NIS2 Portugal

Progresso de Personalização

0%

0 de 520 campos personalizados

ℹ️
Como usar este template:
  1. Clique em "Ativar Modo Edição" para personalizar os campos destacados
  2. Preencha as tabelas de zonas de rede, regras de firewall e segmentação VLAN
  3. Utilize as ferramentas de validação e cálculo para verificar configurações
  4. Guarde o progresso regularmente e exporte em PDF quando concluído

📋 1. Âmbito e Objetivos

1.1 Âmbito de Aplicação

Esta política aplica-se a [toda a infraestrutura de rede da organização], incluindo [redes internas, DMZ, acesso remoto], e é obrigatória para [todos os colaboradores, prestadores de serviços e parceiros].

1.2 Objetivos de Segurança de Rede
  • Confidencialidade: Garantir que [dados sensíveis não são acessíveis a entidades não autorizadas] através de [segmentação e controlo de acessos]
  • Integridade: Proteger [comunicações de rede contra alterações não autorizadas] através de [firewalls e IDS/IPS]
  • Disponibilidade: Assegurar que [serviços de rede essenciais estão disponíveis] em [99.9% do tempo]
  • Rastreabilidade: Manter [registos de todas as atividades de rede] durante [12 meses]
1.3 Requisitos NIS2 (Artigo 21)

Cumprimento das medidas de cibersegurança exigidas pela Diretiva NIS2:

  • Segmentação de rede: [isolamento de sistemas críticos em zonas seguras]
  • Proteção perimetral: [firewalls de próxima geração (NGFW) com inspeção profunda]
  • Controlo de acessos: [autenticação multifator e controlo baseado em funções]
  • Deteção de intrusões: [IDS/IPS com correlação de eventos SIEM]
1.4 Responsabilidades

CISO: [João Silva] - Aprovação e supervisão da política

Gestor de Rede: [Maria Santos] - Implementação e gestão da segurança de rede

Equipa SOC: [Equipa de 5 elementos] - Monitorização 24/7 e resposta a incidentes

Administradores de Sistema: [Equipa técnica] - Configuração e manutenção de dispositivos de rede

1.5 Revisão e Atualização

Esta política será revista a cada [12 meses] ou quando ocorrer [incidente de segurança grave ou alteração regulamentar]. Última revisão: [01/01/2025]. Próxima revisão: [01/01/2026].

🏗️ 2. Arquitetura de Rede

2.1 Princípios de Arquitetura

A arquitetura de rede segue os princípios de [defesa em profundidade], implementando [múltiplas camadas de segurança] e baseada em [Zero Trust Architecture].

2.2 Zonas de Segurança de Rede (ISO 27033)
Zona Nível de Confiança Sistemas/Serviços Controlos de Acesso Encriptação
Internet (Não Confiável) Crítico Tráfego externo não filtrado Bloqueio total exceto regras explícitas TLS 1.3 obrigatório
DMZ (Desmilitarizada) Alto Servidores web, email, DNS públicos Firewall duplo, inspeção profunda TLS 1.3, certificados válidos
Rede Interna (Corporativa) Médio Estações de trabalho, impressoras 802.1X, NAC, segmentação VLAN WPA3-Enterprise, IPsec
Zona de Servidores Alto Servidores aplicacionais internos Firewall interno, ACLs rigorosas TLS 1.3, IPsec entre zonas
Zona Crítica (Dados Sensíveis) Crítico BD críticas, sistemas financeiros Micro-segmentação, MFA obrigatória AES-256, HSM para chaves
Zona de Gestão (Management) Crítico Consolas admin, jump servers Acesso privilegiado, PAM, MFA TLS 1.3, SSH com chaves
2.3 Arquitetura DMZ (Zona Desmilitarizada)
INTERNET | v [Firewall Externo - NGFW] | v ┌─────────────────────────────────────┐ │ DMZ ZONE │ │ - Web Server (HTTPS) │ │ - Email Gateway (SMTP/TLS) │ │ - DNS Público (DNSSEC) │ │ - Proxy Reverso (WAF) │ └─────────────────────────────────────┘ | v [Firewall Interno - NGFW] | v ┌─────────────────────────────────────┐ │ REDE INTERNA CORPORATIVA │ │ - Estações de Trabalho │ │ - Servidores Aplicacionais │ │ - Bases de Dados Internas │ └─────────────────────────────────────┘

