IT von OT trennen ohne Netzwerk-Redesign
Setzen Sie granulare Mikrosegmentierung mit Proxy-Bastionen ein. Kein VLAN-Umbau, keine Firewall-Neukonfiguration, keine Ausfallzeiten.
Trusted by leading companies
| Principals | Code Repository | |
|---|---|---|
| tcp:3690 | tcp:443 | |
| Alice | Blocked | Blocked |
| Bob | Advanced | Blocked |
| Marc Hoover (microsoft) | Advanced | Blocked |
| Code Repository | ||
Warum flache OT-Netzwerke an der IT/OT-Grenze versagen.
Die meisten Anlagen betreiben weiterhin ein flaches oder nur leicht segmentiertes Netzwerk: Der Historian, die Engineering-Workstation, der SCADA-Server und die PLCs sitzen dort, wo ein einziger kompromittierter Host die Steuerungsebene direkt erreichen kann. Das ist es, was nach Jahren übrig bleibt, in denen einem auf Zuverlässigkeit und nicht auf Sicherheit ausgelegten Netzwerk Konnektivität hinzugefügt wurde.
Eine industrielle DMZ soll zwischen der Unternehmens-IT und der OT auf Level 3.5 liegen und nur die wenigen Flüsse vermitteln, die legitim die Grenze überschreiten: den Historian-Feed, die Patch-Verteilung, den Fernzugriff. In der Praxis sammelt sie Dienste und Ausnahmen an, bis sie zu einer weiteren vertrauenswürdigen Zone wird, und die Grenze erodiert still und leise.
Das ist die Angriffsfläche, die Angreifer nutzen. Die meisten OT-Vorfälle beginnen nicht an einer PLC, sondern an einer per Phishing kompromittierten Workstation oder an einer überberechtigten Lieferantenverbindung, und bewegen sich von dort hinunter in das Steuerungsnetzwerk. Diese Lücke zu schließen, hat weniger mit einer weiteren Firewall zu tun als damit, zu kontrollieren, welche Zonen mit welchen sprechen dürfen, mit einer Identität hinter jeder Sitzung.
IEC 62443 Zonen und Conduits, angewendet auf die iDMZ.
IEC 62443 macht die DMZ durchsetzbar. Eine Zone ist eine Gruppe von Anlagen, die ein gemeinsames Sicherheitsniveau teilen; ein Conduit ist der kontrollierte Pfad zwischen Zonen, der genau definiert, welcher Datenverkehr die Grenze überschreiten darf. Eine industrielle DMZ ist der Conduit zwischen der Unternehmens- und der OT-Zone, und der Standard sagt deutlich, dass die Benennung der Zonen der einfache Teil ist.
Der schwierige Teil ist die Umsetzung der Conduits in einem Netzwerk, das bereits läuft. Traditionell bedeutet das ein VLAN-Redesign: die Neuadressierung von Geräten, die Neukonfiguration von Switches und das Herunterfahren der Produktion für die Umstellung. Für die meisten Betreiber ist diese Ausfallzeit das Hindernis, das ein flaches Netzwerk flach hält, und die iDMZ bleibt ein Diagramm statt einer durchgesetzten Grenze.
Eine industrielle DMZ ohne Neuarchitektur des Netzwerks.
Benachbarte Bereitstellung, ohne Unterbrechung.
Access Gate wird neben dem bestehenden Netzwerk an der Level-3.5-Grenze bereitgestellt und erstellt ein proxy-vermitteltes DMZ-Overlay über die Zonen hinweg. Keine VLAN-Änderungen, keine Agenten auf PLCs oder OT-Endpunkten, keine Produktionsausfälle. Zonenübergreifender Datenverkehr wird über authentifizierte Proxys vermittelt, und Sichtbarkeit sowie identitätsbasierte Zugriffskontrolle sind in Stunden aktiv.
Konsolidierung zu einem Zero-Trust-Fabric.
Das Overlay wird zur Durchsetzungsebene. Systeme migrieren über dessen Proxy hinter die Gate, ohne den vollständigen Austausch von Switches, und Access Gate wird zur iDMZ: Deep Packet Inspection auf industriellen Protokollen, Richtlinien pro Benutzer, Gerät und Protokoll sowie ein manipulationssicheres Sitzungsprotokoll. Tage, nicht die Monate, die ein traditionelles Konsolidierungsprojekt benötigt.
NIS2 Artikel 21 und IEC 62443, kontinuierlich nachgewiesen.
Die proxy-vermittelte DMZ bildet sich direkt auf die technischen Maßnahmen von NIS2 Artikel 21 ab: Netzwerksegmentierung (Zonen und Conduits ohne Neuverkabelung), Zugriffskontrolle (identitätsbasiert, MFA am Proxy durchgesetzt, geringste Rechte pro Anlage und Protokoll) und Protokollierung (jede zonenübergreifende Sitzung mit Benutzer, Zeitstempel und Protokoll in einer manipulationssicheren Spur erfasst).
Die Zonen- und Conduit-Architektur der IEC 62443 ist die anerkannte technische Umsetzung dieser Pflichten, und die ANSSI sowie gleichwertige nationale Leitlinien behandeln sie als den Weg, um Segmentierung nachzuweisen. Access Gate erzeugt diesen Nachweis kontinuierlich, ab der ersten Sitzung, statt ihn in der Woche vor einem Audit zu rekonstruieren.
Wo das iDMZ-Muster passt.
Brownfield-Anlage, kein Wartungsfenster
Ein Standort, der die Segmentierung jahrelang aufgeschoben hat, weil sie eine Firewall-Neugestaltung und Produktionsausfälle bedeutete. Das Overlay bringt die IT/OT-Grenze an einem Nachmittag unter Kontrolle, ohne das physische Netzwerk anzutasten, und konsolidiert anschließend über die folgenden Tage hinter der Gate.
