Architekturübersicht

Access Gate verwendet eine Lollipop-Topologie anstelle einer herkömmlichen Inline-Bereitstellung. Das Gerät wird mit Ihrem Netzwerk verbunden, befindet sich jedoch nicht im physischen Datenpfad.

Warum Lollipop?

Herkömmliche Inline-Sicherheitsgeräte verursachen mehrere Probleme:

• Komplexe Bereitstellung: Inline-Netzwerkänderungen sind störend und fehleranfällig, und ein Fehler kann das Netzwerk lahmlegen
• Single Point of Failure: Das Netzwerk fällt aus, wenn das Gerät ausfällt oder falsch konfiguriert ist
• Performance-Engpass: Der gesamte Datenverkehr ist durch den Gerätedurchsatz begrenzt
• Brownfield-Standort: Die meisten Standorte verfügen bereits über Konnektivität und eine Netzwerkstruktur

Die Lollipop-Architektur löst diese Probleme:

• Benachbarte Platzierung: Das Gerät befindet sich neben dem Netzwerk, nicht im Datenpfad
• Software-definierte Weiterleitung: Datenverkehr wird über DNS und Routing umgeleitet
• Graceful Degradation: Das Netzwerk funktioniert normal, wenn das Gerät offline ist
• Zero-Touch-Bereitstellung: Keine physischen Netzwerkänderungen erforderlich

Datenverkehrsfluss

Ohne Access Gate (Underlay-Netzwerk): Client → Asset

Mit Access Gate (Overlay-Netzwerk aktiv): Client → Access Gate (proxy) → Asset

Der Client erreicht das Asset nie direkt; er geht stets über den Proxy. Access Gate beendet die Client-Sitzung und öffnet eine separate, zweite Sitzung zum Asset (im Diagramm unten dargestellt).

Da jede Sitzung auf diese Weise vermittelt wird, kann Access Gate identitätsbasierte Authentifizierung, Zugangskontrolle und Sitzungsprotokollierung vor Assets durchsetzen, die selbst über keine dieser Funktionen verfügen.

Funktionsweise

• Sichtbarkeit: Access Gate beobachtet den Datenverkehr über einen NetFlow-Feed vom Router (NetFlow dient nur der Erkennung und Überwachung, nicht der Durchsetzung). Siehe Datenverkehrsüberwachung und NetFlow-Export.
• Overlay: Es erstellt einen Overlay-IP-Adressraum (üblicherweise 100.64.0.0/16), der geschützte Dienste auf proxy-gesicherte Pfade abbildet.
• Durchsetzung: DNS löst geschützte Hostnamen in Overlay-IP-Adressen auf, und Routing leitet diesen Overlay-Datenverkehr durch Access Gate.
• Assets verbleiben unverändert in ihrem ursprünglichen Underlay-Netzwerk.

Vorteile

• Kein Single Point of Failure im Datenpfad
• Keine physischen Netzwerkänderungen erforderlich
• Einfache Bereitstellung und Entfernung
• Das Netzwerk arbeitet normal weiter, wenn Access Gate offline ist

Aggregation ist die Inline-Alternative zu Lollipop. Statt neben dem Netzwerk zu sitzen, wird Access Gate in den Datenpfad eingefügt und trägt die VLANs des Netzwerks selbst.

• Access Gate wird über einen Trunk-Port (getaggte VLANs) mit dem Aggregations-Switch verbunden (zum Beispiel einem Cisco Catalyst, einem Fortinet- oder Netgear-Switch) und führt diese VLANs durch das Gate.
• Die Maschinen im Netzwerk nutzen Access Gate als Gateway.

Da das Gate inline ist und die VLANs trägt, lässt sich der Secure Twin bereitstellen: ein gerouteter Twin (OSI-Schicht L3) der Adresse eines Assets, mit dem Access Gate dessen Datenverkehr abfangen und kontrollieren kann.

Inline zu sein ist der Kompromiss gegenüber Lollipop: Es setzt eine Segmentierung durch, die das benachbarte Modell nicht leisten kann, aber das Gate befindet sich nun im Datenpfad, planen Sie daher die Verfügbarkeit (zum Beispiel ein Hochverfügbarkeitspaar) wie bei jedem Inline-Gerät.

Die Maschinen erreichen den Twin auf eine von zwei Arten:

• direkte Konfiguration auf der Maschine, über die IP-Adresse des Twins;
• NAT zwischen VLANs.