Descrição: [Arquitetura de duplo firewall com DMZ intermediária para serviços expostos à Internet]

Proteções Implementadas: [IDS/IPS em ambos os firewalls, WAF para aplicações web, inspeção SSL/TLS]

2.4 Equipamentos de Segurança de Rede

Firewalls NGFW: [Palo Alto PA-5250 (perímetro), Fortinet FortiGate 600E (interno)]

IDS/IPS: [Cisco Firepower Threat Defense]

WAF: [F5 BIG-IP Advanced WAF]

NAC (Network Access Control): [Cisco ISE - Identity Services Engine]

SIEM: [Splunk Enterprise Security]

Switches Core: [Cisco Catalyst 9500 com segmentação VLAN]

2.5 Conectividade e Redundância

Ligações à Internet: [2 ISPs redundantes com BGP multihoming]

Largura de banda: [Primária: 1 Gbps, Secundária: 500 Mbps]

Failover automático: [Sim, com deteção em menos de 30 segundos]

Links internos redundantes: [LACP agregation, spanning-tree RSTP]

🔀 3. Segmentação de Rede

3.1 Estratégia de Segmentação

A segmentação de rede baseia-se em [isolamento por função de negócio e nível de sensibilidade], implementada através de [VLANs, firewalls internos e micro-segmentação].

3.2 Princípio de Menor Privilégio

Apenas o tráfego [explicitamente autorizado] pode circular entre segmentos. Implementação: [deny all por defeito, allow por exceção em ACLs].

3.3 Configuração de VLANs
VLAN ID Nome Subnet Gateway Acesso Permitido Proteção
10 VLAN_MANAGEMENT 10.0.10.0/24 10.0.10.1 Apenas administradores autorizados MFA, PAM, logging completo
20 VLAN_SERVERS 10.0.20.0/24 10.0.20.1 Servidores aplicacionais Firewall interno, IDS/IPS
30 VLAN_DATABASE 10.0.30.0/24 10.0.30.1 Apenas servidores autorizados Micro-segmentação, encriptação
40 VLAN_CORPORATE 10.0.40.0/22 10.0.40.1 Estações de trabalho corporativas NAC 802.1X, EDR, DLP
50 VLAN_GUEST 10.0.50.0/24 10.0.50.1 Visitantes, sem acesso interno Isolamento total, apenas Internet
60 VLAN_IOT 10.0.60.0/24 10.0.60.1 Dispositivos IoT/SCADA Isolamento, inspeção profunda
70 VLAN_VPN 10.0.70.0/24 10.0.70.1 Acesso remoto VPN MFA, certificados, IPS
99 VLAN_QUARANTINE 10.0.99.0/24 10.0.99.1 Dispositivos comprometidos/não conformes Isolamento total, remediação
3.4 Micro-segmentação (Zero Trust)

Implementação de micro-segmentação para [sistemas críticos e bases de dados] através de [políticas granulares a nível de aplicação].

Ferramenta: [VMware NSX, Cisco ACI]

Granularidade: [Controlo por workload individual, não por subnet]

Políticas: [Baseadas em identidade, aplicação e contexto]

3.5 Isolamento de Tráfego

Tráfego de gestão: [Out-of-band em VLAN dedicada, acesso via jump server]

Tráfego de backup: [VLAN separada com QoS, sem acesso à produção]

Tráfego de voz (VoIP): [VLAN de voz com QoS prioritária, VLAN ID 100]

3.6 Matriz de Comunicação entre Zonas

Regra geral: [Negação implícita entre todas as zonas, autorizações explícitas apenas]

Logging: [Todas as tentativas de comunicação inter-zona são registadas]

