Fernzugriff ist notwendig. Implizites Vertrauen macht ihn riskant.
Einem flachen Netzwerk Remote-Zugriff zu gewähren bedeutet, den Generalschlüssel auszuhändigen. Access Gate implementiert Zero-Trust zunächst innerhalb Ihres LAN und öffnet anschließend kontrollierten Remote-Zugriff auf spezifische Systeme, nicht auf Ihr gesamtes Netzwerk.
Trusted by leading companies
Remote-Zugriff ist der häufigste Weg in die OT.
Die Nutzung von Fernzugriff nimmt zu: Integratoren nehmen Linien in Betrieb, OEMs warten Antriebe, und Ingenieure unterstützen Standorte, die sie physisch selten besuchen. Die üblichen Werkzeuge dafür, VPNs und Jump-Hosts, wurden entwickelt, um das Netzwerk auf den Remote-Benutzer auszudehnen, nicht um einzuschränken, auf was dieser Benutzer zugreifen kann.
Sobald eine VPN-Verbindung hergestellt wird, erhält die Gegenseite implizites Vertrauen und uneingeschränkten Zugriff. Ein kompromittierter Laptop eines Lieferanten, ein wiederverwendetes Passwort oder ein Auftragnehmer, der lange nach Abschluss der Arbeit noch Zugriff behält, erben diesen Zugriff. Der Zugang durch Dritte und Fernzugriff ist immer wieder der Angriffsvektor hinter den größten OT-Vorfällen.
Die Lösung ist kein größeres VPN. Es ist ein Zugang, der vermittelt statt geroutet wird: jede Remote-Sitzung durch Identität authentifiziert, auf ein einzelnes Asset und Protokoll beschränkt, aufgezeichnet und beendet, wenn das Zeitfenster schließt, sodass eine Remote-Verbindung niemals ein Einfallstor in das breitere Netzwerk darstellt.
Vermittelte, identitätsgebundene Sitzungen, keine Netzwerk-Tunnel.
Access Gate vermittelt jede Sitzung über einen protokollbewussten Proxy. Der Remote-Benutzer authentifiziert sich im Browser gegen Ihren bestehenden Identity Provider, erhält eine Sitzung zu einer autorisierten Ressource über ein autorisiertes Protokoll und bekommt niemals eine IP-Adresse in Ihrem Netzwerk zugewiesen. SSH, RDP, VNC, HTTP, Modbus und OPC UA werden auf der Anwendungsschicht inspiziert, sodass Sie ein Protokoll erlauben und gleichzeitig einschränken können, was es ausführen darf.
Zero Trust zuerst im LAN, dann kontrollierter Remote-Zugriff.
Zero Trust im Inneren etablieren.
Access Gate wird als Overlay bereitgestellt und bringt zunächst das interne Netzwerk unter eine identitätsbasierte Zugriffskontrolle, ohne Agenten und ohne Neuverkabelung. Bevor ein Remote-Zugriff geöffnet wird, sind die internen Datenflüsse bereits authentifiziert, auf das geringste Privileg beschränkt und protokolliert, sodass der Remote-Zugriff zu einem kontrollierten Netzwerk hinzugefügt wird, nicht zu einem flachen.
Zugriff auf Systeme öffnen, nicht auf das Netzwerk.
Remote-Nutzer verbinden sich über den Browser mit dem Gate und werden an bestimmte Assets vermittelt. Jede Sitzung wird authentifiziert, pro Asset, Protokoll, Methode und Zeitfenster beschränkt, aufgezeichnet und automatisch beendet, wenn das Zeitfenster schließt. Zugriffsvereinbarungen können vor dem Start einer Sitzung verlangt und protokolliert werden. Lieferanten installieren nichts; die IT verwaltet keine Endpunkte, die ihr nicht gehören.
Wo vermittelter Remote-Zugriff passt.
Drittpartei- und OEM-Wartung
Ein Antriebslieferant oder Integrator benötigt für ein Wartungsfenster Zugang zu einer einzigen Maschine. Er erhält eine Browser-Sitzung zu diesem Asset über das vereinbarte Protokoll, zeitlich begrenzt und aufgezeichnet, und nichts weiter. Der Zugriff endet mit dem Zeitfenster, ohne ein dauerhaftes VPN-Konto, das man vergessen könnte.
Learn moreInterne Ingenieure über Standorte hinweg
Ingenieure unterstützen Anlagen, die sie nicht besuchen können. Sie authentifizieren sich mit ihrer bestehenden Identität und MFA und erreichen die spezifischen PLCs, HMIs oder Historians, zu denen sie berechtigt sind, jede Sitzung auf das geringste Privileg beschränkt und protokolliert, und ersetzen so gemeinsam genutzte Jump-Host-Anmeldeinformationen.