Diese Konfiguration erlaubt konstruktionsbedingt weiterhin Verkehr zwischen Maschinen über ihre Underlay-Adressen. Sie können die Underlay-Kommunikation dann am Aggregations-Switch blockieren, um den Verkehr durch den Twin zu zwingen.

Aktive (L3) Intra-VLAN-Interception

Der Datenverkehr zwischen zwei Maschinen im selben VLAN wird auf Schicht 2 geswitcht und erreicht das Gateway nie, sodass seine Interception eines dieser Muster erfordert:

• eine Twin-IP auf den abzusichernden Flüssen, zum Beispiel ein Gateway-System, das mit einem Collector kommuniziert;
• nur passives Mithören, der empfohlene Fall für isochrone oder Broadcast-Systeme, bei denen ein Inline-L3-Hop das Timing oder Multicast unterbrechen würde;
• die Migration eines Systems in ein anderes VLAN, zum Beispiel eine SCADA-Leitstation, und sein Ersatz durch einen ARP-Proxy auf Access Gate in seinem ursprünglichen VLAN.

Was es ist: Access Gate wird zum einzigen kontrollierten Zugangspunkt für Benutzer, die von außerhalb des Standorts zugreifen. Remote-Benutzer verbinden sich per VPN (Tailscale/WireGuard) mit Access Gate, das den Zugriff auf geschützte Assets über seinen Proxy vermittelt. Siehe Remote-Zero-Trust-Zugriff und Privileged Access Management für die benutzerbezogenen Modelle.

Warum dieser Modus existiert (das Problem, das er löst): Remote-Zugriff auf OT / sensible IT-Systeme läuft in der Praxis meist auf eines dieser Muster hinaus:

• Flaches VPN ins LAN
• Jump Box / RDP-Server
• Remote-Tools von Lieferanten

Was der Bastion-Modus verbessert

• Least-Privilege-Remote-Zugriff
• Stärkere Netzwerkgrenze
• Nachvollziehbarkeit
• Betriebssicherheit
• Lieferantenzugriff ohne dauerhafte Exposition

Wann dieser Modus geeignet ist

• Sie benötigen Remote-Zugriff für Operatoren, IT, Lieferanten oder Incident Response.
• Sie möchten vermeiden, dass „VPN = im LAN" gilt.
• Sie benötigen konsistente Protokolle und Nachweise für NIS2/CMMC/NIST-konforme Kontrollen.

Access Gate fungiert als VPN-Gateway und ermöglicht Remote-Benutzern den sicheren Zugriff auf Vor-Ort-Assets. Der Netzwerkfluss sieht wie folgt aus:

Remote Users → VPN (Tailscale / WireGuard) → Access Gate → Protected Assets

Was es ist: Mehrere Access Gates bilden ein verschlüsseltes Mesh zwischen Standorten. Jeder Standort behält sein lokales Underlay unverändert, ausgewählte Assets und Dienste werden jedoch über kontrollierte, identitätsbasierte Richtlinien standortübergreifend erreichbar.

Warum dieser Modus existiert (das Problem, das er löst): Organisationen mit mehreren Standorten haben häufig folgende Situation:

• Flache Site-to-Site-VPNs
• Komplexes Netzwerk-Engineering
• Uneinheitliche Kontrollen je Standort

Was das Mesh verbessert

• Zero Trust standortübergreifend: Alice an Standort A erhält Zugriff auf eine bestimmte CNC an Standort B, identitätsverifiziert, ohne lateralen Zugriff auf irgendetwas anderes. Siehe Standortübergreifende Entitätsfreigabe.
• Einheitliche Sicherheitslage
• Schnelleres Rollout
• Zentralisiertes Logging und Dokumentation für Auditoren

Typische Anwendungsfälle

• Ein zentrales Engineering-Team benötigt kontrollierten Zugriff auf Maschinen in verschiedenen Werken.
• Gemeinsame Dienste (Historians, Patch-Repositories, Backup, Monitoring) müssen sicher erreichbar sein.
• M&A- und Multi-Entity-Umgebungen, in denen Netzwerke getrennt bleiben müssen, aber Zusammenarbeit erforderlich ist.
• Sie möchten „Konnektivität als Richtlinie" statt „Konnektivität als Routing".

Mehrere Access Gates sind über VPN miteinander verbunden und ermöglichen sichere Site-to-Site-Konnektivität:

Site A Assets ← Access Gate A ←→ Access Gate B → Site B Assets

Voraussetzung: Konfiguration des Site-Mesh-Features, siehe Standortübergreifende Entitätsfreigabe.