Revisão: [ACLs revistas trimestralmente pela equipa de segurança]

🔥 4. Firewall e Perímetro

4.1 Requisitos de Firewall de Próxima Geração (NGFW)

Todos os firewalls devem suportar:

  • Inspeção profunda de pacotes (DPI): [Análise de todo o tráfego até camada 7]
  • Application awareness: [Identificação e controlo de aplicações independentemente de portas]
  • IPS integrado: [Prevenção de intrusões inline com assinaturas atualizadas diariamente]
  • SSL/TLS inspection: [Decifração e inspeção de tráfego encriptado]
  • Threat intelligence: [Feeds de IoCs atualizados em tempo real]
  • Sandboxing: [Análise de ficheiros suspeitos em ambiente isolado]
4.2 Regras de Firewall - Tabela de Políticas
ID Origem Destino Serviço/Porta Ação Logging Justificação
1 Internet DMZ_WebServer HTTPS/443 Allow Sim Acesso público ao portal web
2 Internet DMZ_EmailGW SMTP/25, SMTPS/587 Allow Sim Receção de email externo
3 DMZ Internal_Servers HTTPS/443, DB/3306 Allow Sim Backend APIs e BD
4 Corporate_VLAN Internet HTTP/80, HTTPS/443 Allow Sim Navegação web corporativa
5 VPN_Users Corporate_Resources RDP/3389, SSH/22 Allow Sim Acesso remoto autenticado
6 Guest_VLAN Internal_Any Any Deny Sim Isolamento de rede de visitantes
7 Management_VLAN All_Devices SSH/22, HTTPS/443 Allow Sim Gestão de dispositivos
8 Internet Internal_Any Any Deny Sim Bloqueio de acesso direto externo
9 IoT_VLAN Corporate_VLAN Any Deny Sim Isolamento de dispositivos IoT
10 Any Any Any Deny Sim Regra de negação implícita final
4.3 Gestão de Regras de Firewall

Processo de aprovação: [Pedido formal, análise de risco, aprovação do CISO]

Validade de regras temporárias: [Máximo 30 dias, revisão obrigatória]

Revisão periódica: [Trimestral, com remoção de regras não utilizadas]

Documentação: [Todas as regras documentadas com justificação e proprietário]

4.4 Proteção Contra Ataques DDoS

Solução anti-DDoS: [Cloudflare Enterprise + firewall on-premise]

Capacidade de mitigação: [Até 10 Tbps na cloud, 10 Gbps on-premise]

Tempo de resposta: [Deteção automática em menos de 60 segundos]

Rate limiting: [1000 req/min por IP para APIs públicas]

4.5 Web Application Firewall (WAF)

Proteções ativadas:

  • SQL Injection: [Bloqueio com assinaturas OWASP Top 10]
  • XSS (Cross-Site Scripting): [Filtragem de scripts maliciosos]
  • CSRF: [Validação de tokens anti-CSRF]
  • File Upload: [Restrição de tipos MIME e scanning de malware]
  • Bot Protection: [Challenge-response e análise comportamental]

🛠️ Ferramenta 1: Validador de Regras de Firewall

Valide a configuração de regras de firewall antes de implementação.

🔐 5. Controlo de Acessos de Rede

5.1 Network Access Control (NAC)

Solução implementada: [Cisco Identity Services Engine (ISE)]

Âmbito: [Todas as ligações à rede corporativa, wired e wireless]

Verificações pré-admissão:

  • Antivírus atualizado: [Definições com menos de 24h]
  • Patches de SO: [Patches críticos instalados em menos de 30 dias]
  • Firewall pessoal: [Ativo e configurado]
  • Conformidade de configuração: [Baseline de segurança corporativa]
5.2 Autenticação 802.1X

Método de autenticação: [EAP-TLS com certificados digitais]

RADIUS servers: [Cisco ISE cluster com 3 nós redundantes]

Certificados: [PKI interna, renovação automática a cada 12 meses]

