Zum Inhalt

Security Best Practices - octoplant Server

Die folgende Dokumentation enthält die Security Best Practices für Ihren octoplant Server. Wir empfehlen, dass diese Maßnahmen von Ihrer IT-Abteilung oder dem octoplant Administrator implementiert werden.

Info

octoplant ist nicht von der Log4j-Schwachstelle betroffen, da es in C++ entwickelt wurde und nicht auf Java basiert.

  • Verbinden Sie den octoplant Server nicht mit dem Internet. Der octoplant Server benötigt keine Client-Verbindungen von außerhalb der internen Firewall.

    Wir empfehlen:

    • Die eingehende Kommunikation auf Ihr **internes Kundennetzwerk ** zu beschränken.
    • Ein VPN zu verwenden, um Client-Anwendungen die Verbindung mit dem octoplant Server zu ermöglichen, wenn sie sich außerhalb des internen Netzwerks befinden.
    • Eingehende Verbindungen zum octoplant Server einzuschränken. Während die ausgehende Kommunikation mit dem octoplant pro hub erforderlich ist, sollte der eingehende Verkehr minimiert werden.

  • Verwenden Sie Antiviren-Software

    • Befolgen Sie die Richtlinien Ihrer IT-Abteilung für die Installation und Wartung von Antiviren- oder Malware-Erkennungstools.

  • Privilegien

    • Überprüfen Sie die erforderlichen Benutzerrechte für die Installation und den Betrieb des octoplant Servers.

    • Wenden Sie den Grundsatz des geringsten Privilegs an:

      • Gewähren Sie Benutzern und Anwendungen nur die erforderlichen Mindestberechtigungen.
      • Erzwingen Sie Zugriffskontrollen, um sicherzustellen, dass nur autorisiertes Personal auf den Server zugreifen kann.
      • Verwenden Sie starke, eindeutige Passwörter oder aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung (MFA).

  • Nutzen Sie Ihren vorhandenen LDAP-Server

    • Falls verfügbar, verwenden Sie Ihren zentralen LDAP Server, um Benutzerkonten und Passwörter zu verwalten.

    • Ein zentralisiertes Identitätsmanagement erhöht die Sicherheit dadurch, dass:

      • Konsistente Passwortrichtlinien durchgesetzt werden (z. B. Komplexität und Ablaufdatum)
      • Passwörter in octoplant möglichst nicht gespeichert werden

  • Verwenden Sie richtig konfigurierte octoplant Agents für die Kommunikation mit Automatisierungsgeräten

    • Isolieren Sie Automatisierungsgeräte im OT-Netz und leiten Sie die Kommunikation über octoplant Agents. Der octoplant Server kann sich im Unternehmensnetz befinden, während die Agents im OT-Netz arbeiten.

  • Trennen Sie die Client-Anwendungen vom Server

    • Vermeiden Sie die Installation von Client-Anwendungen auf dem Server, um das Risiko einer unbefugten Datenmanipulation zu verringern.

  • Überprüfen Sie die innerhalb von octoplant zugewiesenen Rollen

    • Stellen Sie sicher, dass Benutzer nur auf das zugreifen können, was für ihre Rolle erforderlich ist.
    • Überprüfen Sie regelmäßig die Zuweisung von Admin-Rollen und beschränken Sie diese auf geeignetes Personal.

  • Verwenden Sie einen speziellen Windows-Benutzer, um die Dienste von octoplant auszuführen.

    • Beschränken Sie den Vollzugriff auf das Serverarchiv auf einen bestimmten Benutzer unter Windows und auf autorisierte Update-Konten.

  • Netzwerksegmentierung

    • Platzieren Sie den octoplant Server in einem eigenen Netzwerksegment, einer DMZ oder einem VLAN, um die Angriffsfläche zu minimieren.
    • Definieren Sie Firewall-Regeln, um den Zugang zu wichtigen octoplant Systemen zu beschränken.

    • Überwachen Sie den ein- und ausgehenden Netzwerkverkehr des Servers. octoplant verwendet verschiedene offene Ports - untersuchen Sie jeden unerwarteten Datenverkehr, z. B:

      • Client zum Server
      • Server zum Agent
      • Andere unbekannte Ports

  • Gewährleisten Sie die physische Sicherheit des octoplant Servers

    • Beschränken Sie den physischen Zugang zu Serverräumen oder Rechenzentren durch Schlösser und Zugangskontrollsysteme.

  • Zugangskontrolle

    • Richten Sie ein Verfahren zum Entzug von Berechtigungen ein, wenn Mitarbeiter das Unternehmen verlassen oder den Zugriff nicht mehr benötigen. Aktivieren Sie zum Beispiel die LDAP-Integration von octoplant mit Active Directory.

  • Regelmäßige Audits und Einhaltung der Vorschriften

    • Führen Sie regelmäßige Sicherheitsprüfungen und Konformitätskontrollen durch, um die Einhaltung von Industriestandards und Vorschriften zu gewährleisten.

  • Logging und Monitoring

    • Aktivieren Sie detailliertes Logging auf dem octoplant Server und überprüfen Sie die Logs regelmäßig auf verdächtige Aktivitäten.
    • Erwägen Sie den Einsatz eines SIEM-Systems (Security Information and Event Management) zur Zentralisierung und Analyse von Logdaten.

  • Standardisierte Dokumentation

    • Führen Sie eine aktuelle Dokumentation über die Serverkonfiguration, die Sicherheitseinstellungen und die Richtlinien für die Zugriffskontrolle.

  • Erkennung und Prävention von Eindringlingen

    • Verwenden Sie Systeme zur Erkennung und Verhinderung von Eindringlingen (IDS/IPS), um unbefugte Aktivitäten zu überwachen und zu blockieren.

  • SMB/UNC-Verbindungen bei Verwendung des Image Service

    • Bevorzugen Sie SFTP gegenüber SMB, um die Sicherheit und Skalierbarkeit zu erhöhen, indem Sie die Einschränkungen bei der Handhabung von Ressourcen unter Windows vermeiden.