VPN
La VPN della piattaforma Mirox fornisce un accesso remoto sicuro e basato su certificato alle reti interne dei singoli impianti. Invece di mantenere un profilo VPN separato per ogni impianto, ogni utente riceve un unico profilo VPN personale attraverso il quale diventano raggiungibili tutti gli impianti per cui l'utente è autorizzato. Modifiche dei permessi, nuovi impianti, nuove sottoreti o cooperazioni revocate si riflettono automaticamente nel profilo VPN — senza che l'utente debba reinstallarlo.
Concetto
La VPN è progettata come un tunnel personale single-sign-on verso tutte le reti di impianto concesse:
- Un certificato per utente: ogni utente autenticato può emettere esattamente un certificato VPN e installarlo sul proprio dispositivo.
- Gestione automatica delle rotte: l'insieme delle sottoreti di impianto raggiungibili viene derivato dinamicamente dai permessi attuali (ruolo nell'organizzazione, ruolo lavorativo, cooperazioni). Qualsiasi modifica dei permessi aggiorna automaticamente l'insieme delle rotte.
- Alta disponibilità: il tunnel termina in più regioni e effettua il failover verso un'altra regione se necessario.
- Nessuna chiave condivisa: la chiave privata non lascia mai il dispositivo dell'utente. Mirox vede sempre e solo la chiave pubblica.
Cosa offre la VPN
Tunnel personale verso tutti gli impianti concessi
Una volta installato il profilo VPN, l'utente può indirizzare tutte le reti di impianto per cui dispone di permessi — esattamente come se si trovasse fisicamente sul posto. Questo copre tipicamente:
- Interfacce web di inverter, controller di tracker, data logger, PC dei quadri di controllo
- Accesso SSH ai dispositivi di servizio
- Strumenti diagnostici Modbus / TCP verso i componenti nella rete dell'impianto
- Gli strumenti propri dell'utente che comunicano direttamente con l'infrastruttura dell'impianto
Più impianti con sottoreti locali sovrapposte (ad es. due impianti che usano entrambi 192.168.1.0/24) vengono automaticamente disambiguati dal sistema, in modo che non siano possibili confusioni.
Ciclo di vita del certificato
L'utente controlla il proprio certificato direttamente tramite l'interfaccia della piattaforma:
- Emetti: crea un nuovo profilo VPN. Il file di configurazione completo contenente la chiave privata viene mostrato esattamente una volta nel browser e non viene mai memorizzato nel cloud.
- Ruota: sostituisce l'insieme di chiavi senza eliminare il certificato. Utile ad es. quando si cambia dispositivo o quando si sospetta una compromissione. La nuova chiave privata viene di nuovo mostrata una sola volta.
- Revoca: disabilita immediatamente il certificato. Tutte le connessioni in corso vengono terminate al successivo ciclo di sincronizzazione. La traccia di audit del certificato viene conservata per il periodo di conservazione previsto dalla legge.
Gestione automatica delle rotte
Le sottoreti raggiungibili derivano dai permessi dell'utente:
- Per ogni permesso su parco o portfolio, viene calcolato automaticamente il corrispondente insieme di rotte.
- Quando un permesso viene revocato (fine di una cooperazione, cambio di ruolo), anche la rotta viene rimossa automaticamente.
- I conflitti tra due impianti che usano la stessa sottorete locale vengono contrassegnati in modo visibile nella panoramica delle rotte. L'utente può decidere quale degli impianti in conflitto ha la priorità per sé.
- Le singole rotte possono essere temporaneamente disabilitate dall'utente, ad es. per raggiungere in successione due impianti con intervalli di sottorete identici.
Panoramica delle sessioni
L'utente dispone di una panoramica delle sessioni dedicata al proprio certificato all'interno della piattaforma:
- Connessioni attuali con orario di connessione, origine geografica e volume di dati trasferiti
- Sessioni storiche per la tracciabilità
- Regione e nodo dell'endpoint di terminazione (per una facile diagnostica della latenza)
Questa panoramica è la vista di autotrasparenza dell'utente sul proprio certificato. La traccia di audit completa e legalmente conforme a KRITIS / NIS2 è gestita separatamente dall'operatore dell'impianto e non fa parte di questa vista — vedi Registro di audit.
Sicurezza e controllo
Chi può emettere un certificato?
Qualsiasi utente autenticato può emettere un proprio certificato — ma il certificato da solo non è sufficiente per raggiungere alcun impianto. Solo i permessi concessi tramite il sistema dei permessi (ruolo nell'organizzazione, ruolo lavorativo, cooperazione) aprono effettivamente le rotte.
Chi può raggiungere quale impianto?