Fallback para falha: [VLAN de quarentena com acesso limitado]

5.3 Princípios Zero Trust

A arquitetura segue os princípios de Zero Trust conforme NIST SP 800-207:

  • Verificar Explicitamente: [Autenticação e autorização baseada em todos os pontos de dados disponíveis]
  • Menor Privilégio: [Acesso JIT/JEA (Just-In-Time/Just-Enough-Access)]
  • Assumir Violação: [Micro-segmentação, encriptação end-to-end, análise contínua]
5.4 Políticas de Acesso Wireless

SSIDs corporativos:

  • CORP-SECURE: [WPA3-Enterprise, 802.1X, acesso completo]
  • CORP-BYOD: [WPA3-Enterprise, 802.1X, acesso limitado]
  • GUEST: [WPA3-Personal, portal captive, apenas Internet]

Encriptação: [WPA3 obrigatório, WPA2 desativado]

Roaming: [802.11r Fast Transition ativado]

5.5 Controlo de Dispositivos

MAC Address Filtering: [Apenas em ambientes críticos, não como controlo primário]

Port Security: [Máximo 2 MAC addresses por porta de acesso]

DHCP Snooping: [Ativado em todos os switches de acesso]

Dynamic ARP Inspection: [Proteção contra ARP spoofing]

5.6 Gestão de Dispositivos Não Conformes

Ação automática: [Mover para VLAN de quarentena (VLAN 99)]

Acesso permitido em quarentena: [Apenas servidores de atualização e remediação]

Tempo máximo em quarentena: [48 horas, após isso bloqueio total]

Notificações: [Email e SMS ao utilizador e equipa de segurança]

🛠️ Ferramenta 2: Calculadora de Zonas de Rede

Determine a zona de segurança apropriada para um sistema ou serviço.

🚨 6. Deteção e Prevenção de Intrusões

6.1 Sistema IDS/IPS

Solução implementada: [Cisco Firepower Threat Defense]

Modo de operação: [IPS inline para tráfego crítico, IDS para monitorização]

Localização de sensores:

  • Perímetro externo: [IPS inline antes do firewall]
  • DMZ: [IPS inline em ambos os lados]
  • Rede interna: [IDS em pontos estratégicos]
  • Zona crítica: [IPS inline obrigatório]
6.2 Assinaturas e Regras

Base de assinaturas: [Snort VRT + Talos Intelligence + regras customizadas]

Atualização: [Automática diária, assinaturas críticas em tempo real]

Regras customizadas: [15 regras específicas para ameaças setoriais]

Tuning: [Revisão mensal para reduzir falsos positivos]

6.3 Ações de Resposta Automática

Para ataques de severidade crítica: [Bloqueio imediato do IP origem por 24 horas]

Para ataques de severidade alta: [Alerta ao SOC + rate limiting agressivo]

Para anomalias: [Logging detalhado + alerta informativo]

Quarentena automática: [Dispositivos internos comprometidos movidos para VLAN 99]

6.4 Integração com SIEM

SIEM utilizado: [Splunk Enterprise Security]

Eventos enviados: [Todos os alertas IDS/IPS, logs de firewall, NAC]

Correlação: [Regras de correlação para deteção de ataques multi-fase]

Retention: [Eventos de segurança retidos por 12 meses]

6.5 Threat Intelligence

Feeds integrados:

  • Cisco Talos: [IoCs de malware e botnets]
  • AlienVault OTX: [Indicadores comunitários]
  • MISP: [Partilha setorial de ameaças]
  • Feeds comerciais: [Recorded Future para APTs]

Atualização de IoCs: [Automática a cada hora]

6.6 Análise de Tráfego de Rede

NetFlow/IPFIX: [Ativado em todos os routers e switches core]

Análise comportamental: [Machine learning para deteção de anomalias]

Deep Packet Inspection: [DPI em pontos críticos para protocolos específicos]

Ferramentas: [Zeek (Bro), Suricata para análise aprofundada]

