TroutTrout

Más allá de Purdue. Micro-DMZ para OT moderno.

El modelo Purdue definió la seguridad OT durante décadas. Pero el acceso remoto, IIoT y la analítica en la nube han erosionado cada capa. Es hora de un nuevo perímetro — uno por activo.

El modelo Purdue muestra su edad

Diseñado para plantas aisladas con topologías estáticas, la jerarquía de cinco niveles de Purdue asumía que la separación física equivale a seguridad. Esa suposición ya no se sostiene.

El acceso remoto evade todas las capas

Las VPN de proveedores crean túneles persistentes desde el nivel 0 hasta la empresa. Una sola credencial comprometida da a los atacantes acceso directo a los controladores de seguridad.

Los sensores IIoT saltan la jerarquía

Las pasarelas edge transmiten telemetría directamente a plataformas en la nube, evadiendo cada capa Purdue y creando puntos de entrada no monitoreados en el corazón del OT.

Las redes planas permiten el movimiento lateral

La analítica en la nube reduce los niveles 3-4 a un solo salto de internet. Un solo activo comprometido puede moverse lateralmente por toda la planta.

Fuerzas de cambio

Por qué el modelo Purdue y su DMZ ya no se sostienen.

Tres fuerzas erosionan la jerarquía mientras la DMZ industrial concentra el riesgo en lugar de distribuir la defensa.

Punto único de fallo

Una sola brecha en la DMZ expone todos los activos de ambos lados del perímetro. Agregar nuevas conexiones requiere cambios en reglas de firewall que se retrasan semanas respecto a las operaciones.

Todo converge en un solo cuello de botella

El acceso de proveedores, la telemetría IIoT y la sincronización con la nube comparten el mismo punto de paso DMZ. Un solo perímetro sobrecargado intentando gestionar todo el tráfico IT/OT.

La visibilidad termina en la DMZ

El movimiento lateral dentro del OT pasa completamente desapercibido. Una vez superada la DMZ, los atacantes se mueven libremente por las redes planas de la planta.

La solución

Micro-DMZ. Una por activo.

Reemplace la DMZ compartida con perímetros por activo.

En lugar de una DMZ compartida para toda la planta, envuelva cada activo OT en su propio perímetro. Cada Micro-DMZ actúa como un proxy dedicado — autenticando, inspeccionando y registrando cada conexión a nivel de activo.

MICRO-DMZ ARCHITECTURE — ONE BOUNDARY PER ASSETMICRO-DMZPLC-1TAG-01MICRO-DMZHMI-2TAG-02MICRO-DMZRTU-3TAG-03MICRO-DMZSIS-4TAG-04MICRO-DMZSCADATAG-05MICRO-DMZHISTTAG-06VENDOROPERCLOUDXXXXMICRO-DMZ STATUS6 ASSETS PROTECTED0 LATERAL PATHSPROXIES: ACTIVEISOLATION: 100%
Por qué Micro-DMZ

Cinco razones para ir más allá de Purdue.

Cero movimiento lateral

MICRO-DMZPLC-1ISOLATEDMICRO-DMZHMI-2ISOLATEDMICRO-DMZRTU-3ISOLATEDMICRO-DMZSIS-4ISOLATEDMICRO-DMZSCADAISOLATEDMICRO-DMZHISTISOLATEDXXXXXXXLATERAL PATHS: 0ALL ASSETS ISOLATED
Libro Blanco

Descargue el libro blanco completo.

Obtenga el análisis completo: por qué el modelo Purdue falla, cómo las DMZ industriales no escalan, y la arquitectura técnica detrás de las Micro-DMZ.

Done

Lo que aprenderá

Por qué la jerarquía de cinco niveles Purdue falla ante las amenazas modernas. Cómo el acceso remoto, IIoT y la analítica en la nube erosionan cada perímetro de seguridad.

12 páginas

La arquitectura Micro-DMZ

Análisis técnico profundo de los perímetros proxy a nivel de activo. Cómo desplegar Micro-DMZ incrementalmente sin rediseño de red.

Solicitar una Demo
FAQ

Preguntas frecuentes sobre Micro-DMZ.

1

perímetro por activo. Las Micro-DMZ reemplazan la DMZ industrial compartida con proxies dedicados y conscientes de la identidad en cada punto final OT.

No. El modelo Purdue sigue siendo una arquitectura de referencia útil para entender las capas de red OT. Las Micro-DMZ evolucionan su intención de seguridad — aislamiento y control de acceso — imponiendo perímetros a nivel de activo en lugar de depender de una sola DMZ compartida en el nivel 3.5.

La micro-segmentación generalmente implica agregar VLAN o reglas de firewall para limitar el movimiento lateral en una red plana. Las Micro-DMZ van más allá: cada activo obtiene un proxy dedicado que autentica, inspecciona y registra cada conexión. No es solo aislamiento de red — es control de acceso por dispositivo, consciente de la identidad y del protocolo.

Sí. Las Micro-DMZ se despliegan en línea como proxies de red — sin agentes, sin cambios de software en los endpoints. Los PLC, HMI y sistemas SCADA heredados que no pueden ejecutar software de seguridad moderno se protegen sin modificación.

Cada sesión de proveedor se autentica y se limita a un activo específico. Sin túnel VPN compartido, sin acceso amplio a la red. El proveedor se conecta a través del proxy Micro-DMZ del activo, que impone acceso limitado en tiempo, auditado y a nivel de protocolo — y luego cierra la sesión automáticamente.

Los dispositivos IIoT se conectan a través de su propio proxy Micro-DMZ, que controla e inspecciona la telemetría saliente. La conectividad a la nube se permite por política — endpoints específicos, protocolos específicos, horarios específicos — sin exponer la red OT más amplia a superficies de ataque expuestas a internet.

News & Insights

Latest from Trout Software.

OVERLAY100.64.0.0/16ACCESS GATEUNDERLAY
How It WorksExplainer

Overlay Networks Explained

Managing Mixed IT/OT Device Inventories
IT/OT inventory2026-02

Managing Mixed IT/OT Device Inventories

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

All articles