Learn moreRegulierte und Air-Gapped-Standorte
ITAR-, CMMC- und klassifizierte Umgebungen können Sitzungen nicht über einen Cloud-Proxy routen. Access Gate vermittelt und zeichnet Remote-Sitzungen vollständig vor Ort auf, sodass kontrollierter Remote-Zugriff selbst dort funktioniert, wo das Internet nicht hinreicht und Daten den Perimeter nicht verlassen dürfen.
Learn moreRemote Access für industrielle Umgebungen
Das Trout Access Gate ersetzt VPNs und Sprungserver durch protokollbewussten Remote Access, konzipiert für OT, Legacy-Systeme und regulierte Umgebungen.
Keine VPN-Tunnel
Lieferanten verbinden sich über das Access Gate, nicht in Ihr Netzwerk. Keine laterale Bewegung, keine Exposition durch flache Netzwerke.
Protokollinspektion
HTTP, SSH, RDP, Modbus: Jedes Protokoll wird auf der Anwendungsschicht inspiziert und gefiltert, bevor es das Ziel erreicht.
Sitzungsaufzeichnung
Jede Remote-Sitzung wird aufgezeichnet, indiziert und ist wiedergabefähig. Vollständiger Prüfpfad für Compliance und Incident Response.
Sitzungsbasierte Richtlinien
Definieren Sie den Zugriff nach Benutzer, Ressource, Protokoll, Zeitfenster und HTTP-Methode. Jede Sitzung wird individuell autorisiert.
Zugriffsvereinbarungen
Verpflichten Sie Lieferanten, Sicherheitsrichtlinien vor jeder Sitzung zu bestätigen. Protokolliert und mit Zeitstempel versehen für die Compliance.
Kein Agent erforderlich
Funktioniert über den Browser. Lieferanten installieren keine Software. Die IT verwaltet keine Endgeräte, die ihr nicht gehören.
Laden Sie das Access Gate Datenblatt herunter.
Erhalten Sie die vollständige Produktübersicht mit technischen Funktionen, Bereitstellungsmodell, Compliance-Ausrichtung und Kundenreferenzen.
Inhalt
Produktarchitektur, Bereitstellungsmodell, wichtige Funktionen (Proxy-Durchsetzung, Mikro-DMZs, identitätsbasierter Zugriff), Compliance-Ausrichtung und reale Kundenimplementierungen.
In der Praxis erleben
Fordern Sie eine Live-Demo an, um zu sehen, wie der Access Gate in Ihrem Netzwerk bereitgestellt wird, ohne Umverkabelung oder Ausfallzeiten.
Fragen und Antworten
VPN-Tunnel in Ihr Produktionsnetzwerk. Das Access Gate vermittelt Sitzungen auf der Anwendungsschicht: Lieferanten berühren Ihr internes Netzwerk niemals.
Lieferanten öffnen einen Browser und authentifizieren sich über das Access Gate. Das Gate leitet ihre Sitzung auf der Anwendungsschicht an die Zielressource weiter. Sie erhalten niemals eine IP-Adresse in Ihrem Netzwerk und können nur mit der spezifischen Ressource und dem Protokoll interagieren, das Sie autorisiert haben.
Das Access Gate unterstützt HTTP/HTTPS, SSH, RDP, VNC, Modbus TCP und OPC-UA ohne zusätzliche Konfiguration. Jedes Protokoll wird auf der Anwendungsschicht inspiziert. So können Sie beispielsweise SSH erlauben, aber bestimmte Befehle blockieren oder HTTP GET zulassen, aber POST verweigern.
Ja. Zugriffsregeln unterstützen zeitbasierte Einschränkungen: Sie können einem Lieferanten den Zugriff nur während eines geplanten Wartungsfensters erlauben. Sitzungen werden automatisch beendet, wenn das Fenster geschlossen wird.
Jede Remote-Sitzung wird auf Protokollebene aufgezeichnet. SSH-Sitzungen erfassen Terminal-Ein- und -Ausgabe, RDP-Sitzungen erfassen die Bildschirmaktivität und HTTP-Sitzungen protokollieren alle Anfragen. Aufzeichnungen sind indiziert, durchsuchbar und für Audits sowie Incident Response wiedergabefähig.
Ja. Das Access Gate läuft vollständig On-Premise ohne Cloud-Abhängigkeit. Das gesamte Session-Proxying, die Aufzeichnung und die Durchsetzung von Richtlinien erfolgen lokal. Es ist für ITAR, CMMC und air-gapped Umgebungen konzipiert.
Ein VPN oder Jump-Host versetzt den Remote-Nutzer in Ihr Netzwerk und gewährt nach dem Verbinden eine Route zu allem. Access Gate vermittelt die Sitzung stattdessen auf der Anwendungsebene: Der Nutzer authentifiziert sich über seine Identität, erreicht ein einziges autorisiertes Asset über ein einziges autorisiertes Protokoll, erhält niemals eine interne IP-Adresse, und die Sitzung wird inspiziert, aufgezeichnet und zeitlich begrenzt. Der Zugriff erfolgt auf ein System, nicht auf das Netzwerk.