← Regresar a la categoría IT, Sistemas de gestión y software

¿Qué tan seguro es el acceso remoto a la máquina 'basado en la nube'?

Para los fabricantes de máquinas que ofrecen diagnósticos y soporte de acceso remoto para sus máquinas instaladas, la seguridad es obviamente una preocupación importante. La seguridad también es una preocupación para el personal de TI en los sitios de usuario final (cliente final), donde se encuentran estas máquinas. Dave Hammond, Gerente de Producto para Ethernet y Comunicaciones en MAC Solutions, explora este tema.

Después de la instalación de una máquina en un sitio de usuario final, el constructor o proveedor de la máquina a menudo se contrata para admitir esa máquina durante un período de garantía fijo. En el pasado, un ingeniero de servicio del proveedor de la máquina habría viajado al sitio remoto para resolver cualquier problema de la máquina durante este período de garantía, incluso si el sitio del cliente (usuario final) se encuentra a miles de millas de distancia en un país diferente.

Preocupaciones de seguridad, desde una perspectiva de usuario final "tradicional"
Muchos de los ingenieros de TI que administran las redes en sitios de usuarios finales probablemente solo tengan experiencia en proporcionar acceso remoto a proveedores de máquinas, utilizando métodos VPN 'tradicionales'.
Con una VPN tan "tradicional", el departamento de TI del usuario final necesita configurar y mantener un túnel VPN dedicado y encadenado, a través de su cortafuegos corporativo, para cada proveedor de la máquina. Una vez que atraviesa el firewall y la red de todo el sitio, el ingeniero del proveedor de la máquina puede llegar a los dispositivos de control de la máquina.

Inmediatamente, es obvio que hay problemas inherentes asociados con estos túneles VPN "tradicionales".

En primer lugar, los dispositivos de control de la máquina (PLC, HMI, unidades, etc.) deben conectarse a la red del sitio del usuario final. Esto implicará que el proveedor de la máquina configure las direcciones de red (IP) para estos dispositivos, durante la fase de instalación del sitio. Por lo tanto, cada máquina tendrá que ser modificada para adaptarse a cada instalación.

En segundo lugar, el departamento de TI debe proporcionar al proveedor de la máquina una copia de su software VPN preferido y ayudarlo a configurarlo, para cada PC o computadora portátil que se utilizará para el acceso remoto. Obviamente, tales computadoras serán administradas por el proveedor de la máquina y, por lo tanto, pueden no cumplir con los estrictos estándares de seguridad que se aplicarían a las PC 'nativas'.

Como el departamento de TI está permitiendo que este usuario "extranjero" acceda a su red de producción, también debe tomar precauciones para proteger su red de sitio de las acciones de este usuario, sobre las cuales tiene un apalancamiento limitado. Esto puede abarcar desde la limitación de las direcciones IP a las que puede acceder el proveedor de la máquina, hasta la provisión de sofisticados sistemas anti-intrusión, detección de paquetes y antivirus.

Tomando todo lo anterior en consideración, muchos departamentos de TI comprensiblemente consideran que los beneficios operacionales de proporcionar acceso remoto a los proveedores de máquinas son superados por los posibles riesgos de seguridad para la red de su sitio.

Sin embargo, existen soluciones de acceso remoto basadas en la nube para las cuales las acciones anteriores no son necesarias, ya que funcionan de una manera fundamentalmente diferente a los túneles VPN "tradicionales".

Para ilustrar cómo funcionan estas modernas soluciones de acceso remoto, consideraremos la conocida y ampliamente utilizada solución eWON Talk2M, que comprende un enrutador VPN 'eWON', utilizado con el servicio de nube de acceso remoto 'Talk2M'.

Acceso remoto moderno = máquinas aisladas y redes de sitios
La primera consideración es el problema del aislamiento de la red de la máquina específica de la red del sitio. Un enrutador VPN puede aislar la red de la máquina de la red de fábrica (sitio), al tiempo que proporciona conectividad cortafuegos entre los dos. Por lo tanto, los dispositivos de la máquina no están conectados directamente a la red del sitio y, por lo tanto, pueden configurarse con direcciones IP para adaptarse al proveedor de la máquina. De hecho, cada máquina producida por el fabricante de la máquina podría ser idéntica a cualquier otra máquina, lo que reduce la complejidad, así como los costos asociados con el diseño, la construcción y la instalación.

