Zum Inhalt

Security Best Practices - octoplant Server

Die folgende Dokumentation enthält die Security Best Practices für Ihren octoplant Server. Wir empfehlen, dass diese von Ihrer IT-Abteilung oder dem octoplant Administrator implementiert werden.

  • Verbinden Sie den octoplant Server nicht mit dem Internet. Der octoplant Server muss keine Client-Verbindungen von außerhalb des internen Firewall-Netzwerks akzeptieren. Wir empfehlen daher, dass Sie:

    • Die eingehende Kommunikation auf Ihr **internes Kundennetzwerk ** zu beschränken.
    • Ihre VPN-Verbindung nutzen, um Clientapplikationen den Zugriff auf den Server octoplant zu ermöglichen, wenn sich Ihr Rechner außerhalb des internen Netzwerks befindet.
    • Eingehende Verbindungen zum Server octoplant einschränken. Während der octoplant Server Informationen an den octoplant pro hub senden muss (ausgehende Verbindung), sollten eingehende Verbindungen eingeschränkt werden.

  • Antiviren-Software verwenden

    • Befolgen Sie stets die Anweisungen Ihrer IT-Abteilung zur Verwendung von Antiviren-/Malware-Erkennungssoftware.

  • Zugriffsrechte

    • Überprüfen Sie die erforderlichen Benutzerrechte für die Installation und den Betrieb des octoplant Servers.

    • Beachten Sie den Grundsatz der geringsten Rechte:

      • Erteilen Sie Benutzern und Anwendungen nur die Berechtigungen und den Zugriff, die sie zur Ausführung von octoplant Aufgaben benötigen.
      • Richten Sie strenge Zugriffskontrollen ein, um sicherzustellen, dass nur autorisiertes Personal auf den octoplant Server zugreifen kann.
      • Verwenden Sie starke, eindeutige Passwörter oder vorzugsweise eine Multi-Faktor-Authentifizierung (MFA) für den Zugang zum octoplant Server, wo immer dies möglich ist.

  • Einen bereits vorhandenen LDAP-Server verwenden

    • Wir empfehlen Ihnen, (falls vorhanden) Ihren zentralen LDAP-Server für die Verwaltung von Accounts und Passwörtern zu verwenden.

    • Wenn Sie über einen zentralen LDAP-Server verfügen, können Sie die Funktionen Ihres Identitätsmanagementsystems nutzen, um Accounts darin zu verwalten. Sicherheitsrisiken werden reduziert, dadurch, dass:

      • Alle Benutzerkonten an einem Ort verwaltet werden (Häufigkeit der Passwortänderungen, Komplexität)
      • Passwörter nicht in octoplant gespeichert werden

  • Mit Automatisierungsgeräten nur über ordnungsgemäß konfigurierte octoplant Agents kommunizieren

    • Isolieren Sie Automatisierungsgeräte im OT-Netz und stellen Sie sicher, dass alle von octoplant geforderten Verarbeitungen über die Kommunikation zwischen dem octoplant Server und seinen Agents im OT-Netz abgewickelt werden. Der octoplant Server kann sich im Unternehmensnetz befinden, während die Agents im OT-Netz laufen.

  • Clientapplikationen vom Server trennen

    • Eliminieren Sie Clientapplikationen auf dem Server, um das Risiko zu verringern, dass Hacker die Clientapplikationen nutzen, um etwas an den Daten im Serverarchiv zu ändern.

  • Die zugewiesenen Rollen innerhalb von octoplant überprüfen

    • Stellen Sie sicher, dass Benutzer nur auf das zugreifen können, was sie benötigen.
    • Überprüfen Sie, wem innerhalb von octoplant eine Administratorrolle zugewiesen wurde, und stellen Sie sicher, dass nur geeignete Personas diese Rolle erhalten haben.

  • Einen dedizierten Windows-Benutzer zur Ausführung unserer Dienste verwenden

    • Stellen Sie sicher, dass nur Ihr spezieller Windows Benutzer (und einige Accounts für die Installation von Updates) vollen Zugriff auf das Serverarchiv haben.

  • Netzwerksegmentierung

    • Isolieren Sie den octoplant Server in einem eigenen Netzwerksegment, einer DMZ oder einem VLAN, um unbefugten Zugriff und Angriffe von außen zu verhindern.
    • Implementieren Sie Firewall-Regeln, um die Kommunikation nur auf die notwendigen octoplant Systeme zu beschränken.

    • Überwachen Sie den Netzwerkverkehr in und aus Ihrem octoplant Server. octoplant Applikationen kommunizieren über verschiedene offene Ports. Wenn Sie anderen Datenverkehr sehen, überprüfen Sie ihn:

      • Client mit Server
      • Server mit Agent
      • Alle anderen Ports

  • Gewährleistung der physischen Sicherheit des octoplant Servers

    • Sorgen Sie für die physische Sicherheit des octoplant Servers, indem Sie den Zugang zu Serverräumen oder Rechenzentren beschränken und Schlösser und Zugangskontrollen verwenden.

  • Entzug des Zugangs

    • Implementieren Sie ein Verfahren, mit dem der Zugang umgehend gesperrt werden kann, wenn Mitarbeiter das Unternehmen verlassen oder keinen Zugriff mehr auf den octoplant Server benötigen. Beispiel: Aktivieren Sie die LDAP-Funktionen von octoplant für Ihr bestehendes Active Directory.

  • Regelmäßige Audits und Einhaltung der Vorschriften

    • Führen Sie regelmäßig Sicherheitsaudits und Konformitätsbewertungen durch, um sicherzustellen, dass der octoplant Server die branchenspezifischen Vorschriften und Sicherheitsstandards erfüllt.

  • Logging und Monitoring

    • Aktivieren Sie umfassendes Logging für den Server octoplant und überprüfen Sie die Protokolle regelmäßig auf Anzeichen für unbefugten Zugriff oder ungewöhnliche Aktivitäten.
    • Implementieren Sie SIEM-Systeme (Security Information and Event Management) zur Zentralisierung von Logdaten für die Analyse.

  • Standardisierte Dokumentation

    • Führen Sie eine detaillierte Dokumentation der Konfiguration, der Sicherheitseinstellungen und der Zugriffskontrollen des octoplant Servers.

  • Erkennung und Prävention von Eindringlingen

    • Setzen Sie Systeme zur Erkennung und Verhinderung von Eindringlingen (IDS/IPS) ein, um den Netzwerkverkehr auf verdächtige Aktivitäten zu überwachen und diese gegebenenfalls zu blockieren.

  • SMB/UNC-Verbindungen bei Verwendung des Image Service

    • Ziehen Sie die Verwendung von SFTP anstelle von SMB in Betracht, da es sicherer ist und bestimmte Windows-Ressourcen nicht beansprucht (Skalierbarkeit).