Apresentamos a nova era da Bastion

Segurança de infraestrutura crítica.
Do data center ao pipeline.

Para operadoras que não podem parar. Para indústrias que não podem perder a linha. Para organizações onde a infraestrutura é o próprio negócio.

Vinte e cinco anos protegendo o que sustenta operação real.

Iniciar uma conversa

A tese

A infraestrutura mudou de forma. O perímetro, não.

Saiu do rack, virou contêiner. Saiu do data center, virou cluster. Saiu do hardware, virou manifesto YAML. E mais que isso: deixou de ser parada para ser reescrita continuamente. Cada commit é um pedido de mudança. Cada deploy é uma nova superfície.

Entre o código que um desenvolvedor escreve e a aplicação que entra no ar, existe agora uma esteira automatizada — o pipeline — que constrói, testa, empacota e publica. É nessa esteira que a infraestrutura moderna nasce. E é nela que precisa ser protegida.

E o próximo capítulo já está aqui. Modelos de linguagem rodando dentro do cluster do cliente, processando dados que não podem sair do perímetro, respondendo em milissegundos onde a API pública falharia por latência, custo ou compliance. É um novo tipo de workload, sim. Mas com a mesma exigência de sempre — infraestrutura que sustenta operação real, no lugar onde essa operação vive.

Quem entra, o que executa, o que sai. O perímetro continua sendo o mesmo problema essencial — agora em mil pontos da esteira de software, e agora também em cada endpoint de inferência que roda no cluster.

É isso que DevSecOps deveria significar antes de virar palavra de slide. Segurança que entra no fluxo, não que o interrompe. Que vira código junto com o código. Sustentada pela mesma fundação técnica que protege a infraestrutura há vinte e cinco anos — do data center ao pipeline, e agora também onde os modelos rodam.

A plataforma

Cinco frentes de segurança para infraestrutura cloud-native.

Postura, runtime, cadeia, conformidade — e agora também o workload de IA que roda dentro do cluster. Prática contínua, não auditoria pontual.

Postura de cluster

Política como código operando dentro do pipeline. Admission controllers, hardening por benchmarks, RBAC verificado, configurações auditadas a cada deploy. A política deixa de ser PDF e vira gate de entrada.

Detecção em tempo de execução

Visibilidade real do que acontece dentro do pod, com profundidade de eBPF e sensores de runtime. Alertas que apontam o quê, onde e por quê — não dashboards bonitos sobre dados rasos.

Cadeia de suprimento de software

Imagens assinadas do código ao runtime, SBOM rastreável, dependências auditadas, registry protegido. A integridade do que entra no cluster verificada antes de entrar — não depois de incidente.

Conformidade contínua

LGPD, ISO 27001, controles regulatórios traduzidos em policy-as-code que roda na esteira. Conformidade que se prova a cada deploy, não em relatório anual. Auditoria que sai do PowerPoint.

Workload de IA

Modelos de linguagem, agentes e RAG rodando dentro do perímetro do cliente, sobre o mesmo cluster onde vive o resto da infraestrutura crítica. NVIDIA NIM com modelos Nemotron para produção séria: o pacote empresarial da NVIDIA, com suporte contratual e otimização de ponta a ponta. Runtimes abertos como Ollama e vLLM sobre hardware AMD ou misto para casos onde CUDA, o ecossistema fechado da NVIDIA, não importa. A camada de IA orquestrada como qualquer outro workload — com hardening, observabilidade e sustentação, não como projeto único.

Portfólio consolidado

Vinte e cinco anos de prática técnica que sustentam o trabalho moderno.

A fundação de segurança de infraestrutura tradicional não foi abandonada — ela é o que viabiliza tudo o resto. O catálogo segue ativo, atendendo clientes que dependem dessas operações.

Bastion-AUTH

Diretório centralizado de autenticação, autorização e acesso (AAA) sobre LDAP.

Bastion-FW/PX

Proteção de perímetro com regras programáveis e análise de tráfego.

Bastion-IDS

Detecção de intrusos com base de assinaturas customizada e alertas em tempo real.

Bastion-VPN

Redes privadas virtuais com IPSEC em topologias convencional, road warrior e oportunista.

Bastion-BAN

Solução de backup com criptografia simétrica e assimétrica e contingência geográfica.

Bastion-CERT

Certificados digitais para tráfego seguro e assinatura de e-mail corporativo.

Bastion-MAIL

Plataforma de e-mail corporativo com criptografia SSL/TLS e antispam integrado.

Bastion-FFS

Centralização de arquivos com sincronismo on-line e interoperabilidade entre estações.

Bastion-HA

Alta disponibilidade com fail-over e fail-back automáticos para serviços críticos.

Bastion-GER

Gerência de rede multiplataforma com monitoramento de recursos e alarmes customizáveis.

Bastion-BAIT

Sistema de isca para coleta forense e desvio de invasores dos servidores reais.

Bastion-IPv6

Implementação e gestão de infraestrutura IPv6 — pioneirismo desde 2006.

Bastion-INA

Auditoria interna de rede e ambiente de servidores em busca de vulnerabilidades.