L'insieme effettivo di rotte di un certificato viene verificato separatamente su ogni livello di permesso:
- L'appartenenza all'organizzazione definisce quali portfolio e impianti sono accessibili in linea di principio.
- Il ruolo lavorativo (Operatore, Technical Manager, Asset Manager, Visualizzatore) decide se le sottoreti di un impianto vengono aggiunte al certificato.
- Le cooperazioni tra organizzazioni possono concedere l'accesso a impianti esterni — a condizione che l'utente cooperante detenga sull'impianto condiviso il ruolo lavorativo di livello operatore richiesto.
I semplici membri, gli ospiti o gli utenti esterni senza il ruolo corrispondente non ricevono alcuna rotta per quegli impianti.
Custodia delle chiavi
- La chiave privata viene generata nel browser dell'utente e non lascia mai il dispositivo.
- Mirox conosce solo la chiave pubblica dell'utente e l'IP del tunnel ad esso assegnato.
- In caso di rotazione o revoca, le vecchie chiavi vengono invalidate immediatamente lato server.
Comportamento alla revoca dei permessi
Quando un utente perde un permesso — ad es. perché una cooperazione termina, il suo stato lavorativo cambia o un impianto viene eliminato — la rotta corrispondente scompare automaticamente dal suo certificato. Eventuali connessioni aperte vengono terminate al successivo ciclo di sincronizzazione. Non è richiesta alcuna azione manuale.
Disponibilità multi-regione
Il tunnel può terminare contemporaneamente in più regioni Mirox. Ciò significa:
- L'utente viene automaticamente instradato verso la regione che offre la migliore raggiungibilità per il suo impianto e la sua posizione di origine.
- Se una regione si guasta, un'altra regione subentra nella sessione al successivo tentativo di connessione.
- L'utente non deve riconfigurare nulla; la regione viene selezionata in modo trasparente dal sistema.
Audit e conformità
Ogni accesso tramite la VPN è completamente sottoposto ad audit dal sistema Mirox. La traccia di audit registra:
- Quale utente si è connesso, quando e da dove
- Quali sottoreti di impianto sono state raggiunte durante la sessione
- Quali dispositivi specifici (IP, protocollo, porta) sono stati interessati e con quale frequenza
- Quanto volume di dati è stato trasferito per sessione e sottorete
La traccia di audit viene conservata per almeno 730 giorni ed è accessibile solo all'organizzazione operatrice responsabile del rispettivo impianto — non all'utente connesso stesso. Per i dettagli vedi Registro di audit degli accessi.
Distinzione dalle funzionalità correlate
Mirox offre diverse varianti di accesso remoto che è facile confondere. La VPN personale descritta in questa pagina è una delle cinque; la tabella mostra a cosa serve ciascuna e chi la controlla.
| Variante | Scopo | Chi la controlla? |
|---|---|---|
| VPN personale (questa pagina) | Un tunnel personale che raggiunge ogni rete di impianto per cui sei autorizzato | Tu, nell'ambito dei tuoi permessi |
| Servizio VPN di organizzazione | Un tunnel condiviso e gestito dall'organizzazione, distribuito in una regione, con gli impianti instradati attraverso di esso per l'intero team | Admin o moderatore dell'organizzazione |
| VPN diretta dell'impianto — dial-out | L'agente dell'impianto si connette verso una VPN remota esistente del cliente, in modo che Mirox possa raggiungere una rete ospitata dal cliente | Admin o moderatore dell'organizzazione |
| VPN diretta dell'impianto — host | L'agente dell'impianto ospita un endpoint VPN raggiungibile pubblicamente verso cui i siti remoti si connettono; Mirox provisiona automaticamente le chiavi e i certificati | Admin o moderatore dell'organizzazione |
| Proxy del browser | Apri l'interfaccia web di un dispositivo direttamente dal browser, senza alcun client VPN da installare | Operatore dell'impianto (configura i target web) |
La VPN personale è lo strumento giusto per il personale tecnico che ha bisogno di usare in modo produttivo strumenti arbitrari verso i dispositivi di più impianti. Il Proxy del browser è la scelta giusta quando occorre aprire solo l'interfaccia web di un dispositivo — senza installazione di VPN, direttamente dal browser. Le VPN di organizzazione e dirette dell'impianto sono tunnel a livello di infrastruttura gestiti centralmente, anziché un profilo personale che porti con te.
Funzionalità correlate
- Proxy — accesso basato su browser ai dispositivi dell'impianto senza un client VPN
- Registro di audit degli accessi — traccia di audit completa di tutti gli accessi VPN e Proxy
- Sistema dei permessi — controlla quale utente raggiunge quali impianti
- Cooperazioni — condivisione di impianti con organizzazioni terze
- Local Network Inspector — verifiche di raggiungibilità della rete dell'impianto dal lato della piattaforma