Accès distant Zero-Trust
avec Tailscale & Access Gate.
Accès distant de niveau PAM sur les réseaux IT et OT, sans modifier l'infrastructure existante. Tailscale fournit les tunnels chiffrés. Access Gate ajoute l'authentification, le brokering de sessions et l'audit centralisé.
Vue d'ensemble de l'architecture.
Access Gate s'intègre avec Tailscale pour fournir un accès distant privilégié sur les réseaux IT et OT. Tailscale fournit un overlay WireGuard moderne : tunnels chiffrés peer-to-peer sans configuration. Access Gate ajoute l'application d'identité, le brokering de sessions privilégiées, la visibilité des actifs OT et l'audit centralisé.
Aucun concentrateur VPN requis
Tailscale remplace les concentrateurs VPN traditionnels par des tunnels chiffrés WireGuard. Intégration API native avec Access Gate.
MFA + Brokering de sessions
Access Gate présente une page MFA pour la session souhaitée et proxifie la communication. Les utilisateurs n'obtiennent jamais d'accès réseau direct aux endpoints.
Micro-segmentation
Le modèle d'enclave Access Gate segmente l'accès LAN par utilisateur, par ressource, par protocole.
Audit complet
Chaque session distante est enregistrée et journalisée. Access Gate transmet les événements et alertes au SIEM.
Topologie d'accès distant.
L'architecture montre trois flux distincts : accès utilisateur distant via Firewall/Router, accès fournisseur via Tailscale directement vers Access Gate, et transfert de logs vers le Cloud SIEM.
(1) Accès utilisateur distant à la base de données
• L'utilisateur distant ouvre le client Tailscale, tunnel établi vers Access Gate • Connexion routée vers le proxy Access Gate • Page MFA présentée, l'utilisateur s'authentifie • Session étendue vers la base de données — aucun accès réseau direct • Session enregistrée et journalisée
(2) Accès privilégié fournisseur au système de contrôle
• Le fournisseur distant ouvre le client Tailscale, tunnel établi vers Access Gate • Access Gate applique les ACL, présente la page MFA + écran VDI • Le fournisseur s'authentifie • Session étendue au système de contrôle uniquement • Session enregistrée et journalisée dans l'audit Access Gate
(3) Transfert de logs vers le Cloud SIEM
• Flux optionnel de logs ICS vers Access Gate • Access Gate traite les logs proxy au format rsyslog • Access Gate établit un tunnel vers le Cloud SIEM et transfère les logs
Checklist des exigences de conformité.
Comment Access Gate + Tailscale couvre les exigences clés de conformité pour l'accès distant.
| Exigence | Comment Access Gate + Tailscale y répond | |
|---|---|---|
| Authentification multi-facteurs sur les sessions distantes | Auth device Tailscale & page splash Access Gate pour l'authentification multi-facteurs | ✓ |
| Contrôle d'accès basé sur les rôles et le moindre privilège | Matrice de permissions Access Gate : règles par utilisateur, par ressource, par protocole | ✓ |
| Gestion des accès privilégiés (PAM) identifiés et proxifiés | Sessions privilégiées proxifiées via Access Gate ; aucun accès réseau direct aux endpoints OT | ✓ |
| Enregistrement de sessions & piste d'audit | Access Gate journalise les événements de session ; transférés au SIEM | ✓ |
| Accès distant chiffré (protection en transit) | WireGuard (Tailscale) fournit le chiffrement de bout en bout | ✓ |
| Micro-segmentation | Le modèle d'enclave Access Gate segmente l'accès LAN | ✓ |
| Surveillance & alertes sur les événements d'accès distant | Access Gate transmet les événements d'auth, anomalies et alertes de session au SIEM | ✓ |
| Inventaire continu des connexions | Access Gate journalise chaque session d'accès distant | ✓ |
Télécharger l'architecture d'accès distant.
Obtenez le schéma d'architecture et la checklist de conformité.
Architecture One Gateway
Déploiement simple ? L'architecture one-gateway couvre IT et OT depuis un seul Access Gate sans modifier votre périmètre existant.
Architecture Double Gateway
Besoin de couverture IT et OT avec des zones d'application séparées ? L'architecture double gateway ajoute un second niveau de protection.
Questions fréquentes sur l'accès distant sécurisé.
concentrateurs VPN requis. Tailscale + Access Gate remplace entièrement les VPN traditionnels.
Pas immédiatement. Tailscale peut fonctionner en parallèle des VPN existants. Vous pouvez migrer les utilisateurs progressivement.
Les fournisseurs se connectent via Tailscale directement à l'Access Gate (flux 2). Access Gate applique des ACL spécifiques fournisseur, présente le MFA et un écran VDI, et limite la session aux systèmes de contrôle spécifiques.
Access Gate effectue une inspection au niveau protocole sur les protocoles industriels (Modbus, EtherNet/IP, OPC-UA) et les protocoles IT standards (RDP, SSH, HTTP/S).
Oui. Access Gate traite les logs proxy au format rsyslog et établit un tunnel vers votre Cloud SIEM. Il supporte le transfert syslog standard ainsi que l'intégration directe avec les plateformes SIEM courantes.