Saltar a contenido

Buenas prácticas de seguridad - Servidor octoplant

La siguiente documentación incluye las mejores prácticas de seguridad para su servidor octoplant. Recomendamos que sean implementadas por su departamento de TI o administrador de octoplant.

  • No exponga el servidor octoplant a Internet. El servidor octoplant no necesita aceptar conexiones de clientes desde fuera de la red interna del firewall. Por lo tanto, le recomendamos que:

    • Restrinja la comunicación entrante a su red interna de clientes.
    • Aproveche su conexión VPN para permitir que las aplicaciones cliente accedan al servidor octoplant cuando su equipo se encuentre fuera de la red interna.
    • Restrinja las conexiones entrantes al servidor octoplant. Aunque el servidor octoplant sí necesita enviar información al octoplant pro hub (conexión saliente), las conexiones entrantes deben restringirse.

  • Utilice software antivirus

    • Siga siempre las directrices de su departamento informático sobre el uso de software antivirus y de detección de malware.

  • Privilegios

    • Revise los privilegios de usuario necesarios para instalar y ejecutar el servidor octoplant.

    • Respete el principio del menor privilegio:

      • Restrinja a los usuarios y las aplicaciones únicamente los permisos y el acceso que necesitan para realizar las tareas de octoplant.
      • Implemente controles de acceso estrictos para garantizar que sólo el personal autorizado pueda acceder al servidor octoplant.
      • Utilice contraseñas seguras y únicas o, preferiblemente, aplique la autenticación multifactor (MFA) para el acceso al servidor octoplant siempre que sea posible.

  • Aproveche su servidor LDAP ya existente

    • Le recomendamos que utilice su servidor LDAP centralizado si está disponible para gestionar cuentas y contraseñas.

    • Si dispone de un servidor LDAP centralizado, aproveche las funciones de su sistema de gestión de identidades para ayudarle a gestionar las cuentas dentro del mismo. Los riesgos de seguridad se reducen al:

      • gestionar todas las cuentas de usuario en un solo lugar (frecuencia y complejidad de los cambios de contraseña)
      • no tener que almacenar las contraseñas en octoplant

  • comunicarse únicamente con dispositivos de automatización que utilicen agentes octoplant correctamente configurados

    • Aísle los dispositivos de automatización en la red OT y asegúrese de que todo el procesamiento requerido por octoplant se aborda mediante comunicaciones desde el servidor octoplant a sus agentes que se ejecutan en la red OT. El servidor octoplant puede estar en la red empresarial mientras que los agentes se encuentran en la red OT.

  • Eliminar aplicaciones cliente del servidor

    • Elimine las aplicaciones cliente en el servidor para reducir el riesgo de que los piratas informáticos utilicen las aplicaciones cliente para alterar algo de los datos del archivo del servidor.

  • Revise los roles asignados dentro de octoplant

    • Asegúrese de que los usuarios tienen acceso a lo que realmente necesitan.
    • Revise a quién se le asignó un rol de administrador dentro de octoplant y asegúrese de que sólo a las personas apropiadas se les dió este rol.

  • Use un usuario dedicado de Windows para ejecutar nuestros servicios

    • Asegúrese de que sólo su usuario dedicado de Windows (y algunas cuentas para instalar actualizaciones) tienen acceso completo al archivo del servidor.

  • Segmentación de la red

    • Aísle el servidor octoplant en un segmento de red dedicado, DMZ o VLAN para evitar accesos no autorizados y ataques externos.
    • Implemente reglas de firewall para restringir la comunicación únicamente a los sistemas octoplant necesarios.

    • Supervise el tráfico de red que entra y sale de su servidor octoplant. Las aplicaciones octoplant se comunican utilizando varios puertos abiertos. Si ve otro tipo de tráfico, revíselo:

      • de cliente a servidor
      • servidor a agente
      • otros puertos

  • Garantizar la seguridad física del servidor octoplant

    • Garantice la seguridad física del servidor octoplant restringiendo el acceso a las salas de servidores o centros de datos y utilizando cerraduras y controles de acceso.

  • Retirada del acceso

    • Implemente un proceso para revocar el acceso rápidamente cuando los empleados abandonen la organización o ya no necesiten acceder al servidor octoplant. Por ejemplo: habilite las funciones LDAP de octoplant en su Active Directory existente.

  • Auditorías periódicas y cumplimiento de normativas

    • Realice auditorías de seguridad y evaluaciones de cumplimiento periódicas para garantizar que el servidor octoplant cumple la normativa y los estándares de seguridad específicos del sector.

  • Registro y control

    • Habilite un registro exhaustivo para el servidor octoplant y revise periódicamente los registros en busca de indicios de accesos no autorizados o actividades inusuales.
    • Implemente sistemas de gestión de eventos e información de seguridad (SIEM) para centralizar los datos de registro para su análisis.

  • Documentación normalizada

    • Mantenga una documentación detallada de la configuración, los ajustes de seguridad y los controles de acceso del servidor octoplant.

  • Detección y prevención de intrusiones

    • Use sistemas de detección y prevención de intrusiones (IDS/IPS) para supervisar el tráfico de la red en busca de actividades sospechosas y bloquearlas cuando sea necesario.

  • Conexiones SMB/UNC al utilizar Image Service

    • Considere el uso de SFTP en lugar de SMB ya que es más seguro y no ocupa ciertos recursos de Windows (escalabilidad).