Segmentar IT de OT sin rediseñar la red
Despliegue micro-segmentación granular con bastiones proxy. Sin reestructuración de VLAN, sin reescritura de firewall, sin tiempo de inactividad.
Trusted by leading companies
| Principals | Code Repository | |
|---|---|---|
| tcp:3690 | tcp:443 | |
| Alice | Blocked | Blocked |
| Bob | Advanced | Blocked |
| Marc Hoover (microsoft) | Advanced | Blocked |
| Code Repository | ||
Por qué las redes OT planas fallan en la frontera IT/OT.
La mayoría de las plantas todavía operan una red plana o ligeramente segmentada: el historiador, la estación de trabajo de ingeniería, el servidor SCADA y los PLC se ubican donde un único host comprometido puede alcanzar directamente la capa de control. Eso es lo que dejan tras de sí años de añadir conectividad a una red construida para la fiabilidad, no para la seguridad.
Una DMZ industrial debería situarse entre la IT corporativa y la OT en el Nivel 3.5, mediando solo los pocos flujos que legítimamente la cruzan: la alimentación del historiador, la distribución de parches, el acceso remoto. En la práctica, acumula servicios y excepciones hasta convertirse en otra zona de confianza, y la frontera se erosiona en silencio.
Esa es la superficie de riesgo que utilizan los atacantes. La mayoría de los incidentes OT no comienzan en un PLC, sino en una estación de trabajo víctima de phishing o en una conexión de proveedor con permisos excesivos, y desde ahí descienden hacia la red de control. Cerrar la brecha tiene menos que ver con otro firewall que con controlar qué zonas pueden comunicarse con cuáles, con una identidad detrás de cada sesión.
Zonas y conductos de IEC 62443, aplicados a la iDMZ.
IEC 62443 hace que la DMZ sea aplicable. Una zona es un grupo de activos que comparten un nivel de seguridad; un conducto es la vía controlada entre zonas que define exactamente qué tráfico puede cruzar. Una DMZ industrial es el conducto entre las zonas corporativa y OT, y el estándar es claro: nombrar las zonas es la parte fácil.
La parte difícil es implementar los conductos en una red que ya está en funcionamiento. Tradicionalmente eso implica un rediseño de VLAN: redireccionar equipos, reconfigurar switches y detener la producción para la migración. Para la mayoría de los operadores, ese tiempo de inactividad es el obstáculo que mantiene plana una red plana, y la iDMZ sigue siendo un diagrama en lugar de una frontera aplicada.
Una DMZ industrial sin rediseñar la red.
Despliegue adyacente, cero interrupciones.
Access Gate se despliega junto a la red existente en la frontera del Nivel 3.5 y crea un overlay de DMZ mediado por proxy entre las zonas. Sin cambios de VLAN, sin agentes en PLC ni endpoints OT, sin tiempo de inactividad en producción. El tráfico entre zonas se media mediante proxies autenticados, y la visibilidad y el control de acceso basado en identidad quedan operativos en horas.
Consolidar hacia una malla Zero Trust.
El overlay se convierte en la capa de aplicación. Los sistemas migran detrás de la puerta de enlace a través de su proxy, sin reemplazo total de switches, y Access Gate se convierte en la iDMZ: inspección profunda de paquetes en protocolos industriales, política por usuario, dispositivo y protocolo, y un registro de sesiones a prueba de manipulaciones. Días, no los meses que toma un proyecto de consolidación tradicional.
Artículo 21 de NIS2 e IEC 62443, evidenciados de forma continua.
La DMZ mediada por proxy se corresponde directamente con las medidas técnicas del Artículo 21 de NIS2: segmentación de red (zonas y conductos sin recablear), control de acceso (basado en identidad, MFA aplicado en el proxy, mínimo privilegio por activo y protocolo) y registro (cada sesión entre zonas registrada con usuario, marca de tiempo y protocolo en una pista a prueba de manipulaciones).
