Chiffrement FIPS pour les Réseaux OT.
Access Gate intègre plusieurs modules cryptographiques. Toutes les cipher suites sont approuvées NIST et conformes FIPS selon SP 800-52. Le chiffrement est appliqué au niveau proxy sans modifier les équipements de production.
Comment Access Gate chiffre les CUI en transit
Les protocoles industriels comme Modbus, EtherNet/IP et DNP3 transmettent en clair. Access Gate résout ce problème en chiffrant le trafic entre l'utilisateur et le proxy avec des cipher suites validées FIPS. Le segment en clair entre le proxy et la machine est isolé dans une micro-DMZ sans route vers l'extérieur.
Cipher Suites TLS 1.3.
Suites TLS 1.3 utilisées par Access Gate. Toutes fournissent le perfect forward secrecy par conception.
| Cipher Suite | Status | Reference |
|---|---|---|
| TLS_AES_128_GCM_SHA256 | FIPS | TLS 1.3, NIST SP 800-52, FIPS 197 (AES-128) |
| TLS_AES_256_GCM_SHA384 | FIPS | TLS 1.3, NIST SP 800-52, FIPS 197 (AES-256) |
Cipher Suites TLS 1.2.
Suites TLS 1.2 supportées pour la compatibilité avec les clients plus anciens. Les suites ECDHE fournissent le perfect forward secrecy.
| Cipher Suite | Status | PFS | Note |
|---|---|---|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | FIPS | Yes | ECDHE key exchange, forward secrecy |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | FIPS | Yes | ECDHE key exchange, forward secrecy |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | FIPS | Yes | ECDHE key exchange, forward secrecy |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | FIPS | Yes | ECDHE key exchange, forward secrecy |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | FIPS | Yes | CBC mode, forward secrecy |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | FIPS | Yes | CBC mode, forward secrecy |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | FIPS | No | No perfect forward secrecy |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | FIPS | No | No perfect forward secrecy |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | FIPS | No | No perfect forward secrecy |
Note on PFS: Les suites sans perfect forward secrecy (PFS) sont approuvées FIPS mais doivent être déprioritisées. Access Gate négocie les suites ECDHE en premier.
Chiffrement Sans Toucher aux Équipements.
Application au Niveau Proxy
Le chiffrement se fait au proxy Access Gate. Les machines CNC, systèmes d'étiquetage et scanners qualité continuent avec leurs protocoles natifs.
Isolation Micro-DMZ
Le segment en clair entre le proxy et la machine est contenu dans une micro-DMZ isolée. Aucune route vers internet.
Preuves CMMC SC 3.13.8
Access Gate génère les exports de configuration TLS, journaux de négociation et diagrammes micro-DMZ pour l'évaluation C3PAO.
CMMC Shared Responsibility Matrix
SC 3.13.8 encryption requirements and how Access Gate satisfies them.
Read moreCMMC Enduring Exception for OT
Compensating controls for equipment that cannot encrypt natively.
Read moreCMMC Compliance for On-Premise
Full CMMC resource hub with case studies, guides, and blog articles.
Read moreFAQ Chiffrement.
Toutes les cipher suites intégrées dans Access Gate sont approuvées NIST selon FIPS 197 (AES) et SP 800-52 (TLS).
Access Gate utilise des modules cryptographiques implémentant des algorithmes approuvés FIPS (AES-128, AES-256, SHA-256, SHA-384, ECDHE, RSA). Consultez la fiche technique pour le statut de certification actuel.
Access Gate préfère les suites TLS 1.3 en premier. Si le client ne supporte pas TLS 1.3, il repasse aux suites TLS 1.2 ECDHE avec mode GCM.
L'utilisateur se connecte à Access Gate en TLS. Access Gate termine la session chiffrée et transmet le trafic à la machine via son protocole natif dans une micro-DMZ isolée.
SC 3.13.8 exige le chiffrement des CUI en transit. Pour les actifs OT, Access Gate fournit un contrôle compensatoire : chiffrement TLS côté utilisateur, segment clair isolé en micro-DMZ.
L'Article 21 NIS2 exige un chiffrement approprié pour les communications réseau. Access Gate satisfait cela avec TLS validé FIPS sur tous les chemins d'accès.
Oui. La configuration Access Gate permet de restreindre les cipher suites disponibles. Vous pouvez désactiver les suites RSA-only et exiger ECDHE pour toutes les connexions.
Examinez l'Architecture de Chiffrement.
L'équipe Trout peut présenter la configuration des cipher suites, l'architecture micro-DMZ et la génération de preuves CMMC.
Contactez-nous