TroutTrout
Back to Blog
Zero TrustAir GapOT Security

Zero Trust para redes OT con aislamiento de aire: qué funciona y qué no

Trout Team4 min read

Las redes OT con aislamiento físico no están conectadas a internet. Sí están conectadas a personas. Los técnicos conectan portátiles. Los proveedores traen unidades USB. Los operadores se autentican (o no) en terminales HMI. Cada uno de estos es un vector de ataque que el aislamiento de red no resuelve. Zero Trust aplica aquí. Pero la mayoría de las herramientas Zero Trust asumen conectividad en la nube, algo que las redes aisladas no tienen.

Qué no funciona en entornos con aislamiento físico

Proveedores de identidad en la nube. Azure AD, Okta y Google Workspace requieren conectividad a internet para la autenticación. Si el proveedor de identidad está en la nube, la red aislada no tiene capa de identidad.

Firewalls gestionados en la nube. Palo Alto Prisma, Zscaler y plataformas similares enrutan el tráfico a través de puntos de inspección en la nube. En un entorno aislado, no existe ruta hacia la nube.

Plataformas SIEM SaaS. Splunk Cloud, Microsoft Sentinel y otros SIEM en la nube no pueden recibir registros de una red desconectada. El registro de auditoría permanece local o directamente no existe.

Protección de endpoints basada en agentes. Aunque los dispositivos OT pudieran ejecutar agentes (la mayoría no puede), esos agentes normalmente necesitan conectividad a la nube para actualizaciones de firmas, distribución de políticas y recopilación de telemetría.

Qué funciona

Aplicación de identidad en local

Despliegue una pasarela de identidad dentro de la red aislada. Toda la autenticación de usuarios ocurre localmente. Los tokens MFA (TOTP) funcionan sin conexión. El motor de políticas opera en el sitio sin dependencias externas.

Access Gate funciona completamente en local. Su pasarela de identidad, motor de políticas, proxy de sesión y almacenamiento de registros operan dentro de la red local. Ningún dato sale del perímetro.

Control de acceso en la capa de red

En lugar de depender de agentes en los endpoints, aplique el control de acceso en la capa de red. Una red superpuesta con aplicación mediante proxy verifica la identidad y autoriza cada sesión antes de que llegue al activo OT. El dispositivo no necesita participar en la autenticación.

Registro de sesiones en local

Capture los registros de sesión en local. Almacénelos en el appliance o reenvíelos a un SIEM local mediante syslog. Cada conexión queda registrada con identidad de usuario, marca de tiempo, origen, destino, protocolo y carga útil.

Segmentación definida por software

Cree microsegmentos sin reconfigurar los switches. Una red superpuesta construye límites lógicos sobre la red física existente. Cada activo o grupo de activos obtiene su propio segmento con su propia política de acceso. Sin cambios de VLAN, sin recableado, sin actualizaciones de firmware en los switches.

La paradoja del aislamiento físico

La paradoja de la seguridad con aislamiento físico: el aislamiento protege contra ataques remotos, pero crea puntos ciegos para las amenazas locales. Sin una capa de identidad, no se sabe quién accede a qué dentro del perímetro aislado. Sin registro, no se puede reconstruir un incidente. Sin segmentación, un dispositivo comprometido puede alcanzar todo lo que hay en la red plana.

Zero Trust dentro del perímetro aislado aborda los tres problemas: verificación de identidad en cada sesión, registro de auditoría en cada conexión y microsegmentación para limitar el movimiento lateral.

Consideraciones de despliegue

Sin internet para actualizaciones. Las actualizaciones de software deben aplicarse manualmente mediante medios seguros. Access Gate admite paquetes de actualización sin conexión.

Sin nube para la gestión. La gestión multisitio requiere un plano de gestión local. Access Gate admite gestión sitio a sitio mediante túneles cifrados entre ubicaciones aisladas.

Entornos clasificados. Las redes aisladas en entornos SCIF o clasificados tienen requisitos de manejo adicionales. Access Gate no tiene dependencia de la nube y almacena todos los datos localmente.

Para más recursos sobre Zero Trust en OT, guías de arquitectura y comparativas, visite el centro de recursos Zero Trust para redes OT.

FAQ

Frequently Asked Questions

¿Puede funcionar Zero Trust sin conectividad a internet?
Sí. Zero Trust es un principio de arquitectura, no un servicio en la nube. Las implementaciones en local aplican identidad, control de acceso y registro sin ninguna dependencia de internet.
¿Cómo funciona MFA en un entorno con aislamiento físico?
Las contraseñas de un solo uso basadas en tiempo (TOTP) funcionan sin conexión. El usuario genera un código en un token de hardware o dispositivo móvil. La pasarela de identidad lo valida localmente. No se necesita ninguna llamada de red a un proveedor externo.
¿Qué ocurre con las actualizaciones de firmas para la detección de amenazas?
La detección basada en firmas requiere actualizaciones periódicas. En entornos aislados, las actualizaciones se aplican mediante transferencia en medios seguros. La detección basada en comportamiento y anomalías funciona sin firmas.
¿Cómo se gestionan varios sitios con aislamiento físico?
Access Gate admite un plano de gestión local que conecta los sitios mediante túneles cifrados. Si los sitios están físicamente separados sin conectividad, cada uno opera de forma independiente con gestión de políticas local.
¿El aislamiento físico satisface los requisitos de CMMC?
El aislamiento físico aborda algunos controles de NIST 800-171 (como las restricciones de acceso desde internet), pero no aborda el control de acceso, el registro de auditoría, MFA ni el cifrado dentro de la red. Siguen siendo necesarios controles dentro del perímetro aislado.

Other Articles

Zero TrustOT Security

Agent-Free Zero Trust: Why OT Environments Can't Use Endpoint Software

IT Zero Trust relies on endpoint agents. OT devices cannot run them. Here is why, and how network-layer enforcement provides equivalent protection without touching the device.

Zero TrustCISA

What the New CISA Zero Trust OT Guide Means for On-Premise Deployments

CISA, the Department of War, DOE, FBI, and Department of State published joint Zero Trust OT guidance on April 29, 2026. Three findings matter most for on-premise deployments: agentless network-layer enforcement is endorsed for legacy OT, microsegmentation must operate without redesign, and air-gap alone is called out as a false sense of security.

CMMCManufacturing

CMMC Level 2 for Manufacturers: Why VLANs Are Not Enough for Shop Floor OT

VLANs segment traffic at the switch level. CMMC Level 2 requires identity-based access control, audit logging, and encryption. VLANs provide none of these. Here is what assessors actually look for on the shop floor.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles