Zum Inhalt

Security Best Practices - octoplant Server

Die folgende Dokumentation enthält die Security Best Practices für Ihren octoplant Server. Wir empfehlen, dass diese Maßnahmen von Ihrer IT-Abteilung oder dem octoplant Administrator implementiert werden.

Info

octoplant ist nicht von der Log4j-Schwachstelle betroffen, da es in C++ entwickelt wurde und nicht auf Java basiert.

Info

Wenn Sie die Funktion Scripting verwenden, kann octoplant die Authentizität von Software, die außerhalb des octoplant Systems läuft, nicht überprüfen. Sie müssen die Echtheit einer solchen Software vor der Verwendung überprüfen.

  • Verbinden Sie den octoplant Server nicht mit dem Internet. Der octoplant Server benötigt keine Client-Verbindungen von außerhalb der internen Firewall.

    Wir empfehlen:

    • Die eingehende Kommunikation auf Ihr **internes Kundennetzwerk ** zu beschränken.
    • Ein VPN zu verwenden, um Client-Anwendungen die Verbindung mit dem octoplant Server zu ermöglichen, wenn sie sich außerhalb des internen Netzwerks befinden.
    • Eingehende Verbindungen zum octoplant Server einzuschränken. Während die ausgehende Kommunikation mit dem octoplant pro hub erforderlich ist, sollte der eingehende Verkehr minimiert werden.

  • Verwenden Sie Antiviren-Software

    • Befolgen Sie die Richtlinien Ihrer IT-Abteilung für die Installation und Wartung von Antiviren- oder Malware-Erkennungstools.

  • Benutzerrechte

    • Überprüfen Sie die erforderlichen Benutzerrechte für die Installation und den Betrieb des octoplant Servers.

    • Wenden Sie den Grundsatz des geringsten Privilegs an:

      • Gewähren Sie Benutzern und Anwendungen nur die erforderlichen Mindestberechtigungen.
      • Erzwingen Sie Zugriffskontrollen, um sicherzustellen, dass nur autorisiertes Personal auf den Server zugreifen kann.
      • Verwenden Sie starke, eindeutige Passwörter oder aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung (MFA).

  • Nutzen Sie Ihren vorhandenen LDAP-Server

    • Falls verfügbar, verwenden Sie Ihren zentralen LDAP Server, um Benutzerkonten und Passwörter zu verwalten.

    • Ein zentralisiertes Identitätsmanagement erhöht die Sicherheit dadurch, dass:

      • Konsistente Passwortrichtlinien durchgesetzt werden (z. B. Komplexität und Ablaufdatum)
      • Passwörter in octoplant möglichst nicht gespeichert werden

  • Verwenden Sie richtig konfigurierte octoplant Agents für die Kommunikation mit Automatisierungsgeräten

    • Isolieren Sie Automatisierungsgeräte im OT-Netz und leiten Sie die Kommunikation über octoplant Agents. Der octoplant Server kann sich im Unternehmensnetz befinden, während die Agents im OT-Netz arbeiten.

  • Trennen Sie die Client-Anwendungen vom Server

    • Vermeiden Sie die Installation von Client-Anwendungen auf dem Server, um das Risiko einer unbefugten Datenmanipulation zu verringern.

  • Überprüfen Sie die innerhalb von octoplant zugewiesenen Rollen

    • Stellen Sie sicher, dass Benutzer nur auf das zugreifen können, was für ihre Rolle erforderlich ist.
    • Überprüfen Sie regelmäßig die Zuweisung von Admin-Rollen und beschränken Sie diese auf geeignetes Personal.

  • Verwenden Sie einen speziellen Windows-Benutzer, um die Dienste von octoplant auszuführen.

    • Beschränken Sie den Vollzugriff auf das Serverarchiv auf einen bestimmten Windows Benutzer und auf autorisierte Update-Konten.

  • Netzwerksegmentierung

    • Platzieren Sie den octoplant Server in einem eigenen Netzwerksegment, einer DMZ oder einem VLAN, um die Angriffsfläche zu minimieren.
    • Definieren Sie Firewall-Regeln, um den Zugang zu wichtigen octoplant Systemen zu beschränken.

    • Überwachen Sie den ein- und ausgehenden Netzwerkverkehr des Servers. octoplant verwendet verschiedene offene Ports - untersuchen Sie jeden unerwarteten Datenverkehr, z. B:

      • Client zum Server
      • Server zum Agent
      • Andere unbekannte Ports

  • Gewährleisten Sie die physische Sicherheit des octoplant Servers

    • Beschränken Sie den physischen Zugang zu Serverräumen oder Rechenzentren durch Schlösser und Zugangskontrollsysteme.

  • Zugangskontrolle

    • Richten Sie einen Prozess zum Entzug von Berechtigungen ein, wenn Mitarbeiter das Unternehmen verlassen oder den Zugriff nicht mehr benötigen. Aktivieren Sie zum Beispiel die LDAP-Integration von octoplant mit Active Directory.

  • Regelmäßige Audits und Einhaltung der Vorschriften

    • Führen Sie regelmäßige Sicherheitsprüfungen und Konformitätskontrollen durch, um die Einhaltung von Industriestandards und Vorschriften zu gewährleisten.

  • Logging und Monitoring

    • Aktivieren Sie detailliertes Logging auf dem octoplant Server und überprüfen Sie die Logs regelmäßig auf verdächtige Aktivitäten.
    • Erwägen Sie den Einsatz eines SIEM-Systems (Security Information and Event Management) zur Zentralisierung und Analyse von Logdaten.

  • Standardisierte Dokumentation

    • Führen Sie eine aktuelle Dokumentation über die Serverkonfiguration, die Sicherheitseinstellungen und die Richtlinien für die Zugriffskontrolle.

  • Erkennung und Prävention von Eindringlingen

    • Verwenden Sie Systeme zur Erkennung und Verhinderung von Eindringlingen (IDS/IPS), um unbefugte Aktivitäten zu überwachen und zu blockieren.

  • SMB/UNC-Verbindungen bei Verwendung des Image Service

    • Bevorzugen Sie SFTP gegenüber SMB, um die Sicherheit und Skalierbarkeit zu erhöhen, indem Sie die Einschränkungen beim Ressourcen-Handling unter Windows vermeiden.