Acceso remoto moderno = una forma diferente de lograr VPN seguras
El próximo desafío es asegurar la red del sitio de las acciones de los usuarios de los ingenieros de los proveedores de máquinas.

El escenario ideal es que el ingeniero del proveedor de la máquina solo pueda llegar a los dispositivos de la máquina específicos de los que son responsables, sin poder acceder al resto de la red del sitio. Y esto es exactamente lo que proporciona la solución 'basada en la nube' de eWON Talk2M. Una vez habilitado, cada dispositivo de enrutador eWON VPN inicia un túnel de VPN seguro, punto a punto y saliente, hasta llegar a una cuenta específica en la nube de VPN Talk2M. Este túnel HTTPS autenticado y encriptado recorre la red del sitio, se conecta mediante el firewall del sitio y a través de Internet, a uno de los nueve servidores agrupados, distribuidos por todo el mundo, que componen Talk2M Cloud.

El ingeniero del fabricante de la máquina también hace una conexión VPN segura a la misma cuenta en Talk2M Cloud, a donde se conecta el eWON. Por lo tanto, solo puede alcanzar el eWON y los dispositivos ubicados "detrás" de él, en la red de la máquina. En ningún momento puede este ingeniero interactuar con otros dispositivos en la red del sitio, es decir, dispositivos que el fabricante de la máquina no suministró y, por lo tanto, no necesita acceder.

Acceso remoto moderno = mayor seguridad y menos tareas (o ninguna) para el departamento de TI del sitio
Como cada túnel VPN se inicia desde el interior de la red del sitio, hacia la nube Talk2M, la única instalación requerida de la red del sitio es la capacidad de realizar una conexión de Internet saliente a través del gateway / firewall del sitio.

En consecuencia, el Departamento de TI no necesita proporcionar servicios de VPN integrados al usuario externo, lo que genera importantes ventajas de seguridad. No se exponen en Internet puertos de cortafuegos, no se requieren direcciones IP de Internet estáticas y el proveedor de la máquina no tiene acceso a toda la red de todo el sitio

La conexión de VPN saliente utilizada por eWON utiliza el puerto HTNPS 443, que, para la gran mayoría de los firewalls, ya estará abierto. Las conexiones salientes pueden transportarse a través de cualquier tipo de medio que pueda transportar tráfico IP, es decir, Ethernet cableado, WiFi, 3G o incluso satélite.

Soluciones modernas de acceso remoto = el usuario final controla el acceso remoto
Al igual que con cualquier sistema de acceso remoto, las empresas de usuarios finales estarán comprensiblemente preocupadas de que un fabricante de maquinaria pueda interactuar con las máquinas que han suministrado, pero que operan dentro de la fábrica del usuario final.

Por lo tanto, para proporcionar seguridad y control adicionales, el túnel eWON VPN puede habilitarse y deshabilitarse a través de la entrada digital 24vdc en el enrutador eWON VPN, que a su vez puede conectarse a un interruptor con llave o una salida de PLC. Esto significa que el fabricante de la máquina solo tendrá acceso a la máquina cuando el usuario final decida permitirles el acceso.

Soluciones modernas de acceso remoto = sesión por autenticación y validación de sesión
La mayoría de los lectores estarán familiarizados con la Autenticación de la sesión, incluso si no conocen el término, ya que es ampliamente utilizado por los principales sitios web seguros, como los sistemas bancarios en línea.
Tales sistemas generalmente envían un código único y único por mensaje SMS al teléfono móvil del usuario, en el punto de conexión. El propósito es demostrar que la persona que se conecta es el usuario válido y genuino, en lugar de un intruso, que intenta obtener acceso mediante el uso de datos de usuario y contraseña robados.

Dichos sistemas de seguridad se denominan sistemas de 'autenticación de factor 2', ya que dependen de más de una medida de seguridad para garantizar el acceso seguro. El uso de dicho sistema de "autenticación de factor 2" debe ser una parte intrínseca de cualquier solución de acceso remoto utilizada por un fabricante de máquinas, ya que ayuda a agregar un segundo nivel de seguridad para superar la seguridad de contraseñas o intentos malintencionados. .

Informador de la industria de procesos

Noticias relacionadas

Deje un comentario.

Su dirección de correo electrónico no será publicado. Los campos necesarios están marcados *

Este sitio usa Akismet para reducir el correo no deseado. Descubra cómo se procesan los datos de sus comentarios.