TroutTrout
Zero-Trust Overlay

Zero Trust für On-Premise- und Legacy-Systeme

Eine softwaredefinierte Sicherheitsschicht über Ihrem bestehenden Netzwerk. Keine Cloud-Abhängigkeit, kein Umverkabeln, keine Ausfallzeiten.

Get in TouchCapability Statement

Trusted by leading companies

John CockerillOrange CyberdefenseElna MagneticsThales
Access Gate
by Trout Software

You are about to access ACME CUI Server:

  • Proceed according to our internal security policy.
  • You can contact IT at it@acme.com
I agree
Was tatsächlich geschieht

Flache Netzwerke beruhen auf implizitem Vertrauen.

In den meisten Werken und Standorten ist das Netzwerk flach: Sobald ein Benutzer, ein Dienstleister oder ein Gerät darin ist, kann es nahezu alles erreichen. Vertrauen ist implizit und wird durch die Netzwerkposition statt durch die Identität gewährt. Ein einziges per Phishing kompromittiertes Notebook, ein überprivilegierter Lieferant oder ein kompromittierter Jump-Host erbt dieses Vertrauen und bewegt sich seitlich zu den Systemen, auf die es ankommt.

Herkömmliche Lösungen passen nicht zur OT. Auf PLC, HMI oder RTU lassen sich keine Agenten installieren. Über die Cloud geleitete Proxys verletzen die Verfügbarkeit und die Vorgaben zur Datenresidenz. VPN erweitert das flache Netzwerk auf entfernte Benutzer, statt sie einzuschränken. Die Steuerungsebene läuft weiterhin unter der Annahme, dass jeder im Inneren vertrauenswürdig ist.

Zero Trust ersetzt das standortbasierte Vertrauen durch eine verifizierte Identität bei jeder Sitzung. Der schwierige Teil in der OT besteht darin, dies durchzusetzen, ohne die Endpunkte zu berühren oder das Netzwerk neu zu verkabeln, und genau hier bewährt sich ein Overlay auf der Netzwerkebene.

Das Modell

Zero Trust, angewendet dort, wo Agenten nicht hinkommen.

Zero Trust, wie in NIST 800-207 dargelegt, beruht auf einigen Grundsätzen: standardmäßig niemals vertrauen, jede Anfrage über die Identität verifizieren, geringstmögliche Rechte gewähren und von einer Kompromittierung ausgehen, sodass ein einziges kompromittiertes Konto nicht den gesamten Bestand erreichen kann. Das Modell ist gut verstanden. Die Lücke besteht darin, es auf Geräten umzusetzen, die keinen Agenten ausführen können.

Das Access Gate setzt diese Grundsätze auf der Netzwerkebene durch. Jede Sitzung wird gegen Ihren vorhandenen Identitätsanbieter authentifiziert, pro Asset und Protokoll autorisiert und kontinuierlich protokolliert. Ressourcen, zu denen ein Benutzer nicht berechtigt ist, werden verborgen und sind auf der Netzwerkebene unsichtbar, sodass die Angriffsfläche genau auf das schrumpft, was jede Identität sehen darf.

Referenzarchitektur: Access Gate als Zero-Trust-Overlay zwischen dem IT-Subnetz und den OT-Zonen, das identitätsgebundene Sitzungen zu SCADA, PLC und HMI vermittelt.
Das Access Gate fügt die Identitäts- und Richtlinienebene als Overlay hinzu. Die vorhandene Vermittlung, das Routing und die VLAN bleiben unverändert; Vertrauen verlagert sich von der Netzwerkposition zur verifizierten Identität.
Wie das Access Gate bereitgestellt wird

Zero Trust ohne Neuverkabelung oder Agenten.

PHASE 1

Overlay, in Stunden einsatzbereit.

Das Access Gate wird als softwaredefiniertes Overlay über dem vorhandenen Netzwerk bereitgestellt. Keine Agenten auf den Endpunkten, keine VLAN-Änderungen, keine Ausfallzeit. Identitätsbasierte Zugriffskontrolle, Verschlüsselung und Protokollierung pro Sitzung stehen sofort zur Verfügung, und jede Ressource wird vor Identitäten verborgen, die dafür nicht autorisiert sind.