La arquitectura de zonas y conductos de IEC 62443 es la implementación técnica reconocida de esas obligaciones, y ANSSI y las guías nacionales equivalentes la consideran la vía para demostrar la segmentación. Access Gate produce esa evidencia de forma continua, desde la primera sesión, en lugar de reconstruirla la semana previa a una auditoría.
Dónde encaja el patrón de la iDMZ.
Planta brownfield, sin ventana de mantenimiento
Un sitio que ha pospuesto la segmentación durante años porque implicaba una reescritura de firewall y tiempo de inactividad en producción. El overlay pone bajo control la frontera IT/OT en una tarde, sin tocar la red física, y luego consolida detrás de la puerta de enlace en los días siguientes.
Learn moreParque OT multiproveedor
Un grupo que opera Siemens en una planta, Rockwell en la siguiente y Schneider en una tercera no puede estandarizarse en las herramientas de ningún proveedor. El overlay de DMZ es independiente del proveedor: aplica zonas y conductos en la capa de red por encima de los PLC y protocolos que ejecute cada sitio, con política centralizada en todos ellos.
Learn moreAcceso de proveedores y remoto a OT
El acceso de terceros es la forma más común de cruzar la frontera. La iDMZ media cada sesión de proveedor a través de un proxy autenticado, acotada a un único activo y protocolo y registrada por completo, de modo que el trabajo remoto nunca signifique una vía hacia la red plana.
Learn moreCrear Fronteras IT/OT Seguras y Ágiles
El Access Gate de Trout hace práctico el despliegue de una DMZ industrial, sin rediseño de red, sin impacto en producción, sin experiencia especializada requerida.
Overlay de Segmentación Lógica
Establezca controles DMZ sin rediseñar la LAN.
Protección por Proxy
Todo el tráfico entre zonas se enruta a través de proxies autenticados. El ocultamiento de activos oculta recursos a usuarios no autorizados.
Inspección Profunda de Paquetes
Inspeccione y gobierne precisamente las comunicaciones industriales.
Compatible con Sistemas Heredados
Protege PLCs, HMIs, SCADA y DCS sin requerir modificaciones en los equipos.
Flujos de Datos Deterministas
Aplique rutas de comunicación explícitas, direccionales y auditables.
Matriz de Permisos
Control de acceso granular por usuario, dispositivo y protocolo.
Descargar la Ficha Técnica del Access Gate.
Obtenga la descripción completa del producto con capacidades técnicas, modelo de despliegue, alineación de cumplimiento y referencias de clientes.
Contenido
Arquitectura del producto, modelo de despliegue, capacidades clave (aplicación proxy, micro-DMZ, acceso basado en identidad), alineación de cumplimiento y despliegues reales de clientes.
Verlo en Acción
Solicite una demo en vivo para ver cómo el Access Gate se despliega en su red sin recableado ni tiempo de inactividad.
Preguntas y Respuestas
Modificaciones de red requeridas. El Access Gate crea límites de segmentación a nivel de aplicación sin tocar VLANs, firewalls ni infraestructura física.
No. El Access Gate crea segmentación lógica a nivel de aplicación, superpuesta a su red existente. No hay reestructuración de VLAN, sin reconfiguración de firewall y sin impacto en producción.
Los firewalls tradicionales segmentan a nivel de red y requieren cambios de topología. El Access Gate segmenta a nivel de aplicación sin modificar su diseño de red.
Sí. El Access Gate protege dispositivos sin instalar nada en ellos. PLCs, HMIs, sistemas SCADA y controladores DCS están protegidos a través de bastiones proxy.
Un bastion proxy es una puerta de enlace autenticada que media todo el tráfico que cruza un límite de zona.
Sí. El Access Gate funciona completamente en las instalaciones sin dependencia de la nube. Está diseñado para entornos air-gapped, híbridos y clasificados.
La DMZ mediada por proxy ofrece la segmentación de red, el control de acceso y el registro que exige el Artículo 21 de NIS2, e implementa directamente el modelo de zonas y conductos de IEC 62443. Cada sesión entre zonas se media mediante identidad y se registra en una pista a prueba de manipulaciones, de modo que la evidencia de auditoría se genera de forma continua en lugar de reconstruirse antes de una inspección.