça, analisando os logs de comportamento e os conjuntos de permissões de cada agente autônomo em sua malha de computação. Ao identificar agentes com privilégios excessivos ou alterações não autorizadas no conjunto de instruções de um agente, o gerenciamento de exposição evita que os invasores virem sua própria automação contra sua infraestrutura.

Ataques de login centrados na identidade: Deepfakes e desvio de MFA

Os adversários também estão mudando de "invadir" para "fazer login". Hoje, eles exploram com a mesma facilidade o elemento humano de seu data center, enganando alguém para que forneça credenciais, como uma vulnerabilidade conhecida. Para defender esse perímetro, você precisa de uma segurança centrada na identidade.

Aqui estão alguns métodos de invasão que podem afetar seu data center:

• Os invasores usam voz e vídeo gerados por IA para falsificar identidades.
  • Além disso, os feeds de câmera comprometidos permitem que os adversários leiam os números PIN nos pontos de entrada ou capturem os rostos dos operadores para chantagem e engenharia social.
  • O gerenciamento de exposição encontra essas anomalias ao correlacionar solicitações de acesso incomuns com a telemetria comportamental de linha de base e as pontuações de reputação do dispositivo.
• Ataques de invasores no meio (AiTM) e push-bombing.
  • Isso ajuda os extorsionários a contornar a autenticação multifator (MFA) roubando tokens de sessão ativos.
  • Uma plataforma de gerenciamento de exposição mitiga esse risco identificando configurações de sessão vulneráveis e sinalizando padrões de autenticação de alto risco que indicam roubo de token ou notificações push excessivas.
• A exploração da via de ataque do Active Directory aproveita os pontos de entrada comprometidos.
  • Uma vez que os agentes de ameaças obtêm acesso físico por meio de um hacker de sistema de crachá, eles podem instalar módulos de hacker de hardware para contornar firewalls, estabelecer acesso remoto persistente e desencadear incidentes catastróficos de negação de sistema.
  • O gerenciamento de superfície de ataque mapeia essas relações complexas de identidade, revelando caminhos ocultos de um ativo de instalação de baixo nível para seus controladores de domínio mais sensíveis antes que um invasor possa explorá-los.
• Os ataques de retransmissão de credenciais exploram os métodos tradicionais de MFA interceptando e reproduzindo tokens de autenticação em tempo real.
  • Assim, os invasores podem contornar os controles de segurança mesmo quando os usuários se autenticam com sucesso por meio de canais legítimos.
  • O gerenciamento de exposição interrompe esses ataques mapeando contas de serviço específicas e protocolos legados, como o NTLM (New Technology LAN Manager), que permite a retransmissão de tokens. Quando você puder encontrar todos os pontos de estrangulamento em que essas contas se vinculam a ativos empresariais críticos, poderá tomar medidas para desativar as configurações propensas a retransmissões antes que um adversário as use como arma.

Colher agora, descriptografar depois

A estratégia harvest now, decrypt later (HNDL) é uma das principais preocupações dos data centers que armazenam dados confidenciais de longo prazo. Os adversários estão desviando dados criptografados hoje com a intenção de descriptografá-los quando computadores quânticos criptograficamente relevantes estiverem disponíveis. 

De acordo com a orientação da CISA sobre categorias de produtos para tecnologias que usam padrões de criptografia pós-quântica, você deve priorizar a migração de sistemas de alto impacto e funções críticas nacionais (NCFs) para criptografia pós-quântica (PQC) para se defender contra a coleta de dados a longo prazo.

Como os ciclos de vida do data center são longos, o hardware que você instala hoje deve estar pronto para o quantum para evitar ficar obsoleto nos próximos anos. 

O gerenciamento de exposição oferece suporte a essa migração com um inventário contínuo de seus ativos criptográficos. Ele pode identificar instâncias específicas de criptografia herdada, como Rivest-Shamir-Adleman (RSA) ou criptografia de curva elíptica (ECC), em sua pilha de software e camadas de armazenamento em nuvem. 

Ao revelar esses algoritmos vulneráveis antes que eles se tornem obsoletos, você pode aplicar sistematicamente os padrões de PQC primeiro aos seus ativos de dados de maior valor.

Ferramentas de segurança desconectadas e em silos criam pontos cegos na estratégia de segurança de seu data center. Uma abordagem mais unificada, como o gerenciamento de exposição, considera todo o seu ambiente convergente como uma única superfície de ataque.

Em vez de navegar por vários painéis, o Tenable One unifica os dados de toda a sua empresa em uma única pontuação de exposição. A consolidação desses dados em uma única exibição ajuda a sua equipe de segurança a interceptar vias de ataque complexas e entre domínios antes que elas causem tempo de inatividade operacional.

Sua estratégia de segurança para o data center também deve atender aos rigorosos padrões de conformidade de segurança de dados, como a conformidade NERC CIP para sistemas de energia e NIS2 para resiliência de infraestrutura. 

O Tenable One lhe dá visibilidade contínua e automatizada de cada ativo e exposição em seu data center para melhorar continuamente a conformidade.

Faça o download do Security Leader's Guide to Exposure Management para ver como uma plataforma unificada de gerenciamento de exposição pode simplificar os relatórios regulamentares.

À medida que mais e mais data centers estão sendo construídos para alimentar a economia digital em evolução, através da nuvem, IA, quântica e muito mais, algumas perguntas comuns continuam surgindo. Vamos responder a algumas delas aqui. 

Quais são os principais riscos para a segurança de data centers em 2026?

Os maiores riscos em 2026 estão relacionados a ataques de convergência de TI/OT, em que um adversário se desloca lateralmente de uma rede corporativa para sabotar componentes físicos, como refrigeração ou energia, ou vai atrás de seus ativos digitais. Além disso, a IA agêntica está mudando a rapidez com que os invasores podem ser dimensionados, e a coleta de dados criptografados está se tornando uma preocupação real à medida que as equipes se preparam para a futura descriptografia quântica.

Como a IA afeta a segurança do data center?

As equipes de segurança usam o gerenciamento de exposição orientado por IA para prever as vias de ataque antes da exploração. Os invasores usam a IA agêntica para automatizar explorações mais rapidamente do que a maioria das equipes pode responder. Além disso, proteger workloads de machine learning de alta densidade e dados para treinar a IA significa que sua estratégia de segurança para IA precisa proteger o hardware sem reduzir o desempenho da computação.

Por que a segurança de OT é crítica para os data centers?

A OT gerencia os sistemas de suporte à vida do data center, como HVAC e UPS. Como esses sistemas estão em uma rede, um invasor cibernético pode desencadear consequências físicas, como superaquecimento ou incêndio. Esse tipo de falha normalmente causa mais tempo de inatividade do que uma violação tradicional de software, e é muito mais difícil recuperar-se dela.

Solicite uma demonstração para ver como o Tenable One pode ajudá-lo a simplificar sua estratégia de segurança de dados.