🌐 7. VPN e Acesso Remoto

7.1 Solução VPN

Tecnologia: [IPsec VPN para site-to-site, SSL VPN para remote access]

Equipamento: [Palo Alto GlobalProtect, Cisco AnyConnect]

Capacidade: [Até 2000 utilizadores concorrentes]

Redundância: [Cluster ativo-passivo com failover automático]

7.2 Autenticação VPN

Método primário: [MFA obrigatória - certificado digital + OTP]

Integração: [Active Directory + Azure MFA]

Certificados: [PKI interna, certificados de utilizador válidos por 12 meses]

Políticas de senha: [Mínimo 12 caracteres, complexidade alta, rotação 90 dias]

7.3 Encriptação VPN

IPsec Phase 1: [IKEv2, AES-256-GCM, DH Group 20]

IPsec Phase 2: [ESP, AES-256-GCM, PFS Group 20]

SSL VPN: [TLS 1.3, cipher suites com forward secrecy]

Renegociação de chaves: [A cada 8 horas ou 1 GB de dados]

7.4 Controlo de Acesso Remoto

Split-tunneling: [Desativado, todo o tráfego via VPN]

Zonas acessíveis: [Apenas recursos corporativos aprovados, sem acesso direto a zonas críticas]

Conformidade de endpoint: [Verificação de antivírus, firewall, patches via NAC]

Idle timeout: [15 minutos de inatividade resulta em desconexão]

7.5 Site-to-Site VPN

Localização dos túneis:

  • Sede ↔ Filial Lisboa: [IPsec, 100 Mbps, redundante]
  • Sede ↔ Filial Porto: [IPsec, 100 Mbps, redundante]
  • Sede ↔ Datacenter Azure: [ExpressRoute + VPN backup]
  • Sede ↔ Parceiro Crítico: [IPsec, aprovação bilateral de regras]

Monitorização: [Healthchecks a cada 10 segundos, alerta se down > 1 min]

7.6 Políticas de Uso de VPN

Utilização permitida: [Apenas para trabalho corporativo, proibido uso pessoal]

Dispositivos permitidos: [Apenas dispositivos corporativos geridos]

Logging: [Todas as conexões/desconexões, transferências de ficheiros grandes]

Auditoria: [Revisão mensal de acessos, investigação de anomalias]

7.7 Acesso Privilegiado Remoto

Solução PAM: [CyberArk para acesso administrativo remoto]

Jump Server: [Bastion hosts obrigatórios para administração]

Sessões gravadas: [Todas as sessões SSH/RDP administrativas gravadas]

Aprovação: [Acesso privilegiado requer aprovação prévia do supervisor]

📊 8. Monitorização e Auditoria

8.1 Logging de Segurança de Rede

Eventos registados obrigatoriamente:

  • Firewall: [Todas as conexões permitidas/bloqueadas, alterações de regras]
  • IDS/IPS: [Todos os alertas, ataques bloqueados]
  • VPN: [Autenticações bem/mal sucedidas, conexões/desconexões]
  • NAC: [Admissões/rejeições, dispositivos em quarentena]
  • Switches/Routers: [Mudanças de configuração, down/up de interfaces]
8.2 Centralização de Logs

SIEM: [Splunk Enterprise Security]

Volume médio diário: [500 GB de logs de rede]

Retenção online: [90 dias em hot storage]

Retenção total: [12 meses em cold storage]

Proteção de logs: [Envio via syslog encriptado, armazenamento em WORM]

8.3 Monitorização em Tempo Real

SOC: [Operacional 24/7/365 com equipa de 5 elementos em turnos]

Dashboards principais:

  • Tráfego de rede: [Throughput, latência, packet loss por interface]
  • Eventos de segurança: [Alertas críticos/altos em tempo real]
  • Anomalias: [Desvios de baseline de tráfego]
  • VPN: [Utilizadores ativos, largura de banda, erros]
8.4 Alertas e Notificações

Alertas críticos (severidade 1): [SMS + email + chamada automática ao SOC]

Alertas altos (severidade 2): [Email + notificação no SIEM]

