Controsys Kft. » Termékek » Remote Access Platform (ipari távoli hozzáférés) » Secure Remote Access

Secure Remote Access

Secure Remote Access

Hogyan működik?

A rendszernek három fő eleme van:

  1. a kliens, aki távoli hozzáférést kíván létrehozni,
  2. a remote gateway (esetünkben a VPN router), amihez a kliens csatlakozni tud, valamint
  3. a remote server, ami akár publikus felhőben, akár az ügyfél saját privát hálózatán is futtatható.

A távoli kapcsolat egy virtual private network (VPN) részeként jön létre. A VPN hálózat segítségével egy VPN alagút (VPN tunnel) kerül felállításra a kliens és a remote gateway között. Nagyon fontos, hogy szigorúan csak “Outbound kapcsolat” indul mind a kliens, mind a remote gateway felől. A publikus vagy privát hálózaton futtatott remote server felelős azért, hogy a klienst és a remote gateway-t összekapcsolja. Ezután a VPN alagúton keresztül lehetőség nyílik az adatcserére (PLC programozás, firmware frissítés, adatgyűjtés, stb.)

A remote server tárolja a különböző felhasználói adatokat, jogosultságokat és ez alapján biztosít hozzáférést. Fontos kiemelni, hogy a remote gateway beépített tűzfallal rendelkezik, ami további védelmet nyújt a nem engedélyezett hozzáférés ellen.

MB connect line Ecosystem

Részletek

MB Connect Line – Remote Access – Security Whitepaper

IT biztonsági funkciók

Titkosítás

A VPN kapcsolat biztosítására AES 256 bit-es titkosítást és TLS1.2/SSL protokolt használ. Ez nagyon magas erős titkosítási sztenderd, lehetővé teszi kritikus rendszerekben történő használatát.

Kapcsolat

Minden kapcsolat outbound connection, ezért könnyen integrálható meglévő IT környezetbe. Nincs szükség meglévő IT stratégiák és biztonsági stratégiák megváltoztatására.

Autentikáció – azonosítás

A felhasználónév és jelszó megadása mellett lehetőség van a két-faktoros vagy tanusítvány alapú

Syslog

Minden remote session során rögzítésre kerülnek olyan részletek, mint a felhasználó neve, a távoli kapcsolat kezdete, hossza.

Felhasználó azonosítás

A rendszer támogatja a kétfaktoros hitelesítést (2FA – two-factor authentication), így a megfelelő felhasználónév és jelszó megadása után a felhasználó kap egy PIN kódot (szöveges üzenet, email, Google Authenticator vagy telefonos híváson keresztül), aminek a megadása is szükséges a sikeres bejelentkezéshez. Miután a felhasználó sikeresen bejelentkezett, csak azon eszközökhöz, rendszerekhez fér hozzá, melyhez az adminisztrátor külön engedélyt adott.

A remote szerver privát hálóazon futtatható változata támogatja az AD (Active Directory) integrálást LDAP (Lightweight Directory Access Protocol) segítségével.

Adatvédelem

A remote server tárolja a távoli eléréssel kapcsolatos adatokat, felhasználói információt és jogosultságokat, router konfigurációkat és egyéb a távoli elérési folyamatra vonatkozó adatot. Ide tartoznak a felhasználói nevek, email címek, jelszavak és a felhasználókhoz, felhasználói csoportokhoz vagy a különböző role-okhoz tartozó jogosultságok (pl. melyik szerepkör milyen berendezéshez, gyártósorhoz férhet hozzá). Minden kapcsolat a felhasználó és a távoli berendezés között a remote server által kerül felállításra, mert csak a remote server rendelkezik az azonosításhoz szükséges információval. A VPN kapcsolat biztosítására AES 256 bit-es titkosítást és TLS1.2/SSL protokolt használnak.

Remote Service Portal

A központi elem

A rendszer központi eleme az mbCONNECT24 Remote Service Portal. A portálon, egy web alapú menedzsment felület segítségével lehet a projekteket, felhasználókat (akár belsős vagy külsős), jogosultságokat, konfigurációs beállításokat adminisztrálni.

Minden távoli kapcsolat a Remote Service Portal által kerül felállításra. Minden kapcsolat outbound (outbound TCP port 80, 443 vagy 1194), vagyis nincs szükség a tűzfalak által blokkolt inbound kapcsolatok használatára. Ez jelentős előny kiberbiztonsági szempontból.

Szerver

Az MB Connect Line egyedülálló módon nem csak felhő alapú módon, hanem on-premise vagy tetszőleges felhő szolgáltatónál futtatható virtuális gépként is elérhető. Tehát akár saját, belső céges hálózaton futtatható szervert is kínál. Ennek NIS2 audit kapcsán van hatalmas előnye. Ha a központi Remote Server-t saját, on-premise hálózaton futtatják, az nagymértékben megkönnyíti a NIS2 szerinti auditot. A felhős megoldásokkal szemben sokkal könnyebben felmérhetőek és kontrollálhatóak a különböző belső folyamatok, saját kockázatkezelés, stb. Ebben az esetben a felhasználó egyedül gyakorol teljes kontrollt a remote access megoldás felett.

Jogosultság kezelés

A Remote Service Portal széles jogosultság kezelési eszköztárat kínál. Lehetőség van teljesen egyedi jogosultságokat adni akár egy felhasználónak, felhasználó csoportnak, szerepkörnek, stb. Külön konfigurálható, hogy valakinek csak olvasási vagy írási joga is van, egy egész gyártósorhoz vagy csak egy PLC-hez férhet hozzá. Ezek a beállítási lehetőségek az adminisztrátor számára elérhetőek, így teljes kontrollja van a jogosultság kezelés felett. Minden távoli kapcsolat részletei, úgy mint a felhasználó, távoli kapcsolat kezdete és hossza loggolásra kerül.

Remote Gateway: a VPN Router

Router integrálása termelési hálózatba

A VPN router biztosítja az internet kapcsolatot a távolról elérni kívánt gyártósorral, berendezéssel, PLC-vel, stb. A router elválasztja a termelési hálózatot (LAN) a vállalati, IT hálózattól (WAN). A távolról, VPN alagúton csatlakozni kívánó felhasználó csak a LAN oldalon lévő termelési hálózatot, a számára beállított jogosultságok szerinti berendezéseket láthatja. Távoli, VPN kapcsolat esetén a WAN oldalhoz való hozzáférés nem lehetséges.

Mivel a VPN router-ek csak outbound kapcsolatot használnak, nincs szükség inbound port nyitására a vállalati tűzfalon. Így a hálózat védve a direkt hozzáférés ellen.

IT Security features – Security by Default

Minden router egyedi jelszóval kerül szállításra, nem használnak default jelszavakat. Továbbá a router-ekben minden biztonsági funkció gyárilag aktiválva van. A router boot szoftvere egy csak olvasható memóriában (ROM: read-only memory) található, így nincs lehetőség az utólagos megváltoztatására. A boot szoftver csak olyan firmware-t tölt be a router-re, ami rendelkezik a megfelelő MB connect line tanusítással. A konfigurációs és felhasználó adatok titkosítottan vannak tárolva flashmemóriában. A titkosításhoz a feloldó kulcsot egy külön hardver elem.

További részletek

Segíthetünk?

Vegye fel velünk a kapcsolatot!