Saltar a contenido

Buenas prácticas de seguridad - Servidor octoplant

La siguiente documentación incluye las mejores prácticas de seguridad para su servidor octoplant. Recomendamos que sean implementadas por su departamento de TI o administrador de octoplant.

Info

octoplant no está afectado por la vulnerabilidad de Log4j, ya que está desarrollado en C++ y no depende de Java.

Info

Cuando se utiliza la función de scripting, octoplant no puede verificar la autenticidad del software que se ejecuta fuera del sistema octoplant. Debe verificar la autenticidad de dicho software antes de utilizarlo.

  • No exponga el servidor octoplant a Internet. El servidor octoplant no requiere conexiones de clientes desde fuera del firewall interno.

    Recomendamos:

    • Restrinja la comunicación entrante a su red interna de clientes.
    • Utilizar una VPN para permitir que las aplicaciones cliente se conecten al servidor octoplant cuando se encuentran fuera de la red interna.
    • Restringir las conexiones entrantes al servidor octoplant. Aunque la comunicación saliente con el octoplant pro hub es necesaria, el tráfico entrante debe reducirse al mínimo.

  • Utilizar software antivirus

    • Siga las directrices de su departamento informático para instalar y mantener herramientas antivirus o de detección de malware.

  • Privilegios

    • Revise los privilegios de usuario necesarios para instalar y ejecutar el servidor octoplant.

    • Aplicar el principio del menor privilegio:

      • Conceda sólo los permisos mínimos necesarios a usuarios y aplicaciones.
      • Aplique controles de acceso para garantizar que sólo el personal autorizado pueda acceder al servidor.
      • Utilice contraseñas fuertes y únicas o, preferiblemente, active la autenticación multifactor (MFA) siempre que sea posible.

  • Aprovechar su servidor LDAP existente

    • Si está disponible, utilice su servidor LDAP centralizado para gestionar las cuentas y contraseñas de los usuarios.

    • La gestión centralizada de identidades mejora la seguridad:

      • Aplicación de políticas coherentes en materia de contraseñas (por ejemplo, complejidad y caducidad).
      • Evite el almacenamiento de contraseñas en octoplant

  • Utilizar agentes octoplant configurados correctamente para comunicarse con los dispositivos de automatización.

    • Aísle los dispositivos de automatización en la red OT y dirija las comunicaciones a través de los agentes de octoplant. El servidor octoplant puede residir en la red empresarial, mientras que los agentes operan en la red OT.

  • Eliminar aplicaciones cliente del servidor

    • Evite instalar aplicaciones cliente en el servidor para reducir el riesgo de manipulación no autorizada de los datos.

  • Revisar los roles asignados dentro de octoplant

    • Asegúrese de que los usuarios sólo tienen acceso a lo que es necesario para su función.
    • Revise periódicamente la asignación de funciones administrativas y limítelas al personal adecuado.

  • Utilizar un usuario dedicado de Windows para ejecutar los servicios de octoplant

    • Restrinja el acceso completo al archivo del servidor únicamente a un usuario dedicado de Windows y a las cuentas de actualización autorizadas.

  • Segmentación de la red

    • Coloque el servidor octoplant en un segmento de red dedicado, DMZ o VLAN para minimizar las superficies de ataque.
    • Defina reglas de firewall para restringir el acceso a los sistemas esenciales de octoplant.

    • Monitoree el tráfico de red que entra y sale del servidor. octoplant utiliza varios puertos abiertos-investiga cualquier tráfico inesperado, como:

      • de cliente a servidor
      • de servidor a agente
      • Otros puertos desconocidos

  • Garantizar la seguridad física del servidor octoplant

    • Restrinja el acceso físico a las salas de servidores o centros de datos mediante cerraduras y sistemas de control de acceso.

  • Retirada del acceso

    • Establezca un proceso para revocar el acceso cuando los empleados abandonen la organización o ya no necesiten acceso. Por ejemplo, active la integración LDAP de octoplant con Active Directory.

  • Auditorías periódicas y cumplimiento de normativas

    • Realice auditorías de seguridad y comprobaciones de cumplimiento periódicas para garantizar el cumplimiento de las normas y reglamentos del sector.

  • Registro y control

    • Active el registro detallado en el servidor octoplant y revise los registros con regularidad para detectar actividades sospechosas.
    • Considere la posibilidad de utilizar un sistema de gestión de eventos e información de seguridad (SIEM) para centralizar y analizar los datos de registro.

  • Documentación normalizada

    • Mantenga actualizada la documentación relativa a la configuración del servidor, los ajustes de seguridad y las políticas de control de acceso.

  • Detección y prevención de intrusiones

    • Utilice sistemas de detección y prevención de intrusiones (IDS/IPS) para vigilar y bloquear las actividades no autorizadas.

  • Conexiones SMB/UNC al utilizar Image Service

    • Prefiera SFTP a SMB para mejorar la seguridad y la escalabilidad al evitar las limitaciones en la gestión de recursos basadas en Windows.