PHASE 2

Geringstmögliche Rechte im gesamten Bestand durchsetzen.

Sitzungen werden hinter das Gate verlagert, das zum Durchsetzungspunkt wird: Richtlinien pro Benutzer, Gerät und Protokoll, MFA von Ihrem vorhandenen IdP und kontinuierliche Verifizierung, die bei Risikoänderungen erneut authentifiziert. Neue Assets, Werke oder Standorte werden als Konfigurationsänderung hinzugefügt, nicht als Netzwerk-Neugestaltung.

Compliance-Zuordnung

NIST 800-171, NIS2 und IEC 62443, kontinuierlich nachgewiesen.

Identitätsgebundener Zugriff lässt sich direkt den Zugriffskontrollfamilien zuordnen, nach denen Prüfer suchen: den AC- und IA-Kontrollen von NIST 800-171, dem Zugriffsmanagement und der Protokollierung nach NIS2 Article 21 sowie den Anforderungen von IEC 62443 an Identifikation, Authentifizierung und Nutzungskontrolle. MFA wird am Proxy durchgesetzt, geringstmögliche Rechte sind die Voreinstellung, und jede Entscheidung wird aufgezeichnet.

Da Durchsetzung und Protokollierung am Gate erfolgen, werden Audit-Nachweise kontinuierlich erzeugt, mit Benutzer, Asset, Protokoll und Zeitstempel bei jeder Sitzung, statt sie in der Woche vor einer Bewertung aus verstreuten Geräteprotokollen zu rekonstruieren.

CMMC- und NIST 800-171-Compliance Architektur der OT-Netzwerksicherheit

Wo Zero-Trust-Zugriff passt.

Zugriff durch Dritte und Lieferanten

Integratoren und OEM benötigen Zugang zu bestimmten Maschinen, nicht zu Ihrem gesamten Netzwerk. Jede Lieferantensitzung wird authentifiziert, auf ein einzelnes Asset und Protokoll eingegrenzt, zeitlich begrenzt und aufgezeichnet, sodass Fernwartung niemals zu einem Weg in das flache Netzwerk wird.

Learn more

Privilegierte OT-Vorgänge

Ingenieure, die auf PLC, HMI und Historians zugreifen, authentifizieren sich mit ihrer vorhandenen Identität und MFA. Der Zugriff erfolgt mit geringstmöglichen Rechten pro Asset, und jede Aktion wird protokolliert, wodurch gemeinsam genutzte Anmeldedaten und dauerhafter Zugriff durch verifizierte, prüfbare Sitzungen ersetzt werden.

Learn more

Bestände über mehrere Standorte und mit Air-Gap

Das Overlay läuft vollständig vor Ort ohne Cloud-Abhängigkeit, sodass dieselbe Zero-Trust-Richtlinie in einem vernetzten Werk, einer isolierten Umspannstation oder einer klassifizierten Enklave gilt, zentral verwaltet, ohne die Angriffsfläche zu vergrößern.

Learn more
Vorteile auf einen Blick

Zero-Trust für industrielle Netzwerke

Das Trout Access Gate bringt Zero-Trust-Prinzipien in Umgebungen, in denen herkömmliche Identitätslösungen nicht greifen: Legacy-OT, luftgespaltene Netzwerke und Produktionshallen.

Identity-First-Zugang

Jeder Benutzer und jedes Gerät wird authentifiziert, bevor auf eine Ressource zugegriffen wird. Keine Ausnahmen, kein implizites Vertrauen.

Least Privilege

Benutzer sehen nur, was sie benötigen. Alles andere ist auf Netzwerkebene verborgen und unsichtbar.

Kontinuierliche Überprüfung

Sitzungen werden in Echtzeit überwacht. Risikoänderungen lösen automatisch eine erneute Authentifizierung aus.

Compliance-Zuordnung

Direkte Zuordnung zu NIST 800-171 AC-Kontrollen, NIS2-Zugangsverwaltung und IEC 62443-Anforderungen.