Alertas médios (severidade 3): [Apenas notificação no SIEM]

SLA de resposta: [Sev 1: 15 min, Sev 2: 1 hora, Sev 3: 4 horas]

8.5 Auditorias de Conformidade

Frequência de auditorias internas: [Trimestrais para configurações de firewall e NAC]

Auditoria externa: [Anual por entidade certificadora NIS2/ISO 27001]

Testes de penetração: [Semestrais para perímetro e segmentação interna]

Vulnerability scanning: [Semanal automatizado para todos os dispositivos de rede]

8.6 Métricas e KPIs
Métrica Objetivo Medição Responsável
Disponibilidade de Rede 99.9% Monitorização contínua Gestor de Rede
Tempo de Deteção de Incidentes < 5 minutos SIEM timestamps SOC Lead
Falsos Positivos IDS/IPS < 10% Revisão mensal Analista de Segurança
Patches de Dispositivos de Rede 100% em 30 dias Inventário automatizado Administrador de Rede
Conformidade de Regras de Firewall 100% Auditoria trimestral CISO
Cobertura de Logging 100% dispositivos Verificação automática Engenheiro SIEM
8.7 Relatórios Periódicos

Relatório semanal: [Resumo de incidentes, top ameaças, estatísticas de tráfego]

Relatório mensal: [KPIs, análise de tendências, recomendações]

Relatório trimestral: [Conformidade NIS2, auditorias, melhorias implementadas]

Relatório anual: [Revisão estratégica, roadmap de segurança de rede]

Distribuição: [CISO, CIO, Comité de Gestão de Risco]

🛠️ Ferramenta 3: Matriz de Controlo de Acessos

Gere e visualize a matriz de acessos entre zonas de rede.

Template Completo!

Este template cobre todos os aspetos de segurança de rede e perímetro exigidos pela NIS2 (Artigo 21) e ISO 27033. Personalize todos os campos destacados e utilize as ferramentas de validação antes de implementar na sua organização.

`; try { // Convert to Word const converted = htmlDocx.asBlob(htmlContent); // Create download link const url = URL.createObjectURL(converted); const link = document.createElement('a'); link.href = url; link.download = 'Politica-Seguranca-Rede-Perimetro-NIS2.docx'; link.click(); // Cleanup setTimeout(() => URL.revokeObjectURL(url), 100); } catch (error) { alert('Erro ao exportar Word: ' + error.message); console.error('Word export error:', error); } } // Reset template function resetTemplate() { if (confirm('⚠️ Tem a certeza que deseja reiniciar o template?\n\nTodos os dados personalizados serão perdidos.')) { localStorage.removeItem('network_security_policy_progress'); location.reload(); } } // Tool 1: Validate Firewall Rule function validateFirewallRule() { const source = document.getElementById('fw-source').value.trim(); const dest = document.getElementById('fw-dest').value.trim(); const port = document.getElementById('fw-port').value.trim(); const protocol = document.getElementById('fw-protocol').value; if (!source || !dest || !port) { alert('⚠️ Por favor, preencha todos os campos.'); return; } const result = document.getElementById('fw-result'); let html = '

Resultado da Validação

'; // Basic validation const issues = []; const warnings = []; const recommendations = []; // Check if source is Internet if (source.toLowerCase().includes('internet') || source.toLowerCase().includes('any')) { warnings.push('Origem da Internet - risco elevado, recomenda-se inspeção rigorosa'); } // Check for common vulnerable ports const vulnerablePorts = ['23', '21', '445', '3389']; const portNum = port.split('/')[0]; if (vulnerablePorts.includes(portNum)) { warnings.push(`Porta ${portNum} é considerada vulnerável. Considere alternativas seguras.`); } // Check for encrypted protocols if (port.includes('80') && !port.includes('443')) { recommendations.push('Considere usar HTTPS (443) em vez de HTTP (80) para encriptação'); } // Check protocol if (protocol === 'Any') { warnings.push('Protocolo "Any" é muito permissivo. Especifique TCP/UDP se possível.'); } // Generate result if (issues.length === 0) { html += '
Validação Bem-Sucedida
'; } else { html += '
⚠️ Problemas Encontrados:
'; } if (warnings.length > 0) { html += '
Avisos:
'; } if (recommendations.length > 0) { html += '
Recomendações:
'; } html += '

