Saltar a contenido

Buenas prácticas de seguridad - Servidor octoplant

La siguiente documentación incluye las mejores prácticas de seguridad para su servidor octoplant. Recomendamos que sean implementadas por su departamento de TI o administrador de octoplant.

Info

octoplant no está afectado por la vulnerabilidad de Log4j, ya que está desarrollado en C++ y no depende de Java.

  • No exponga el servidor octoplant a Internet. El servidor octoplant no requiere conexiones de clientes desde fuera del firewall interno.

    Recomendamos:

    • Restrinja la comunicación entrante a su red interna de clientes.
    • Utilizar una VPN para permitir que las aplicaciones cliente se conecten al servidor octoplant cuando se encuentran fuera de la red interna.
    • Restringir las conexiones entrantes al servidor octoplant. Aunque la comunicación saliente con el octoplant pro hub es necesaria, el tráfico entrante debe reducirse al mínimo.

  • Utilizar software antivirus

    • Siga las directrices de su departamento informático para instalar y mantener herramientas antivirus o de detección de malware.

  • Privilegios

    • Revise los privilegios de usuario necesarios para instalar y ejecutar el servidor octoplant.

    • Aplicar el principio del menor privilegio:

      • Conceda sólo los permisos mínimos necesarios a usuarios y aplicaciones.
      • Aplique controles de acceso para garantizar que sólo el personal autorizado pueda acceder al servidor.
      • Utilice contraseñas fuertes y únicas o, preferiblemente, active la autenticación multifactor (MFA) siempre que sea posible.

  • Aprovechar su servidor LDAP existente

    • Si está disponible, utilice su servidor LDAP centralizado para gestionar las cuentas y contraseñas de los usuarios.

    • La gestión centralizada de identidades mejora la seguridad:

      • Aplicación de políticas coherentes en materia de contraseñas (por ejemplo, complejidad y caducidad).
      • Evite el almacenamiento de contraseñas en octoplant

  • Utilizar agentes octoplant configurados correctamente para comunicarse con los dispositivos de automatización.

    • Aísle los dispositivos de automatización en la red OT y dirija las comunicaciones a través de los agentes de octoplant. El servidor octoplant puede residir en la red empresarial, mientras que los agentes operan en la red OT.

  • Eliminar aplicaciones cliente del servidor

    • Evite instalar aplicaciones cliente en el servidor para reducir el riesgo de manipulación no autorizada de los datos.

  • Revisar los roles asignados dentro de octoplant

    • Asegúrese de que los usuarios sólo tienen acceso a lo que es necesario para su función.
    • Revise periódicamente la asignación de funciones administrativas y limítelas al personal adecuado.

  • Utilizar un usuario dedicado de Windows para ejecutar los servicios de octoplant

    • Restrinja el acceso completo al archivo del servidor únicamente a un usuario dedicado de Windows y a las cuentas de actualización autorizadas.

  • Segmentación de la red

    • Coloque el servidor octoplant en un segmento de red dedicado, DMZ o VLAN para minimizar las superficies de ataque.
    • Defina reglas de firewall para restringir el acceso a los sistemas esenciales de octoplant.

    • Monitoree el tráfico de red que entra y sale del servidor. octoplant utiliza varios puertos abiertos-investiga cualquier tráfico inesperado, como:

      • de cliente a servidor
      • de servidor a agente
      • Otros puertos desconocidos

  • Garantizar la seguridad física del servidor octoplant

    • Restrinja el acceso físico a las salas de servidores o centros de datos mediante cerraduras y sistemas de control de acceso.

  • Retirada del acceso

    • Establezca un proceso para revocar el acceso cuando los empleados abandonen la organización o ya no necesiten acceso. Por ejemplo, active la integración LDAP de octoplant con Active Directory.

  • Auditorías periódicas y cumplimiento de normativas

    • Realice auditorías de seguridad y comprobaciones de cumplimiento periódicas para garantizar el cumplimiento de las normas y reglamentos del sector.

  • Registro y control

    • Active el registro detallado en el servidor octoplant y revise los registros con regularidad para detectar actividades sospechosas.
    • Considere la posibilidad de utilizar un sistema de gestión de eventos e información de seguridad (SIEM) para centralizar y analizar los datos de registro.

  • Documentación normalizada

    • Mantenga actualizada la documentación relativa a la configuración del servidor, los ajustes de seguridad y las políticas de control de acceso.

  • Detección y prevención de intrusiones

    • Utilice sistemas de detección y prevención de intrusiones (IDS/IPS) para vigilar y bloquear las actividades no autorizadas.

  • Conexiones SMB/UNC al utilizar Image Service

    • Prefiera SFTP a SMB para mejorar la seguridad y la escalabilidad al evitar las limitaciones en la gestión de recursos basadas en Windows.