Learn moreOT-Bestand mit mehreren Herstellern
Eine Gruppe, die Siemens an einer Anlage, Rockwell an der nächsten und Schneider an einer dritten betreibt, kann sich nicht auf das Werkzeug eines einzelnen Herstellers standardisieren. Das DMZ-Overlay ist herstellerunabhängig: Es setzt Zonen und Conduits auf der Netzwerkebene oberhalb der jeweiligen PLCs und Protokolle jedes Standorts durch, mit zentraler Richtlinie über alle hinweg.
Learn moreLieferanten- und Fernzugriff in das OT
Der Zugriff durch Dritte ist der häufigste Weg, auf dem die Grenze überschritten wird. Die iDMZ vermittelt jede Lieferantensitzung über einen authentifizierten Proxy, beschränkt auf eine einzelne Anlage und ein einzelnes Protokoll und vollständig aufgezeichnet, sodass Fernarbeit nie einen Weg in das flache Netzwerk bedeutet.
Learn moreSichere und agile IT/OT-Grenzen schaffen
Das Trout Access Gate macht die Einrichtung einer Industrial DMZ praktikabel: kein Netzwerk-Redesign, keine Produktionsauswirkungen, kein Spezialwissen erforderlich.
Logisches Segmentierungs-Overlay
DMZ-Kontrollen einrichten, ohne das LAN neu zu gestalten.
Proxy-Schutz
Der gesamte zonenübergreifende Datenverkehr wird über authentifizierte Proxys geleitet. Asset-Cloaking verbirgt Ressourcen vor unbefugten Benutzern.
Deep Packet Inspection
Industrielle Kommunikation präzise prüfen und steuern.
Legacy-kompatibel
Schützt PLCs, HMIs, SCADA und DCS, ohne dass Änderungen an den Geräten selbst erforderlich sind.
Deterministische Datenflüsse
Explizite, gerichtete und prüfbare Kommunikationspfade durchsetzen.
Berechtigungsmatrix
Granulare Zugriffskontrolle pro Benutzer, Gerät und Protokoll. Legen Sie genau fest, wer über Zonengrenzen hinweg auf was zugreifen darf.
Laden Sie das Access Gate Datenblatt herunter.
Erhalten Sie die vollständige Produktübersicht mit technischen Funktionen, Bereitstellungsmodell, Compliance-Ausrichtung und Kundenreferenzen.
Inhalt
Produktarchitektur, Bereitstellungsmodell, wichtige Funktionen (Proxy-Durchsetzung, Mikro-DMZs, identitätsbasierter Zugriff), Compliance-Ausrichtung und reale Kundenimplementierungen.
In der Praxis erleben
Fordern Sie eine Live-Demo an, um zu sehen, wie der Access Gate in Ihrem Netzwerk bereitgestellt wird, ohne Umverkabelung oder Ausfallzeiten.
Fragen und Antworten
Keine Netzwerkänderungen erforderlich. Das Access Gate erstellt Segmentierungsgrenzen auf der Anwendungsschicht, ohne VLANs, Firewalls oder physische Infrastruktur zu berühren.
Nein. Das Access Gate erstellt logische Segmentierung auf der Anwendungsschicht und überlagert dabei Ihr bestehendes Netzwerk. Es gibt keinen VLAN-Umbau, keine Firewall-Neukonfiguration und keine Produktionsauswirkungen. Sie können Zonengrenzen ohne jegliche Ausfallzeiten einrichten und durchsetzen.
Herkömmliche Firewalls segmentieren auf der Netzwerkschicht und erfordern Topologieänderungen. Das Access Gate segmentiert auf der Anwendungsschicht und kann Richtlinien pro Benutzer, pro Gerät und pro Protokoll durchsetzen, ohne Ihr physisches oder logisches Netzwerkdesign zu verändern. Dadurch lässt es sich praktisch in Brownfield-Umgebungen einsetzen.
Ja. Das Access Gate schützt Geräte, ohne dass etwas darauf installiert werden muss. PLCs, HMIs, SCADA-Systeme und DCS-Controller werden durch Proxy-Bastionen geschützt, die jeden Zugriff vermitteln. Die Legacy-Geräte müssen keine modernen Sicherheitsprotokolle unterstützen.
Eine Proxy-Bastion ist ein authentifiziertes Gateway, das den gesamten Datenverkehr über eine Zonengrenze hinweg vermittelt. Benutzer und Geräte müssen sich authentifizieren, bevor der Datenverkehr weitergeleitet wird. Die Bastion führt außerdem Deep Packet Inspection für industrielle Protokolle durch und zeichnet vollständige Sitzungsprotokolle für Auditzwecke auf.
Ja. Der Access Gate wird vollständig On-Premise betrieben, ohne jegliche Cloud-Abhängigkeit. Er ist für Air-Gap-, Hybrid- und klassifizierte Umgebungen konzipiert, in denen Daten den Netzwerkperimeter nicht verlassen dürfen.
Die proxy-vermittelte DMZ liefert die Netzwerksegmentierung, Zugriffskontrolle und Protokollierung, die NIS2 Artikel 21 verlangt, und setzt das Zonen- und Conduit-Modell der IEC 62443 unmittelbar um. Jede zonenübergreifende Sitzung wird durch eine Identität vermittelt und in einem manipulationssicheren Protokoll erfasst, sodass Auditnachweise kontinuierlich entstehen, statt vor einer Prüfung rekonstruiert zu werden.