Regra proposta:

'; html += `
ALLOW ${source} → ${dest} : ${protocol}/${port}
`; html += '

Próximos passos:

'; html += '
  1. Documentar justificação de negócio
  2. Obter aprovação do CISO
  3. Configurar logging
  4. Agendar revisão trimestral
'; result.innerHTML = html; result.style.display = 'block'; } // Tool 2: Calculate Network Zone function calculateNetworkZone() { const systemType = document.getElementById('zone-system-type').value; const sensitivity = document.getElementById('zone-sensitivity').value; const external = document.getElementById('zone-external').value; if (!systemType || !sensitivity) { alert('⚠️ Por favor, selecione todas as opções.'); return; } const result = document.getElementById('zone-result'); let zone = ''; let vlan = ''; let controls = []; let rationale = ''; // Decision logic if (external === 'yes' && systemType === 'public-web') { zone = 'DMZ (Zona Desmilitarizada)'; vlan = 'VLAN 5 (DMZ)'; controls = ['Firewall duplo', 'WAF', 'IDS/IPS inline', 'TLS 1.3 obrigatório']; rationale = 'Serviço exposto à Internet requer isolamento em DMZ com dupla proteção de firewall.'; } else if (systemType === 'database' || sensitivity === 'secret' || sensitivity === 'confidential') { zone = 'Zona Crítica'; vlan = 'VLAN 30 (DATABASE)'; controls = ['Micro-segmentação', 'MFA obrigatória', 'Encriptação AES-256', 'Logging completo', 'Acesso via PAM']; rationale = 'Dados altamente sensíveis exigem zona crítica com controles rigorosos.'; } else if (systemType === 'management') { zone = 'Zona de Gestão'; vlan = 'VLAN 10 (MANAGEMENT)'; controls = ['Out-of-band', 'MFA obrigatória', 'PAM', 'Jump server', 'Gravação de sessões']; rationale = 'Acesso administrativo requer zona isolada com controles privilegiados.'; } else if (systemType === 'iot') { zone = 'Zona IoT (Isolada)'; vlan = 'VLAN 60 (IOT)'; controls = ['Isolamento total', 'Inspeção profunda', 'Sem acesso à rede corporativa', 'Whitelist de comunicações']; rationale = 'Dispositivos IoT apresentam risco elevado e devem ser isolados.'; } else if (systemType === 'internal-app') { zone = 'Zona de Servidores'; vlan = 'VLAN 20 (SERVERS)'; controls = ['Firewall interno', 'IDS/IPS', 'Segmentação', 'Autenticação 802.1X']; rationale = 'Servidores internos requerem proteção adicional mas acesso controlado.'; } else { zone = 'Rede Corporativa'; vlan = 'VLAN 40 (CORPORATE)'; controls = ['NAC 802.1X', 'EDR', 'DLP', 'Conformidade de endpoint']; rationale = 'Rede padrão para estações de trabalho e utilizadores corporativos.'; } let html = '

Zona de Rede Recomendada

'; html += `
Zona: ${zone}
`; html += `

VLAN: ${vlan}

`; html += '

Controlos de Segurança Obrigatórios:

'; html += `

Justificação: ${rationale}

`; // Add implementation checklist html += '

Checklist de Implementação:

