Cifrado Validado FIPS para Redes OT.
Access Gate integra múltiples módulos criptográficos. Todas las cipher suites están aprobadas por NIST y son compatibles con FIPS según SP 800-52.
Cómo Access Gate cifra los CUI en tránsito
Los protocolos industriales como Modbus, EtherNet/IP y DNP3 transmiten en texto plano. Access Gate resuelve esto cifrando el tráfico entre el usuario y el proxy con cipher suites validadas FIPS. El segmento en texto plano está aislado en una micro-DMZ.
Cipher Suites TLS 1.3.
Suites TLS 1.3 utilizadas por Access Gate. Todas proporcionan perfect forward secrecy por diseño.
| Cipher Suite | Status | Reference |
|---|---|---|
| TLS_AES_128_GCM_SHA256 | FIPS | TLS 1.3, NIST SP 800-52, FIPS 197 (AES-128) |
| TLS_AES_256_GCM_SHA384 | FIPS | TLS 1.3, NIST SP 800-52, FIPS 197 (AES-256) |
Cipher Suites TLS 1.2.
Suites TLS 1.2 soportadas para compatibilidad con clientes más antiguos.
| Cipher Suite | Status | PFS | Note |
|---|---|---|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | FIPS | Yes | ECDHE key exchange, forward secrecy |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | FIPS | Yes | ECDHE key exchange, forward secrecy |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | FIPS | Yes | ECDHE key exchange, forward secrecy |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | FIPS | Yes | ECDHE key exchange, forward secrecy |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | FIPS | Yes | CBC mode, forward secrecy |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | FIPS | Yes | CBC mode, forward secrecy |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | FIPS | No | No perfect forward secrecy |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | FIPS | No | No perfect forward secrecy |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | FIPS | No | No perfect forward secrecy |
Note on PFS: Las suites sin perfect forward secrecy (PFS) están aprobadas por FIPS pero deben ser despriorizadas. Access Gate negocia las suites ECDHE primero.
Cifrado Sin Tocar los Equipos.
Aplicación a Nivel Proxy
El cifrado ocurre en el proxy Access Gate. Las máquinas CNC y sistemas de etiquetado continúan con sus protocolos nativos.
Aislamiento Micro-DMZ
El segmento en texto plano entre proxy y máquina está contenido en una micro-DMZ aislada.
Evidencias CMMC SC 3.13.8
Access Gate genera exports de configuración TLS, logs de negociación y diagramas micro-DMZ para la evaluación C3PAO.
CMMC Shared Responsibility Matrix
SC 3.13.8 encryption requirements and how Access Gate satisfies them.
Read moreCMMC Enduring Exception for OT
Compensating controls for equipment that cannot encrypt natively.
Read moreCMMC Compliance for On-Premise
Full CMMC resource hub with case studies, guides, and blog articles.
Read moreFAQ Cifrado.
Todas las cipher suites integradas en Access Gate están aprobadas por NIST según FIPS 197 (AES) y SP 800-52 (TLS).
Access Gate utiliza módulos criptográficos que implementan algoritmos aprobados FIPS (AES-128, AES-256, SHA-256, SHA-384, ECDHE, RSA).
Access Gate prefiere suites TLS 1.3 primero. Si el cliente no soporta TLS 1.3, recurre a suites TLS 1.2 ECDHE con modo GCM.
El usuario se conecta a Access Gate por TLS. Access Gate termina la sesión cifrada y reenvía el tráfico a la máquina por su protocolo nativo dentro de una micro-DMZ aislada.
SC 3.13.8 requiere cifrado de CUI en tránsito. Para activos OT, Access Gate proporciona un control compensatorio: cifrado TLS del lado usuario, segmento en texto plano aislado en micro-DMZ.
El Artículo 21 NIS2 requiere cifrado apropiado para comunicaciones de red. Access Gate lo satisface con TLS validado FIPS en todas las rutas de acceso.
Sí. La configuración de Access Gate permite restringir las cipher suites disponibles.
Revise la Arquitectura de Cifrado.
El equipo Trout puede presentar la configuración de cipher suites, arquitectura micro-DMZ y generación de evidencias CMMC.
Contáctenos