Remote Zero Trust Access ermöglicht es einem Ingenieur, Lieferanten oder Bereitschaftsoperator, von außerhalb des Standorts auf eine geschützte Enklave zuzugreifen. Anstatt eines Full-Tunnel-VPN, das den Benutzer ins Unternehmensnetzwerk einbindet, verknüpft Access Gate das Remote-Gerät mit einem Tailscale-Overlay und gibt nur die Enklaven frei, auf die die Identität des Benutzers zugreifen darf.
Unterschied zu einem VPN
Ein herkömmliches VPN terminiert an einem Unternehmens-Gateway und platziert den Remote-Rechner in einem breiten Subnetz. Das Risiko lateraler Bewegungen ist hoch, und Zugriffsüberprüfungen sind periodische Übungen.
Remote ZT Access funktioniert anders:
| Aspekt | Herkömmliches VPN | Remote ZT Access |
|---|---|---|
| Erreichbare Oberfläche | Gesamtes Netzwerk nach Verbindungsaufbau | Nur Enklaven, die die Rolle des Benutzers erlaubt |
| Authentifizierung | Gateway-Anmeldedaten (oft geteilt) | Benutzerindividuelle Identität über den IdP |
| Netzwerkpräsenz | Benutzer-IP im Unternehmens-LAN | Overlay-IP, isoliert vom LAN |
| Richtlinienmodell | Firewall-Regeln nach IP | ACLs nach Benutzer / Gruppe |
| Widerruf | VPN-Konto deaktivieren (global) | Benutzer aus Enklave / Gruppe entfernen (pro Ressource) |
Das Overlay wird vom integrierten Tailscale-Client bereitgestellt — siehe Tailscale VPN auf Access Gate konfigurieren für die Integrationsdetails.
Benutzererfahrung
- Der Remote-Benutzer installiert Tailscale auf seinem Gerät (oder es wurde von der IT vorinstalliert).
- Er meldet sich bei Tailscale über den vorhandenen Identity Provider (OIDC / SAML) an.
- Er erreicht die seiner Rolle zugeordneten Enklaven — über die Overlay-IPs, die Access Gate veröffentlicht. Systeme, die seiner Rolle nicht zugeordnet sind, bleiben unsichtbar.
- Wenn der Benutzer die Gruppe verlässt (oder seine Rolle abläuft), wird die Overlay-Route entfernt.
Keine statische VPN-Konfiguration. Kein standortspezifischer Gateway-Login. Keine dauerhafte Route ins Produktionsnetzwerk.
Zusammenspiel mit Enklaven
Jede für den Remote-Zugriff aktivierte Enklave erhält einen Overlay-Endpunkt. Access Gate gibt den Endpunkt gegenüber Tailscale-Geräten bekannt, deren Benutzeridentität in der ACL der Enklave eingetragen ist. Das Protokoll, das der Benutzer gegenüber dem Asset verwendet (HTTPS, Modbus, ein Datenbank-Wire-Protokoll), bleibt unverändert — Access Gate sichert lediglich den Pfad.
Für administrative Sitzungen — RDP, SSH, VNC mit Sitzungsaufzeichnung — siehe Privileged Access Management. Dieser Pfad läuft über einen browserbasierten Proxy statt über das Overlay und ergänzt sitzungsbezogene Audit-Kontrollen.
Einrichtung
1. Tailscale mit dem IdP verbinden
- Binden Sie im Tailscale-Admin Ihren SSO-Anbieter ein (Entra ID, Okta, Google Workspace).
- Erstellen Sie Tailscale-Gruppen, die den IdP-Gruppen entsprechen, die Sie bereits für Zugriffsentscheidungen verwenden (
ot-engineers,remote-vendors).
Access Gate liest diese Identitäten direkt — das Benutzerverzeichnis muss hier nicht neu modelliert werden.
2. Remote-Zugriff für die Enklave aktivieren
- Navigieren Sie zu Enclaves → [Ihre Enklave] → Remote Access.
- Aktivieren Sie Remote Zero Trust Access.
- Wählen Sie die Tailscale-Gruppen aus, die diese Enklave erreichen dürfen.
- Speichern.
Nur die hier aufgeführten Gruppen können die Enklave von außerhalb des Standorts sehen. Alles andere bleibt für Tailscale-Geräte unsichtbar.
3. Protokolle einschränken
Remote ZT Access leitet die Protokolle weiter, die die Enklave-ACL für den Benutzer erlaubt. Wenn ein Operator nur HTTPS zu einem Historian sprechen soll, muss die ACL dies festlegen — Access Gate öffnet keine zusätzlichen Ports stillschweigend.
Siehe Access control lists, um den benutzerspezifischen Protokollsatz einzuschränken.
Widerruf
Zwei Möglichkeiten, den Remote-Zugriff zu unterbinden:
- Benutzer aus der Gruppe entfernen im IdP. Tailscale übernimmt die Änderung beim nächsten Token-Refresh, und die Overlay-Route verschwindet.
- Remote-Access-Schalter der Enklave deaktivieren. Alle Remote-Benutzer verlieren sofort den Zugang zur Enklave — nützlich bei einem Vorfall.
Beide Ereignisse werden in der Enklave-Änderungshistorie erfasst.
Verwandte Themen
- Tailscale VPN auf Access Gate konfigurieren — der integrierte Tailscale-Client, auf dem dieser Ablauf basiert
- Privileged Access Management — browserbasiertes RDP/SSH/VNC-Proxying für administrative Sitzungen
- Access control lists
- Benutzer mit Access Screens authentifizieren