La Gestión de Acceso Privilegiado en Access Gate es un esquema de acceso remoto basado en navegador: un DBA, integrador o ingeniero de soporte abre una URL, se autentica y obtiene una sesión con proxy hacia un sistema específico. Sin túnel VPN, sin credenciales permanentes, sin claves SSH distribuidas de antemano. Cada sesión está vinculada a una persona identificada, tiene una duración limitada y queda registrada.
Qué cubre el esquema de acceso remoto
El esquema enruta protocolos de administración a través de Access Gate, de modo que el dispositivo cliente nunca accede directamente a la red de destino:
| Protocolo | Destino típico | Superficie del cliente |
|---|---|---|
| RDP | Servidores Windows, estaciones de trabajo de ingeniería | Navegador — renderizador HTML5 |
| SSH | Hosts Linux/Unix, appliances de red, jump hosts | Navegador — terminal en página |
| VNC | Paneles HMI, estaciones de trabajo heredadas | Navegador — renderizador HTML5 |
| HTTPS | Interfaces web de administración, historians, dashboards BMS | Navegador — iframe / redirect |
El sistema de destino ve una conexión proveniente de Access Gate. El usuario ve una pestaña del navegador. Ambos nunca comparten una ruta IP.
Por qué las sesiones con proxy son importantes en redes OT e híbridas
| Enfoque tradicional | Problema que genera | Respuesta con sesión con proxy |
|---|---|---|
| Cuentas de administrador compartidas | Sin mapeo de identidad-acción durante una investigación | Cada acción se vincula a un usuario del IdP |
| Claves SSH distribuidas | Proliferación de claves, sin revocación | Ninguna clave sale de Access Gate |
| Jump host con VPN | Una sola credencial, radio de impacto amplio | Alcance por enclave y por protocolo |
| Pantalla compartida con proveedor | Sin registro de auditoría | Registro completo de sesión + línea de tiempo |
Cómo es la experiencia del usuario
- El usuario abre una URL que usted publica (por ejemplo,
acme.tr-sec.net/connect). - Se autentica a través de su proveedor de identidad (OIDC o SAML) o mediante un usuario temporal creado en Access Gate.
- Access Gate muestra únicamente los sistemas a los que su rol puede acceder, por enclave.
- El usuario hace clic en un sistema; el navegador abre una sesión RDP, SSH, VNC o HTTPS contra él.
- Al finalizar la sesión (cierre explícito, tiempo de espera agotado o cierre forzado por el operador), la conexión se interrumpe.
Sin software cliente. Sin credenciales entregadas al usuario remoto. Sin ruta privada hacia la red.
Controles PAM
Para sesiones de alto impacto, la misma vía incorpora comportamientos PAM estándar:
- Sesiones vinculadas a identidad — cada acción se atribuye a una persona identificada, nunca a una cuenta compartida.
- Acceso just-in-time — otorgue un rol durante una ventana definida; se revoca automáticamente.
- Expiración por sesión — tiempo de espera por inactividad y duración máxima de sesión, configurables por enclave.
- Cierre de sesión por operador — cualquier sesión activa puede terminarse desde la interfaz de administración.
- Registro de auditoría completo — la conexión, el destino, el principal, los protocolos y el resultado quedan registrados en el historial de cambios del enclave y en el pipeline de logs.
Configuración
1. Configurar el esquema de acceso remoto para su activo
- Navegue a Assets → [Su activo] →
- Haga clic en el icono de lápiz y luego en Edit network.
- Especifique el esquema de acceso remoto y la información de inicio de sesión que desea usar.
- Guarde.
La información se almacena en Access Gate y se cifra en reposo y en tránsito. Evita tener que compartir credenciales para conectarse a un sistema determinado.
2. Habilitar el esquema de acceso remoto en un enclave
- Navegue a Enclaves → [Su enclave] → el flujo al que desea aplicar PAM.
- Active Remote Access Scheme.
- Guarde.
Solo los protocolos seleccionados aquí son accesibles a través del proxy. Los demás puertos del sistema de destino permanecen invisibles desde una sesión.
3. Otorgar acceso just-in-time (opcional)
- Seleccione un Access Agreement que autenticará al visitante.
- Esta pantalla de acceso está configurada para conceder acceso durante un período de tiempo y para utilizar un directorio específico.
- Guarde.
Al llegar la hora de corte, la entrada se desactiva automáticamente; no se requiere ninguna acción del operador.
Grabación y revisión de sesiones
Cada sesión con proxy queda registrada en el historial de cambios del enclave con:
- Principal (usuario del IdP)
- Activo de destino
- Protocolo y marcas de tiempo
- Resultado de la sesión (cierre normal, tiempo de espera agotado, cierre por operador)
El pipeline de logs lleva los mismos eventos a su SIEM si tiene configurado el reenvío de logs, de modo que los investigadores puedan vincular una alerta de detección a una sesión específica sin necesidad de acceder a la interfaz de Access Gate.
Cuándo usar esto frente a Remote ZT Access
| Escenario | Utilice |
|---|---|
| Un ingeniero remoto necesita acceso HTTPS/Modbus/OPC a un conjunto de sistemas en enclaves | Remote Zero Trust Access |
| Un proveedor necesita RDP puntual a un servidor Windows | Gestión de Acceso Privilegiado (esta página) |
| SSH en un appliance industrial para diagnóstico | Gestión de Acceso Privilegiado (esta página) |
| Tráfico de aplicaciones cotidiano desde un portátil remoto | Remote Zero Trust Access |
Ambos flujos coexisten — puede habilitar los dos en el mismo enclave y dejar que el rol de cada usuario determine cuál recibe.