TroutTrout
Arquitectura de referencia para servicios esenciales|Ver la arquitectura

Sin parada, sin recableado. Zero Trust para OT de servicios esenciales.

Una arquitectura de referencia para operadores de servicios esenciales: agua, energía, gas. Autenticación, control, proxy y auditoría aplicados a SCADA, autómatas y RTU. Sin renumeración IP, sin reescribir reglas de cortafuegos, sin parar la planta.

Respuesta directa

Cada planta de servicio esencial atraviesa dos momentos críticos para la seguridad: puesta en marcha greenfield (nuevo sitio en construcción) y operación brownfield (infraestructura en funcionamiento desde hace años o décadas). La misma arquitectura Zero Trust resuelve ambos. Access Gate es una appliance on-premise que se instala junto al núcleo del sitio, intermedia sesiones ligadas a identidad sobre activos IT, OT e IoT, y produce un rastro de auditoría con integridad demostrable. El diagrama de arquitectura está más abajo.

Dos momentos. Un mismo problema de control.

Greenfield o brownfield. Misma arquitectura.

Toda planta de servicio esencial atraviesa dos momentos críticos para la seguridad. La misma arquitectura Zero Trust cubre ambos.

Greenfield

Puesta en marcha de una planta nueva.

Access Gate se inserta en la ventana de integración. Descubrimiento de activos, federación con el IdP, política de enclave y auditoría se configuran antes de la entrega. La planta arranca con acceso ligado a identidad y auditoría operativos desde el día uno.

Brownfield

Endurecer una planta en operación.

Access Gate se instala junto al núcleo del sitio, observa el tráfico y superpone una política ligada a identidad sobre la topología existente. Sin cambios en el cortafuegos, sin renumeración IP, sin reinicio del SCADA.

Arquitectura de referencia

Access Gate. Adyacente al núcleo del sitio.

La arquitectura es la misma tanto si el sitio se está poniendo en marcha como si ya está en operación. Access Gate se sitúa junto al núcleo del sitio, observa el tráfico, intermedia sesiones ligadas a identidad y produce un rastro de auditoría con integridad demostrable. Sin cambios en la topología MPLS o VLAN, sin renumeración IP y sin agentes en los equipos de campo.

Arquitectura de referencia: Access Gate adyacente al núcleo del sitio, entre la subred IT (directorio, servicios) y las zonas OT (SCADA, autómatas, RTU, HMI).
Access Gate se instala al lado. El cortafuegos, la MPLS y la topología VLAN no cambian. La superposición naranja es el plano de política y auditoría ligado a identidad que añade Access Gate.
Dónde aplica

Agua, energía, gas. El mismo patrón.

Los operadores de agua y energía siguen el mismo patrón: SCADA, RTU, autómatas, sitios dispersos, acceso remoto de proveedores, presión de auditoría. La arquitectura de referencia es idéntica. El gancho regulatorio y el flujo de auditoría dependen del sector.

Agua y saneamiento

Contexto. Plantas de tratamiento, estaciones de bombeo, redes de distribución. SCADA, RTU, convertidores serie a IP heredados en sitios geográficamente dispersos.

Regulación. Transposición NIS2 (RDL 12/2018), Esquema Nacional de Seguridad (ENS), guías del CCN-CERT, requisitos EPA y CISA para el sector del agua.

Resultado. Demostración de acceso ligado a identidad al SCADA de tratamiento, sin parada de planta. Paquete de evidencias listo para auditoría ENS o NIS2.

Ver el sector

Energía y generación eléctrica

Contexto. Subestaciones, centrales de generación, salas de control de transporte y distribución. SCADA, RTU, IED, relés de protección conectados por MPLS.

Regulación. NIS2 artículo 21, RDL 12/2018, ENS, guías CCN-STIC, IEC 62443. NERC CIP para filiales norteamericanas.

Resultado. Cobertura del tráfico este-oeste y de los accesos remotos de proveedores. Evidencias exportables para auditoría CCN, NIS2 o IEC 62443.

Ver el sector
Descargar el whitepaper

Arquitectura de referencia, greenfield y brownfield.

El PDF incluye el diagrama completo, la cartografía de los cuatro pilares, tres escenarios operativos y la matriz NIS2 + ENS + IEC 62443.

Done

Sin ventana de mantenimiento

Adyacente al núcleo del sitio. Sin cambios en el cortafuegos, sin renumeración IP, sin reinicio del SCADA. Tanto para la puesta en marcha de una planta nueva como para endurecer una en operación.

Evidencias listas para auditoría

Registros de sesión con integridad demostrable, ligados a identidad, reenviados a su SIEM. Los paquetes de evidencias se cartografían directamente sobre NIS2 artículo 21, ENS e IEC 62443.

FAQ

Preguntas de los equipos de seguridad de operadores.

La arquitectura es la misma, lo que cambia es el contexto operativo. Greenfield (puesta en marcha de una nueva planta) significa que Access Gate se integra en la ventana de integración del proyecto y está operativo antes de la entrega a explotación. Brownfield (planta ya en operación) significa que el equipo se instala junto al núcleo del sitio y superpone una política ligada a identidad sin renumeración IP, sin cambios en el cortafuegos y sin ventana de mantenimiento.

No. El cortafuegos y la MPLS mantienen su función: política norte-sur en el borde del sitio, segmentación VLAN en la capa de conmutación, transporte cifrado entre sitios. Access Gate cubre el vacío de visibilidad y control que nunca se especificó para ellos: identidad por sesión, trazabilidad de quién tocó qué autómata o RTU, y visibilidad de las sesiones de soporte remoto de proveedores externos.

Access Gate actúa como el sistema intermedio exigido por el artículo 21 de NIS2 para el control de acceso y la trazabilidad, con sesiones cortas ligadas a identidad y registros con integridad demostrable. Para operadores afectados por el ENS (Esquema Nacional de Seguridad), los pilares de identidad, gestión de accesos remotos y evidencias de auditoría cubren los controles de la categoría correspondiente. La cartografía estándar a estándar está detallada en el whitepaper.