Bastion-RMA

Auditoria externa com testes de invasão e verificação de denial of service.

Prova

Não é roadmap. Já está em operação.

25
anos de prática contínua em segurança de infraestrutura
20
anos de pioneirismo em IPv6 no Brasil, desde 2006
14
produtos no catálogo de segurança tradicional, todos em produção

Perguntas frequentes

O que perguntam antes de trabalhar com a gente.

Respostas diretas sobre o que a Bastion faz, sobre Kubernetes, DevSecOps e o novo workload de IA local — para engenheiros, arquitetos e áreas de segurança que estão avaliando trabalhar conosco.

O que é a Bastion Systems?
A Bastion Systems é uma empresa brasileira de segurança de infraestrutura crítica, fundada em 2000. Opera do data center tradicional ao Kubernetes, atendendo clientes em telecom, indústria, e organizações reguladas que dependem de infraestrutura que não pode parar. Desde 2018 estende a prática de segurança para cloud-native (DevSecOps) e, mais recentemente, para o workload de IA local rodando dentro do perímetro do cliente.
O que é Kubernetes e por que segurança em Kubernetes é diferente?
Kubernetes (K8s) é uma plataforma open-source para orquestrar containers em cluster — o padrão de fato para infraestrutura cloud-native. Segurança em Kubernetes exige prática contínua sobre postura de cluster (política como código), detecção em tempo de execução, cadeia de suprimento de software (imagens assinadas, SBOM), e conformidade automatizada. Não é auditoria pontual; é operação diária.
O que é DevSecOps na prática?
DevSecOps é a integração de segurança dentro do pipeline de desenvolvimento e entrega de software, como código executável em vez de auditoria manual. Na prática, significa admission controllers verificando políticas antes de deploy, verificação automatizada de imagens contra vulnerabilidades, policy-as-code garantindo conformidade a cada commit, e observabilidade de segurança no runtime dos containers em produção.
O que é workload de IA local e por que rodar LLMs no perímetro?
Workload de IA local é a execução de modelos de linguagem (LLMs), agentes autônomos e sistemas de recuperação aumentada (RAG) dentro do perímetro do cliente, sem enviar dados para APIs de nuvem pública. Faz sentido quando dados sensíveis não podem sair (LGPD, sigilo bancário, dados de saúde), quando latência é crítica, ou quando o custo variável por token de APIs comerciais se torna imprevisível em escala.
A Bastion Systems opera com quais fabricantes e tecnologias?
A Bastion opera Kubernetes sobre infraestrutura Dell, HPE, Lenovo, VMware e Red Hat, com integração aos hyperscalers (AWS, Azure, GCP) quando aplicável. Para workload de IA local, opera a pilha NVIDIA (NIM, Nemotron, TensorRT-LLM) para produção séria, e alternativas abertas (Ollama, vLLM sobre hardware AMD) quando a economia justifica o trade-off técnico.
O que significa "do data center ao pipeline"?
É a tese central da Bastion Systems: a infraestrutura crítica saiu do rack tradicional para o contêiner, do data center para o cluster, do hardware para o manifesto YAML, e agora também para os modelos de IA rodando dentro do perímetro do cliente. A prática de proteger essa infraestrutura muda de forma acompanhando cada camada, mas o problema essencial — quem entra, o que executa, o que sai — permanece o mesmo.
Desde quando a Bastion Systems trabalha com Kubernetes?
Desde 2018. A Bastion identificou cedo a virada de infraestrutura para cloud-native e iniciou os trabalhos com Kubernetes e DevSecOps antes que o mercado brasileiro em geral reconhecesse essa mudança. São oito anos de prática contínua em produção que sustentam a competência atual.
Como a Bastion Systems trata LGPD e conformidade regulatória?
Conformidade é operada como código executável na esteira de deploy, não como relatório periódico. Controles regulatórios (LGPD, ISO 27001, requisitos setoriais como BCB para financeiro) são traduzidos em policy-as-code que roda no pipeline. Cada deploy prova conformidade automaticamente; auditorias tornam-se verificação, não descoberta.

Princípios

Três posições não-negociáveis.

01

Segurança não é fase. É postura.

Quando segurança é o passo antes do deploy, ela perde toda vez. Perde para o prazo, para o release crítico, para a urgência. Implantamos segurança como prática contínua, dentro do pipeline, embarcada no fluxo — não como obstáculo no fim.

02

Fundação técnica vem antes de plataforma.

Cluster sem rede bem desenhada é cluster que vai falhar. Política de cluster sem identidade resolvida é política que não se aplica. Trabalhamos com a infraestrutura sob, não sobre — porque DevSecOps sem fundação é teatro.

03

Quem implanta também sustenta.

Não vendemos ferramenta e vamos embora. Entramos no time, entendemos o pipeline, escrevemos a política, instalamos o controlador, treinamos o engenheiro, e ficamos até a esteira rodar com segurança embarcada. Relação que continua depois da entrega.

Conversar

Pronto para discutir segurança onde sua infraestrutura realmente vive?

Conversa direta com quem entende. Sem formulário, sem funil de qualificação, sem espera.