Remote Zero Trust Access ermöglicht es einem Ingenieur, Lieferanten oder Bereitschaftsoperator, von außerhalb des Standorts auf eine geschützte Enklave zuzugreifen. Anstatt eines Full-Tunnel-VPN, das den Benutzer ins Unternehmensnetzwerk einbindet, verknüpft Access Gate das Remote-Gerät mit einem Tailscale-Overlay und gibt nur die Enklaven frei, auf die die Identität des Benutzers zugreifen darf.
Unterschied zu einem VPN
Ein herkömmliches VPN terminiert an einem Unternehmens-Gateway und platziert den Remote-Rechner in einem breiten Subnetz. Das Risiko lateraler Bewegungen ist hoch, und Zugriffsüberprüfungen sind periodische Übungen.
Remote ZT Access funktioniert anders:
| Aspekt | Herkömmliches VPN | Remote ZT Access |
|---|---|---|
| Erreichbare Oberfläche | Gesamtes Netzwerk nach Verbindungsaufbau | Nur Enklaven, die die Rolle des Benutzers erlaubt |
| Authentifizierung | Gateway-Anmeldedaten (oft geteilt) | Benutzerindividuelle Identität über den IdP |
| Netzwerkpräsenz | Benutzer-IP im Unternehmens-LAN | Overlay-IP, isoliert vom LAN |
| Richtlinienmodell | Firewall-Regeln nach IP | ACLs nach Benutzer / Gruppe |
| Widerruf | VPN-Konto deaktivieren (global) | Benutzer aus Enklave / Gruppe entfernen (pro Ressource) |
Das Overlay wird vom integrierten Tailscale-Client bereitgestellt, siehe Tailscale VPN auf Access Gate konfigurieren für die Integrationsdetails.
Benutzererfahrung
- Der Remote-Benutzer installiert Tailscale auf seinem Gerät (oder es wurde von der IT vorinstalliert).
- Er meldet sich bei Tailscale über den vorhandenen Identity Provider (OIDC / SAML) an.
- Er erreicht die seiner Rolle zugeordneten Enklaven, über die Overlay-IPs, die Access Gate veröffentlicht. Systeme, die seiner Rolle nicht zugeordnet sind, bleiben unsichtbar.
- Wenn der Benutzer die Gruppe verlässt (oder seine Rolle abläuft), wird die Overlay-Route entfernt.
Keine statische VPN-Konfiguration. Kein standortspezifischer Gateway-Login. Keine dauerhafte Route ins Produktionsnetzwerk.
Zusammenspiel mit Enklaven
Jede für den Remote-Zugriff aktivierte Enklave erhält einen Overlay-Endpunkt. Access Gate gibt den Endpunkt gegenüber Tailscale-Geräten bekannt, deren Benutzeridentität in der ACL der Enklave eingetragen ist. Das Protokoll, das der Benutzer gegenüber dem Asset verwendet (HTTPS, Modbus, ein Datenbank-Wire-Protokoll), bleibt unverändert, Access Gate sichert lediglich den Pfad.
Für administrative Sitzungen, RDP, SSH, VNC mit Sitzungsaufzeichnung, siehe Privileged Access Management. Dieser Pfad läuft über einen browserbasierten Proxy statt über das Overlay und ergänzt sitzungsbezogene Audit-Kontrollen.
Einrichtung
1. Tailscale mit dem IdP verbinden
- Binden Sie im Tailscale-Admin Ihren SSO-Anbieter ein (Entra ID, Okta, Google Workspace).
- Erstellen Sie Tailscale-Gruppen, die den IdP-Gruppen entsprechen, die Sie bereits für Zugriffsentscheidungen verwenden (
ot-engineers,remote-vendors).
Access Gate liest diese Identitäten direkt, das Benutzerverzeichnis muss hier nicht neu modelliert werden.
2. Remote-Zugriff für die Enklave aktivieren
- Navigieren Sie zu Enclaves → [Ihre Enklave] → Remote Access.
- Aktivieren Sie Remote Zero Trust Access.
- Wählen Sie die Tailscale-Gruppen aus, die diese Enklave erreichen dürfen.
- Speichern.
Nur die hier aufgeführten Gruppen können die Enklave von außerhalb des Standorts sehen. Alles andere bleibt für Tailscale-Geräte unsichtbar.
3. Protokolle einschränken
Remote ZT Access leitet die Protokolle weiter, die die Enklave-ACL für den Benutzer erlaubt. Wenn ein Operator nur HTTPS zu einem Historian sprechen soll, muss die ACL dies festlegen, Access Gate öffnet keine zusätzlichen Ports stillschweigend.
Siehe Access control lists, um den benutzerspezifischen Protokollsatz einzuschränken.
Widerruf
Zwei Möglichkeiten, den Remote-Zugriff zu unterbinden:
- Benutzer aus der Gruppe entfernen im IdP. Tailscale übernimmt die Änderung beim nächsten Token-Refresh, und die Overlay-Route verschwindet.
- Remote-Access-Schalter der Enklave deaktivieren. Alle Remote-Benutzer verlieren sofort den Zugang zur Enklave, nützlich bei einem Vorfall.
Beide Ereignisse werden in der Enklave-Änderungshistorie erfasst.
Zusammenfassung
Wir haben Remote-Geräte an ein Tailscale-Overlay gebunden und nur die Enklaven freigegeben, die die Identität des jeweiligen Benutzers erreichen darf, ohne flachen VPN-Tunnel ins LAN.
Greifen Sie hierzu für den alltäglichen Anwendungsverkehr von externen Ingenieuren, Anbietern oder Bereitschaftsoperatoren, wenn Identität, geringste Rechte und sofortiger Widerruf entscheidend sind.
Verwandte Themen
- Tailscale VPN auf Access Gate konfigurieren, der integrierte Tailscale-Client, auf dem dieser Ablauf basiert
- Privileged Access Management, browserbasiertes RDP/SSH/VNC-Proxying für administrative Sitzungen
- Access control lists
- Benutzer mit Access Screens authentifizieren