El principio "Dual Gate": cumplimiento normativo y seguridad OT en el marco de NIS2 y CRA
Por qué hoy es obligatorio por ley separar IT y OT y cómo lo facilita nuestro Microwall
Ya han pasado los tiempos en los que las redes OT industriales estaban protegidas por "Security by Obscurity" o carecían totalmente de protección. Con la directiva NIS2 (seguridad de sectores críticos y relevantes) y el Cyber Resilience Act (CRA) se han incrementado las exigencias a la ciberseguridad de máquinas e instalaciones.
Una exigencia central de estas normas es: el tráfico de datos tiene que estar protegido con la tecnología más actual. En la práctica esto implica: una estricta segmentación y, además, la codificación para el tráfico de datos entre redes, por ejemplo en el ámbito de las IT de una empresa. Nuestro Microwall VPN ofrece para ello la base de hardware perfecta.
La dificultad: "State of the Art" para sistemas heredados
Muchos equipos y sistemas existentes de gran valor en el OT cumplen con su labor satisfactoriamente, pero en la comunicación utilizan protocolos que carecen de una codificación integral. Según la NIS2 las empresas tienen que adoptar "medidas técnicas apropiadas y proporcionadas". La transmisión de datos no codificados por la red IT de la empresa o incluso a la nube, puede tener consecuencias que pueden llegar hasta cuantiosas multas en caso de incidentes.
Nuestro Microwall actúa de herramienta para el cumplimiento normativo al proporcionar dos rutas de comunicación separadas en un uplink físico.
1. La ruta NAT: transparencia para modernos equipos IIoT
Los modernos sensores o Edge-Gateways suelen incorporar ya algunas codificaciones como TLS.
-
Funcionamiento: el Microwall actúa aquí como un router NAT clásico. Enmascara las direcciones IP de la isla y permite el tráfico codificado directamente con la red de producción.
-
Firewall: un conjunto de reglas específicas supervisa esta ruta e impide las conexiones no autorizadas con Intranet y el sensible nivel de control.
2. La ruta WireGuard: la salvación para los protocolos no codificados
Microwall ofrece un punto final del servidor WireGuard para Modbus, Profinet y también protocolos propietarios.
-
Funcionamiento: codificación externa ("Outer Encryption"). La transmisión de datos no codificados tiene lugar a través de un túnel WireGuard seguro.
-
Ventaja para el cumplimiento: permite cumplir la exigencia de codificación en el intercambio de datos a nivel superior sin tener que intervenir en el software de la máquina (p. ej. PLC).
Esquema de funcionamiento: el modelo de seguridad híbrido
Aquí se aprecia cómo trabajan juntos los dos firewalls e interfaces para alcanzar la segmentación conforme con la NIS2.
Conformidad con NIS2
1. Estricta segmentación de la red
La NIS2 (Network and Information Security - Directiva 2022/2555) exige la separación de redes IT y OT para evitar, por ejemplo, una propagación lateral de software dañinos. Gracias a las dos interfaces de red y a las dos zonas cortafuegos independientes (Intranet<>LAN y VPN<>LAN) garantiza que ningún usuario de la isla OT se comunique con el exterior sin un permiso explícito.
2. Codificación según la tecnología más avanzada
WireGuard está considerado actualmente como uno de los protocolos VPN más seguros y eficientes. Con el "uso" de la codificación vía VPN puede seguir utilizando sus equipos antiguos cumpliendo la NIS2.
3. Protección de la identidad (NAT)
La "ocultación" de la red isla mediante NAT reduce la superficie de ataque (Attack Surface). Desde fuera un atacante ve únicamente el Microwall reforzado, mientras los usuarios sensibles situados detrás permanecen invisibles.
Ejemplo de aplicación
Un fabricante de maquinaria tiene plantas operativas en todo el mundo.
Antes:
en general la planta estaba integrada con todos los componentes directamente en la red del cliente o en su rango de IP. También los protocolos no codificados cuyo contenido y usuarios estaban visibles en toda la red.
Hoy con Microwall VPN:
la transmisión de todos los protocolos invisibles se realiza a través del túnel WireGuard de forma codificada y autenticada.
El firewall VPN permite única y exclusivamente las conexiones entre usuarios con una autorización explícita.
Los protocolos seguros por defecto son enviados a la isla vía NAT utilizando la dirección de IP de Microwall. También en este caso la comunicación está estrictamente controlada por las respectivas reglas de cortafuegos.
Todas las ventajas
Un fabricante de maquinaria tiene plantas operativas en todo el mundo.
| Atributo | Ventaja técnica | Ventaja regulatoria NIS2 |
| Dual Firewall | Reglas específicas para VPN y NAT | Segmentación verificable |
| Servidor WireGuard | Codificación de alta velocidad | Cumplimiento de la codificación obligatoria |
| 2 Gigabit Ethernet (físico) | Separación real de redes | Protección de infraestructura crítica |
| Enrutamiento NAT | IP aislados ocultos | Reducción de la superficie de ataque al mínimo |
Resumen: sistema de reequipamiento que aporta seguridad para el futuro
El uso de nuestro Microwall VPN es el camino más rápido y fácil para convertir los parques de maquinaria existentes en entornos conformes con la NIS2. De ese modo, no solo protege su producción contra ciberataques, sino también de las consecuencias legales que conlleva una seguridad insuficiente.
-
¡Lo mejor es probarlo!
Si lo desea, ponemos a su disposición un Microwall gratuitamente durante un periodo de cuatro semanas.
Solicitar dispositivo de prueba -
Seguir leyendo:
-
Cortafuegos, segmentación y aislamiento
Ventajas de la segmentación y el aislamiento de partes de la red para proteger los datos y los equipos internos de la empresa.
-
Comunicación segura de máquinas y equipos
Microwall hace posible una comunicación segura con interlocutores locales y remotos.
-
Túnel VPN WireGuard entre 2 redes
Este tutorial muestra la configuración necesaria para conectar dos ordenadores situados en dos secciones diferentes de la red.