Il principio "dual-gate": Compliance e sicurezza OT nel segno di NIS2 e CRA
Perché la separazione di IT e OT oggi è un obbligo di legge – e come il nostro microwall la supporta
I tempi, in cui le reti OT industriali venivano protette mediante "Security by Obscurity" o non venivano protette per niente sono finiti. Con NIS2 (protezione di settori critici e importanti) e il Cyber Resilience Act (CRA) i requisiti di cyber security di macchine e impianti diventano notevolmente più rigorosi.
Un requisito centrale di queste misure: il traffico dati deve essere protetto conformemente allo stato della tecnica. Ciò significa in concreto che accanto alla rigorosa segmentazione il traffico dati indipendente dalla rete, p. es. nell’area IT dell’azienda, deve avvenire in modo crittografato. Il nostro microwall VPN offre a tal scopo la perfetta base hardware.
La sfida: "State of the Art" per sistemi legacy
Molti impianti e sistemi esistenti di grande valore nell’OT svolgono il loro lavoro senza problemi, ma comunicano attraverso protocolli che non dispongono di nessuna crittografia integrata. Conformemente a NIS2, le aziende devono prendere in merito "misure tecniche adeguate e proporzionate". Se vengono trasmessi dati non crittografati mediante la rete informatica aziendale o addirittura la cloud, in caso di incidenti si rischiano gravi conseguenze, fino a pesanti sanzioni.
Il nostro microwall funge da compliance enabler, fornendo due percorsi di comunicazione separati su un uplink fisico.
1. Il percorso NAT: Trasparenza per moderni apparecchi IIoT
Moderni sensori o Edge gateway sono dotati spesso già di crittografia propria, p. es. tramite TLS.
-
Funzione: Il microwall lavora qui come classico NAT router. Maschera gli indirizzi IP dell’isola e permette il traffico crittografato direttamente alla rete dello stabilimento.
-
Firewall: Una serie di regole dedicata monitora questo percorso e ostacola connessioni non autorizzate con l’Intranet e il livello di controllo.
2. Il percorso WireGuard: Salvataggio per protocolli non crittografati
Per Modbus, Profinet e anche protocolli proprietari, il microwall offre un terminale server WireGuard.
-
Funzione: Crittografia esterna ("outer encryption"). Dati non crittografati vengono avviati attraverso un trasporto WireGuard sicuro.
-
Vantaggio di compliance: In questo modo soddisfate la richiesta di crittografia nello scambio di dati superiore senza dover toccare il software della macchina (p. es. PLC).
Schizzo del funzionamento: il modello di sicurezza ibrido
Qui vedete come entrambi i firewall e le interfacce collaborano per raggiungere la segmentazione conforme a NIS2:
Conformità NIS2
1. Rigorosa segmentazione della rete
NIS2 (Network and Information Security - direttiva 2022/2555) richiede la separazione di reti IT e OT, per evitare un allargamento laterale di software dannoso. Attraverso le due interfacce di rete e le due zone firewall indipendenti (Intranet<>LAN e VPN<>LAN) garantite che nessun utente dell’isola OT parli con il mondo esterno senza esplicita autorizzazione.
2. Crittografia conforme allo stato della tecnica
Attualmente WireGuard è considerato uno dei protocolli VPN più sicuri ed efficienti. Grazie all’"installazione a posteriori" della crittografia tramite VPN mantenete il vostro vecchio impianto in funzione anche con NIS2.
3. Tutela dell’identità (NAT)
Nascondendo la rete dell’isola tramite NAT si riduce la superficie di attacco (Attack Surface). Un aggressore vede da fuori solo il microwall rafforzato, mentre gli utenti potenzialmente vulnerabili dietro a questo rimangono invisibili.
Tipologie di impiego
Un costruttore di macchine ha impianti in funzione in tutto il mondo.
Prima:
L’impianto completo di tutti i componenti parziali era in genere integrato direttamente nella rete del cliente o nella sua area IP. Anche i protocolli non crittografati, il suo contenuto e i suoi utenti erano visibili in tutta la rete.
Oggi con microwall VPN:
tutti i protocolli non sicuri vengono avviati crittografati e autenticati attraverso il trasporto WireGuard.
Il firewall VPN permette combinazioni esclusivamente tra utenti esplicitamente autorizzati.
Di default i protocolli sicuri vengono indirizzati nell’isola tramite NAT attraverso l’indirizzo IP del microwall. Anche qui la comunicazione viene controllata rigorosamente mediante opportune regole Firewall.
I vantaggi in breve
Un costruttore di macchine ha impianti in funzione in tutto il mondo.
| Caratteristica | Vantaggio tecnico | Vantaggio normativo NIS2 |
| Dual Firewall | Regole separate per VPN e NAT | Segmentazione dimostrabile |
| Server WireGuard | Crittografia high-speed | Adempimento dell’obbligo di crittografia |
| 2x Gigabit-Ethernet (fisico) | Vera separazione della rete | Protezione dell’infrastruttura critica |
| Routing NAT | IP di isole invisibili | Riduzione al minimo della superficie di attacco |
In conclusione: Predisposizione per l’installazione a posteriori
L’impiego del nostro microwall VPN è il modo rapido e semplice per trasformare gli impianti macchina esistenti in un ambiente conforme a NIS2. Non proteggete solo la vostra produzione da attacchi informatici, ma anche dalle conseguenze legali derivanti da una protezione inadeguata.
-
La pratica val più della grammatica!
Siamo lieti di mettere a vostra disposizione gratuitamente un Microwall per il periodo di quattro settimane.
Richiedere apparecchio di prova -
Continua a leggere:
-
Firewall, segmentazione e isolamento
Vantaggi della segmentazione e dell’isolamento di singoli segmenti della rete per proteggere dati e apparecchi interni all’azienda.
-
Comunicazione sicura di macchine e impianti
Il microwall consente una comunicazione protetta con partner di comunicazione vicini e lontani.
-
Tunnel VPN WireGuard tra 2 reti
Questo tutorial illustra la configurazione necessaria per collegare fra loro due PC di due aree diverse della rete.