Zero-Trust-Fernzugriff
mit Tailscale & Access Gate.
PAM-Fernzugriff über IT- und OT-Netzwerke, ohne vorhandene Infrastruktur oder VLANs zu berühren. Tailscale bietet verschlüsselte Tunnel. Access Gate fügt Identitätsdurchsetzung, Session-Brokering und zentralisierte Prüfung hinzu.
Architektur Übersicht.
Access Gate integriert sich mit Tailscale, um privilegierten Fernzugriff über IT- und OT-Netzwerke bereitzustellen. Tailscale bietet ein modernes WireGuard-basiertes Overlay: Zero-Config, Peer-to-Peer verschlüsselte Tunnel. Access Gate fügt Identitätsdurchsetzung, privilegiertes Session-Brokering, OT-Asset-Sichtbarkeit und zentralisierte Prüfung hinzu.
Kein VPN-Gerät erforderlich
Tailscale ersetzt traditionelle VPN-Konzentratoren durch WireGuard-basierte verschlüsselte Tunnel. Native API-Integration mit Access Gate.
MFA + Session-Brokering
Access Gate präsentiert MFA-Splash-Seite für gewünschte Sitzung und Proxy-Kommunikation. Benutzer erhalten niemals direkten Netzwerkzugriff auf Endpunkte.
Mikrosegmentierung
Access Gate-Enklavenmodell segmentiert LAN-Zugriff pro Benutzer, pro Ressource, pro Protokoll. Keine flache Netzwerkexposition.
Vollständiger Audit-Trail
Jede Fernsitzung wird aufgezeichnet und protokolliert. Access Gate sendet Ereignisse, Anomalien und Sitzungswarnungen an SIEM.
Fernzugriffs- Topologie.
Die Architektur zeigt drei unterschiedliche Flüsse: Fernbenutzerzugriff über Firewall/Router, Lieferantenzugriff über Tailscale direkt zu Access Gate und Protokollweiterleitung zu Cloud-SIEM. Access Gate sitzt innerhalb des LAN und vermittelt alle Sitzungen zu IT- und OT-Subnetzen.
(1) Fernbenutzerzugriff auf Datenbank
• Fernbenutzer öffnet Tailscale-Client, Tunnel zu Access Gate aufgebaut • Verbindung zu Access Gate-Proxy geleitet • MFA-Splash-Seite präsentiert, Benutzer authentifiziert sich • Sitzung zur Datenbank erweitert – kein direkter Netzwerkzugriff für den Benutzer • Sitzung aufgezeichnet und protokolliert
(2) Lieferanten-Privilegierter Zugriff auf Steuerungssystem
• Fernlieferant öffnet Tailscale-Client, Tunnel zu Access Gate aufgebaut • Access Gate wendet ACL an, präsentiert MFA-Splash-Seite + VDI-Bildschirm • Lieferant authentifiziert sich • Sitzung nur zum Steuerungssystem erweitert • Sitzung aufgezeichnet und im Access Gate-Audit-Trail protokolliert
(3) Protokoll-Skimming zu Cloud-SIEM
• Optionaler ICS-Stream-Protokoll zu Access Gate • Access Gate skimmt Protokolle und verarbeitet Proxy-Protokolle in rsyslog-Format • Access Gate baut Tunnel zu Cloud-SIEM auf und leitet Protokolle weiter
Compliance-Anforderungen Checkliste.
Wie Access Gate + Tailscale wichtige Compliance-Anforderungen für Fernzugriff abdeckt.
| Anforderung | Wie Access Gate + Tailscale es abdeckt | |
|---|---|---|
| Multi-Faktor-Authentifizierung bei Fernsitzungen | Tailscale-Geräteauthentifizierung & Access Gate-Splash-Seite für Multi-Faktor-Authentifizierung | ✓ |
| Least-Privilege & rollenbasierte Zugriffskontrolle | Berechtigungsmatrix in Access Gate setzt Regeln pro Benutzer, pro Ressource, pro Protokoll durch | ✓ |
| Privilegiertes Zugriffsmanagement (PAM) identifiziert und proxied | Privilegierte Sitzungen werden durch Access Gate proxied; kein direkter Netzwerkzugriff auf OT-Endpunkte | ✓ |
| Sitzungsaufzeichnung & Audit-Trail für privilegierte Sitzungen | Access Gate protokolliert Sitzungsereignisse; an SIEM weitergeleitet | ✓ |
| Verschlüsselter Fernzugriff (Schutz während der Übertragung) | WireGuard (Tailscale) bietet End-to-End- oder End-to-Hub-Verschlüsselung | ✓ |
| Mikrosegmentierung | Access Gate-Enklavenmodell segmentiert LAN-Zugriff | ✓ |
| Überwachung & Alarmierung bei Fernzugriffsereignissen | Access Gate sendet Authentifizierungsereignisse, Anomalien, Sitzungswarnungen an SIEM | ✓ |
| Kontinuierliches Verbindungsinventar | Access Gate protokolliert jede Fernzugriffssitzung | ✓ |
Laden Sie die Fernzugriffs-Architektur herunter.
Erhalten Sie das Architekturdiagramm und die Compliance-Checkliste als herunterladbares Paket.
Ein-Gateway-Architektur
Beginnen Sie mit einer einfacheren Bereitstellung? Die Ein-Gateway-Architektur deckt sowohl IT als auch OT von einem einzelnen Access Gate ab, ohne Änderungen an Ihrem vorhandenen Perimeter.
Doppel-Gateway-Architektur
Benötigen Sie Abdeckung für IT und OT mit separaten Durchsetzungszonen? Die Doppel-Gateway-Architektur fügt eine zweite Schutzschicht hinzu.
Häufige Fragen zum sicheren Fernzugriff.
VPN-Geräte erforderlich. Tailscale + Access Gate ersetzt traditionelle VPN-Konzentratoren vollständig.
Nicht sofort. Tailscale kann neben vorhandenen VPNs laufen. Sie können Benutzer schrittweise migrieren. Sobald alle Fernsitzungen über Tailscale + Access Gate laufen, kann der Legacy-VPN-Konzentrator außer Betrieb genommen werden.
Lieferanten verbinden sich über Tailscale direkt mit dem Access Gate (Fluss 2). Access Gate wendet lieferantenspezifische ACLs an, präsentiert MFA und einen VDI-Bildschirm und beschränkt die Sitzung nur auf bestimmte Steuerungssysteme. Lieferanten erhalten niemals breiten LAN-Zugriff.
Access Gate führt Protokollinspektion auf industriellen Protokollen (Modbus, EtherNet/IP, OPC-UA) und Standard-IT-Protokollen (RDP, SSH, HTTP/S) durch. Sitzungen werden unterbrochen und über den Proxy neu aufgebaut für vollständige Sichtbarkeit.
Ja. Access Gate verarbeitet Proxy-Protokolle in rsyslog-Format und baut einen Tunnel zu Ihrem Cloud-SIEM auf. Es unterstützt Standard-Syslog-Weiterleitung sowie direkte Integration mit gängigen SIEM-Plattformen.