Vollständiger Prüfpfad

Jeder Zugriffsversuch, jede Richtlinienentscheidung und jede Sitzung wird protokolliert und ist für Compliance-Nachweise durchsuchbar.

Overlay-Architektur

Wird über Ihrem bestehenden Netzwerk bereitgestellt. Kein Umverkabeln, keine Cloud-Abhängigkeit, keine Ausfallzeiten.

Datenblatt

Laden Sie das Access Gate Datenblatt herunter.

Erhalten Sie die vollständige Produktübersicht mit technischen Funktionen, Bereitstellungsmodell, Compliance-Ausrichtung und Kundenreferenzen.

Done

Inhalt

Produktarchitektur, Bereitstellungsmodell, wichtige Funktionen (Proxy-Durchsetzung, Mikro-DMZs, identitätsbasierter Zugriff), Compliance-Ausrichtung und reale Kundenimplementierungen.

4 Seiten

In der Praxis erleben

Fordern Sie eine Live-Demo an, um zu sehen, wie der Access Gate in Ihrem Netzwerk bereitgestellt wird, ohne Umverkabelung oder Ausfallzeiten.

FAQ

Fragen und Antworten

0

Keine Agenten erforderlich. Das Access Gate setzt Zero-Trust auf Netzwerkebene durch, ohne Software auf Endpunkten, PLCs oder Legacy-Geräten zu installieren.

Ein VPN erweitert Ihr flaches Netzwerk auf Remote-Benutzer. Einmal verbunden, können diese auf alles zugreifen. Das Access Gate setzt Richtlinien pro Benutzer, pro Gerät und pro Ressource durch. Benutzer sehen nur, wozu sie berechtigt sind. Alles andere ist auf Netzwerkebene verborgen.

Ja. Das Access Gate setzt die Zugangskontrolle auf Netzwerkebene durch, nicht auf dem Endpunkt. Legacy-PLCs, HMIs und SCADA-Systeme werden geschützt, ohne Agenten zu installieren oder deren Konfiguration zu ändern. Das Overlay befindet sich zwischen Benutzern und Ressourcen.

Das Access Gate lässt sich in Active Directory, Entra ID, Okta sowie jeden SAML- oder OIDC-kompatiblen Anbieter integrieren. Benutzer authentifizieren sich mit ihren bestehenden Anmeldedaten und MFA. Kein separates Identitätssystem zu verwalten.

Ja. Das Access Gate arbeitet vollständig lokal ohne Cloud-Abhängigkeit. Identitätsverifizierung, Richtliniendurchsetzung und Audit-Protokollierung erfolgen alle lokal. Es wurde für klassifizierte, luftgespaltene und regulierte Umgebungen entwickelt.

Sie können neue Assets, Anlagen oder Standorte hinzufügen, ohne die Architektur neu gestalten zu müssen. Das Overlay ist softwaredefiniert: Das Hinzufügen einer neuen Enklave oder die Erweiterung von Richtlinien auf einen neuen Standort ist eine Konfigurationsänderung, keine Netzwerk-Neugestaltung.

Das Access Gate setzt die Säulen von NIST 800-207 auf der Netzwerkebene um: Jede Sitzung wird über die Identität verifiziert, erhält pro Asset und Protokoll nur die geringstmöglichen Rechte und wird kontinuierlich bewertet, wobei nicht autorisierte Ressourcen verborgen bleiben. Dies geschieht ohne Agenten auf den Endpunkten, sodass auch OT- und Altsysteme abgedeckt werden, die agentenbasierte Zero-Trust-Werkzeuge nicht erreichen können.

Tiefer eintauchen

Zero Trust für OT, in der Praxis.

Zero Trust für industrielle Netzwerke mithilfe von Overlay-NetzwerkenGeräteidentität in industriellen Zero-Trust-NetzwerkenOT-NetzwerksicherheitEntwurfsmuster für die industrielle DMZ
Dokumentation
ZugriffskontrolllistenArchitekturübersicht