Acceso Remoto Zero-Trust
con Tailscale & Access Gate.
Acceso remoto de nivel PAM en redes IT y OT, sin modificar la infraestructura existente. Tailscale proporciona túneles cifrados. Access Gate añade autenticación, brokering de sesiones y auditoría centralizada.
Visión general de la arquitectura.
Access Gate se integra con Tailscale para ofrecer acceso remoto privilegiado en redes IT y OT. Tailscale proporciona un overlay WireGuard moderno: túneles cifrados peer-to-peer sin configuración. Access Gate añade la aplicación de identidad, brokering de sesiones privilegiadas, visibilidad de activos OT y auditoría centralizada.
Sin concentrador VPN
Tailscale reemplaza los concentradores VPN tradicionales con túneles cifrados WireGuard. Integración API nativa con Access Gate.
MFA + Brokering de sesiones
Access Gate presenta una página MFA para la sesión deseada y proxifica la comunicación. Los usuarios nunca obtienen acceso directo de red a los endpoints.
Micro-segmentación
El modelo de enclave Access Gate segmenta el acceso LAN por usuario, por recurso, por protocolo.
Auditoría completa
Cada sesión remota se graba y registra. Access Gate envía eventos y alertas al SIEM.
Topología de acceso remoto.
La arquitectura muestra tres flujos distintos: acceso de usuario remoto vía Firewall/Router, acceso de proveedor vía Tailscale directamente al Access Gate, y reenvío de logs al Cloud SIEM.
(1) Acceso de usuario remoto a base de datos
• El usuario remoto abre el cliente Tailscale, túnel establecido hacia Access Gate • Conexión enrutada al proxy Access Gate • Página MFA presentada, el usuario se autentica • Sesión extendida a la base de datos — sin acceso directo de red • Sesión grabada y registrada
(2) Acceso privilegiado de proveedor al sistema de control
• El proveedor remoto abre el cliente Tailscale, túnel establecido hacia Access Gate • Access Gate aplica ACL, presenta página MFA + pantalla VDI • El proveedor se autentica • Sesión extendida solo al sistema de control • Sesión grabada y registrada en la auditoría de Access Gate
(3) Reenvío de logs al Cloud SIEM
• Flujo opcional de logs ICS hacia Access Gate • Access Gate procesa logs proxy en formato rsyslog • Access Gate establece túnel hacia Cloud SIEM y reenvía los logs
Checklist de requisitos de cumplimiento.
Cómo Access Gate + Tailscale cubre los requisitos clave de cumplimiento para acceso remoto.
| Requisito | Cómo Access Gate + Tailscale lo cubre | |
|---|---|---|
| Autenticación multifactor en sesiones remotas | Auth de dispositivo Tailscale & página splash Access Gate para autenticación multifactor | ✓ |
| Control de acceso basado en roles y mínimo privilegio | Matriz de permisos en Access Gate: reglas por usuario, por recurso, por protocolo | ✓ |
| Gestión de acceso privilegiado (PAM) identificado y proxificado | Sesiones privilegiadas proxificadas a través de Access Gate; sin acceso directo de red a endpoints OT | ✓ |
| Grabación de sesiones y pista de auditoría | Access Gate registra eventos de sesión; reenviados al SIEM | ✓ |
| Acceso remoto cifrado (protección en tránsito) | WireGuard (Tailscale) proporciona cifrado de extremo a extremo | ✓ |
| Micro-segmentación | El modelo de enclave Access Gate segmenta el acceso LAN | ✓ |
| Monitoreo y alertas en eventos de acceso remoto | Access Gate envía eventos de auth, anomalías y alertas de sesión al SIEM | ✓ |
| Inventario continuo de conexiones | Access Gate registra cada sesión de acceso remoto | ✓ |
Descargar la arquitectura de acceso remoto.
Obtenga el diagrama de arquitectura y la checklist de cumplimiento.
Arquitectura One Gateway
¿Despliegue simple? La arquitectura one-gateway cubre IT y OT desde un solo Access Gate sin modificar su perímetro existente.
Arquitectura Double Gateway
¿Necesita cobertura IT y OT con zonas de aplicación separadas? La arquitectura double gateway añade un segundo nivel de protección.
Preguntas frecuentes sobre acceso remoto seguro.
concentradores VPN necesarios. Tailscale + Access Gate reemplaza completamente los VPN tradicionales.
No inmediatamente. Tailscale puede funcionar junto a VPNs existentes. Puede migrar usuarios gradualmente.
Los proveedores se conectan vía Tailscale directamente al Access Gate (flujo 2). Access Gate aplica ACLs específicas de proveedor, presenta MFA y pantalla VDI, y limita la sesión a sistemas de control específicos.
Access Gate realiza inspección a nivel de protocolo en protocolos industriales (Modbus, EtherNet/IP, OPC-UA) y protocolos IT estándar (RDP, SSH, HTTP/S).
Sí. Access Gate procesa logs proxy en formato rsyslog y establece un túnel hacia su Cloud SIEM. Soporta reenvío syslog estándar e integración directa con plataformas SIEM comunes.