Fernzugriffe auf Anlagen
Eine VPN-Verbindung ist kein Garant für Sicherheit
Um Sicherheitsrisiken zu vermeiden, muss eine VPN-Verbindung über robuste Funktionen wie Multi-Faktor-Authentifizierung, Verschlüsselung, Firewall, zentralisierte Verwaltung des Benutzerzugriffs verfügen.
Hinzu kommt der Anwendungsbereich der VPN-Verbindung. Zugriffe auf (dezentrale) Anlagen oder zentrale Infrastrukturbereiche müssen sorgfältig freigegeben werden, damit Tür und Tor nicht ungewollt offen stehen.
Darauf gilt es zu achten:
OT-Sicherheit
Aus Sicht der OT-Sicherheit sollte ein VPN in der Lage sein, verschiedene Protokolle wie OPC UA, Modbus und DNP3 zu verarbeiten, um eine nahtlose Kommunikation zwischen verschiedenen Geräten und Systemen zu ermöglichen.
IT-Sicherheit
Aus Sicht der IT-Sicherheit sollte ein VPN über zentralisierte Verwaltungs- und Überwachungsfunktionen verfügen, um sicherzustellen, dass der gesamte Netzwerkverkehr sicher ist.
Mehrere Anlagen und Standorte
Wenn es um ein VPN für mehrere Benutzer, Anlagen und Standorte geht, ist eine ordnungsgemäße Netzwerksegmentierung von zentraler Bedeutung, um zu verhindern, dass sich Cyberangriffe auf das gesamte Netzwerk ausbreiten.
Erkennung von VPN-Zugriffsanomalien
Die ist ebenfalls unerlässlich. Über das Feststellen von Anomalien von Benutzer, Zugriffszeiten, Dauer, Datenmenge und Aktivitäten kann frühzeitig festgestellt werden, ob ein potentielles Risiko vorhanden ist, das Handlungsbedarf notwendig macht.
Multi-Faktor-Authentifizierung
In erster Linie sollte ein sicheres VPN über eine Benutzerauthentifizierung und -autorisierung verfügen, um sicherzustellen, dass nur befugtes Personal auf das Netzwerk zugreifen kann. Mit Benutzername und Passwort ist dies allerdings nicht getan, eine weitere Authentifizierung ist zwingend notwendig, gängig ist die Verwendung einer Authenticator App für die Eingabe eines 2.ten Codes.
Rollenbasiertes Zugriffsmanagement
Zugriffsberechtigungen von Funktionen müssen nach Rollen unterteilt und unterschieden werden können. Mit dieser Grundvoraussetzung können sowohl die zentralisierte Benutzerverwaltung mit entsprechenden Rollen, als auch die priviligierten Zugriffe auf Anlagen und Systeme über PAM sauber implementiert werden.
Zentralisierte Verwaltung der Benutzer
Idealerweise erfolgt die Benutzerverwaltung für die Zugriffe über VPN durch das zentrale Benutzerverwaltungssystem des Unternehmens (z.B. Azure AD). Mit der Synchronisation (z.B. Azure-Sync) werden die Benutzer der Software welche die Zugriffsverwaltung über VPN durchführt automatisch synchronisiert und aktualisiert.
Dadurch entfällt das manuelle Nachführen und regelmässige Überprüfen von Benutzerrollen und Berechtigungen
Industrielle Firewall
Außerdem sollte ein VPN über eine industrielle Firewall verfügen, um unbefugten Zugang zu blockieren und vor Cyber-Bedrohungen zu schützen.
Die Zugriffsdefinition auf Ebene Ziel IP-Adresse, Port und Protokoll sind für die Verwaltung von mehreren Benutzern, Anlagen und Standorten absolut essentiell.
Zugriff auf Anlage muss einfach, intuitiv und schnell erfolgen
Trotz all der Sicherheitsvorkehrung soll der Fernzugriff über eine VPN-Verbindung für Mitarbeiter als auch externe Dienstleister so intuitiv, einfach und schnell wie möglich erfolgen. Dabei sollen möglichst viele Endgeräte mit Betriebssystemen die von Benutzern für den Fernzugriff benutzt werden unterstützt werden.
iDIP IoT Service Portal für den Fernzugriff
Mit iDIP IoT werden Anlagen, Standorte und Benutzer ganzheitlich für den sicheren Fernzugriff über VPN verwaltet.
Dezentrale sowie zentrale Anlagen und Infrastrukturbereiche lassen sich mit grösstmöglicher Sicherheit und glasklarer Übersicht administrieren. Dabei verschmelzen die Anforderungen aus OT- und IT-Sicherheit zu einem Guss durch den Einsatz unserer Gateway Varianten.
Mehr dazu unter ➡️ www.idip-solution.com/vpn
Wollen Sie mehr dazu wissen?
Gerne zeigen wir Ihnen welche Vorteile Sie mit iDIP in Ihrem Unternehmen erzielen.
Chris Tuchschmid | Customer Success Manager iDIP