Architecture avec Deux Couches de Passerelle. Défense en profondeur.
Deux architectures possibles dans ce scénario. Protégez les sous-réseaux IT et OT indépendamment, ou concentrez l'application sur le domaine OT. Flux de trafic détaillés pour chaque chemin.
Vue d'ensemble de l'architecture.
L'architecture à Deux Couches de Passerelle étend l'approche à un pare-feu avec deux modes de couverture distincts. En mode IT+OT, les deux domaines sont protégés par l'Access Gate. En mode OT uniquement, l'Access Gate se concentre exclusivement sur l'application aux actifs technologiques opérationnels.
Couverture IT + OT
Un seul Access Gate applique la politique sur tous les sous-réseaux — domaines IT et OT protégés simultanément.
Couverture OT Uniquement
Access Gate concentré sur le trafic du Bus OT. Le trafic IT continue à travers le pare-feu existant sans modification.
Pile Existante Préservée
Routeur, Pare-feu et Commutateur restent inchangés. Access Gate ajoute l'application via une 'boucle sécurisée'.
Routage de Trafic Flexible
Le trafic non critique peut contourner l'Access Gate. Seuls les flux sensibles peuvent être appliqués, réduisant la surcharge.
Topologies de Base.
Deux topologies de base couvrent différents périmètres d'application. Choisissez la couverture IT+OT pour une application complète du périmètre, ou OT uniquement lorsque le domaine IT est déjà géré par des outils existants.
Connexion à la Passerelle existante
Access Gate se connecte à la Passerelle Edge ou OT. Aucun changement requis sur l'infrastructure existante.
Création de Route
Routes ajoutées à la Passerelle Edge ou OT. Trafic pour les actifs sensibles dirigé à travers l'Access Gate.
Mode IT + OT
Les sous-réseaux IT et OT sont couverts. Tout le trafic inter-domaines et VPN appliqué à travers l'Access Gate.
Mode OT Uniquement
Seul le trafic OT est routé à travers l'Access Gate. Le trafic IT n'est pas affecté.
Flux VPN (Nord-Sud).
Les flux nord-sud appliquent l'accès pour le trafic VPN entrant. L'Access Gate intercepte les sessions VPN à destination de l'IT et de l'OT, appliquant l'authentification et l'analyse des protocoles avant de construire la seconde partie de la communication.
VPN vers Actifs IT
Le trafic VPN IT est routé à travers l'Access Gate. Double NAT appliqué. Session enregistrée et analysée avant d'atteindre la destination.
VPN vers Actifs OT
Accès VPN OT appliqué via l'Access Gate. MFA peut être requis. Limité à des ressources OT spécifiques uniquement.
Bastion avec Double NAT
Access Gate agit comme un hôte bastion avec double NAT aux deux extrémités de la connexion. Cryptage et enregistrement de session possibles.
Accès LAN Limité
L'accès au sein du LAN est accordé à des actifs spécifiques (ou groupe d'actifs), protocoles et actions.
Flux Est-Ouest.
Trois diagrammes de flux est-ouest couvrent le trafic latéral à travers le réseau. IT-vers-OT, OT-vers-OT à travers les sous-réseaux, et OT-vers-OT au sein du même VLAN — chacun appliqué différemment par l'Access Gate.
IT-OT (Est-Ouest)
Le trafic inter-domaines de l'IT vers l'OT est appliqué via l'Access Gate. Access Gate agit comme Proxy entre les deux actifs.
OT-OT (Est-Ouest)
Le trafic latéral OT entre sous-réseaux est routé à travers l'Access Gate. Chaque session est authentifiée et enregistrée.
OT-OT au sein du même VLAN
Le trafic OT intra-VLAN est contrôlé à l'aide d'adresses superposées. Access Gate peut injecter un proxy même au sein d'un seul VLAN.
Contournement du Trafic Non Critique
Le trafic non sensible peut éventuellement contourner l'Access Gate. Seuls les flux critiques et CUI sont appliqués.
Téléchargez l'Architecture à Double Pare-feu.
Obtenez les sept diagrammes — topologies de base, flux VPN, et flux est-ouest — sous forme d'un pack d'architecture téléchargeable.
Architecture à un Pare-feu
Commencez par un déploiement plus simple ? L'architecture à un pare-feu couvre à la fois IT et OT à partir d'un seul Access Gate en ligne sans modifications de votre périmètre existant.
Architecture Multi-Site
Besoin d'étendre la protection à plusieurs installations ? L'architecture multi-site montre comment les enclaves s'étendent entre les sites via des tunnels inter-sites sécurisés.
Multiple Gateway Architecture.
Multiple Gateway Architecture — Video Walkthrough
See how two Access Gates create layered defense-in-depth with separate enforcement zones for IT and OT networks.
Request a DemoQuestions Courantes Sur l'Architecture à Double Pare-feu.
options de déploiement — IT+OT pour une application complète, ou OT uniquement lorsque l'IT est déjà géré.
En mode IT+OT, l'Access Gate applique la politique sur tous les sous-réseaux — à la fois IT et OT. En mode OT uniquement, seul le trafic du Bus OT est routé à travers l'Access Gate. Le trafic IT continue à travers le pare-feu existant sans modification. OT uniquement est courant lorsque l'IT dispose déjà de contrôles de sécurité matures.
Oui. La configuration des routes au niveau du Bus Central et du Bus OT contrôle quels flux passent par l'Access Gate. Vous pouvez conserver une partie du trafic non critique sur le chemin existant tout en appliquant uniquement le trafic sensible ou lié au CUI via la superposition.
L'Access Gate utilise des adresses superposées pour appliquer le trafic entre les actifs partageant un VLAN physique. En routant via la superposition, l'Access Gate peut 'casser' le domaine de diffusion et appliquer des politiques par session.
Non. Un seul appareil Access Gate gère à la fois la couverture IT et OT dans l'architecture à double pare-feu. Le 'double pare-feu' fait référence aux deux zones d'application (IT et OT), et non à deux appareils physiques.