'; html += ''; result.innerHTML = html; result.style.display = 'block'; } // Tool 3: Check Access Control function checkAccessControl() { const source = document.getElementById('acl-source').value; const dest = document.getElementById('acl-dest').value; if (!source || !dest) { alert('⚠️ Por favor, selecione origem e destino.'); return; } const result = document.getElementById('acl-result'); // Access control matrix logic (simplified) const accessMatrix = { 'Internet-DMZ': { allowed: true, ports: 'HTTPS/443, SMTP/25, DNS/53', controls: 'NGFW, WAF, IDS/IPS' }, 'Internet-Corporate': { allowed: false, ports: 'N/A', controls: 'Bloqueio total' }, 'Internet-Critical': { allowed: false, ports: 'N/A', controls: 'Bloqueio total' }, 'DMZ-Servers': { allowed: true, ports: 'HTTPS/443, DB/3306', controls: 'Firewall interno, inspeção' }, 'DMZ-Critical': { allowed: false, ports: 'N/A', controls: 'Bloqueio' }, 'Corporate-Internet': { allowed: true, ports: 'HTTP/80, HTTPS/443', controls: 'Proxy, filtering' }, 'Corporate-Servers': { allowed: true, ports: 'HTTPS/443, RDP/3389', controls: 'Autenticação, firewall' }, 'Corporate-Critical': { allowed: false, ports: 'N/A', controls: 'Apenas via Servers com MFA' }, 'Guest-Internet': { allowed: true, ports: 'HTTP/80, HTTPS/443', controls: 'Isolamento total, apenas Internet' }, 'Guest-Corporate': { allowed: false, ports: 'N/A', controls: 'Bloqueio total' }, 'IoT-Corporate': { allowed: false, ports: 'N/A', controls: 'Isolamento total' }, 'Management-Corporate': { allowed: true, ports: 'SSH/22, HTTPS/443', controls: 'MFA, PAM, jump server' }, 'Servers-Critical': { allowed: true, ports: 'DB/5432, HTTPS/443', controls: 'Micro-segmentação, MFA' } }; const key = `${source}-${dest}`; const reverseKey = `${dest}-${source}`; const access = accessMatrix[key] || accessMatrix[reverseKey] || { allowed: false, ports: 'N/A', controls: 'Negação implícita' }; let html = '

Resultado da Verificação de Acesso

'; if (access.allowed) { html += '
Acesso PERMITIDO
'; html += `

Portas/Serviços Autorizados: ${access.ports}

`; } else { html += '
🚫 Acesso NEGADO
'; } html += `

Controlos de Segurança: ${access.controls}

`; html += '

Logging: Todas as tentativas de acesso são registadas no SIEM

'; if (!access.allowed) { html += '
'; html += 'Para solicitar exceção:
    '; html += '
  1. Preencher formulário de pedido de regra de firewall
    2. '; html += '
  2. Justificação de negócio detalhada
    3. '; html += '
  3. Análise de risco de segurança
    4. '; html += '
  4. Aprovação do CISO
    5. '; html += '
'; } result.innerHTML = html; result.style.display = 'block'; } // Generate full access control matrix function generateFullMatrix() { const zones = ['Internet', 'DMZ', 'Corporate', 'Servers', 'Critical', 'Management', 'Guest', 'IoT']; const matrixDiv = document.getElementById('matrix-full'); let html = '

Matriz Completa de Controlo de Acessos

'; html += ''; zones.forEach(zone => { html += ``; }); html += ''; zones.forEach(source => { html += ``; zones.forEach(dest => { if (source === dest) { html += ''; } else { // Simplified logic for demo const allowed = ( (source === 'Internet' && dest === 'DMZ') || (source === 'DMZ' && dest === 'Servers') || (source === 'Corporate' && (dest === 'Internet' || dest === 'Servers')) || (source === 'Servers' && dest === 'Critical') || (source === 'Management' && dest !== 'Internet') || (source === 'Guest' && dest === 'Internet') ); const cellClass = allowed ? 'allow' : 'deny'; const text = allowed ? '✅ Allow' : '🚫 Deny'; html += ``; } }); html += ''; }); html += '
Origem \\ Destino${zone}
${source}N/A
${text}
'; html += '

Legenda: ✅ = Acesso permitido com controlos | 🚫 = Acesso negado (default deny)

'; matrixDiv.innerHTML = html; matrixDiv.style.display = 'block'; }