Accesso remoto — Domande frequenti

Q: 1. Qual è la differenza tra la VPN e il Proxy del browser?

Entrambi raggiungono i dispositivi sulla rete di un impianto, ma a livelli diversi. La VPN fornisce una connessione di rete completa dal tuo computer alle reti di impianto per cui sei autorizzato, quindi funziona qualsiasi protocollo (web, SSH, Modbus, i tuoi strumenti). Il Proxy del browser è più ristretto e più controllato: apre nel tuo browser l'interfaccia web HTTP o HTTPS di un dispositivo specifico, senza alcun client VPN, raggiungendo solo gli obiettivi web che sono stati configurati. Usa il Proxy per attività rapide nel browser e la VPN quando ti serve una vera connessione di rete.

Q: 3. Chi può connettersi alla rete del mio impianto tramite VPN?

Solo le persone che dispongono di un accesso di livello Operatore a quell'impianto ottengono una rotta VPN verso di esso — concessa direttamente sull'impianto, ereditata tramite il ruolo organizzativo di Amministratore o Moderatore, oppure ricevuta attraverso una cooperazione che concede il ruolo lavorativo di Operatore. I Technical Manager, gli Asset Manager, i Visualizzatori e i ruoli commerciali non ricevono connettività VPN.

Q: 12. Chi può usare il Proxy?

Il Proxy è aperto a un insieme di ruoli più ampio rispetto alla VPN — Operatore e Technical Manager sull'impianto, inclusi gli Amministratori e i Moderatori dell'organizzazione che corrispondono a tali ruoli lavorativi e i membri di cooperazione che li detengono; i Visualizzatori vengono esclusi. È deliberatamente più ampio della VPN riservata al solo Operatore perché il raggio d'impatto del proxy del browser è molto più piccolo: raggiunge solo le interfacce web dei dispositivi configurate, mai la rete grezza dell'impianto.

Q: 9. Come viene tolto l'accesso — e quanto velocemente?

Quando il tuo ruolo lavorativo viene rimosso, la tua appartenenza all'organizzazione cambia o una cooperazione termina, l'impianto viene rimosso dalle tue rotte raggiungibili entro pochi secondi dalla modifica dei permessi, e il percorso di rete viene smantellato poco dopo. Una verifica periodica in background ricontrolla ogni profilo attivo per correggere eventuali disallineamenti. La stessa modifica dei permessi rimuove anche l'accesso al Proxy.

Q: 20. Ogni accesso viene registrato? Quale standard soddisfa il registro?

Sì — sia gli accessi VPN sia quelli Proxy vengono registrati automaticamente. Il registro degli accessi è progettato per soddisfare i requisiti di registrazione dell'accesso remoto della normativa tedesca KRITIS e della NIS2 dell'UE: registra chi si è connesso, quando, da dove, quali sottoreti e dispositivi dell'impianto sono stati raggiunti, quali protocolli e porte e quanto traffico è transitato; per il Proxy registra anche l'attività delle richieste a livello web. I record vengono conservati per 730 giorni (24 mesi) e non possono essere modificati o eliminati dagli utenti.

Q: 21. Chi può vedere il registro degli accessi? Posso vedere le mie connessioni?

Il registro completo degli accessi di un impianto è riservato agli operatori responsabili dell'impianto — livello Technical Manager e superiore su quell'impianto, inclusi i tecnici di cooperazione invitati. L'utente che si connette non può vedere il registro di audit dell'operatore; può consultare solo la propria cronologia delle connessioni nel proprio profilo. I record di audit non possono essere modificati o eliminati dagli utenti.

Q: 18. La rete del mio impianto ha bisogno di una porta in ingresso aperta?

No. L'agente in loco compone sempre verso l'esterno verso il cloud Mirox, quindi la rete del tuo impianto ha bisogno solo di connettività in uscita. Nessuna porta in ingresso viene aperta, e la rete dell'impianto è raggiungibile solo finché il tunnel in uscita dell'agente è attivo. Questo vale sia per la VPN sia per il Proxy.

Q: 7. Quale crittografia usa la VPN?

La VPN personale usa WireGuard con crittografia moderna — scambio di chiavi Curve25519 e cifratura autenticata. La tua chiave privata viene generata sul tuo dispositivo e non viene mai memorizzata da Mirox. Il tunnel è split: vi entra solo il traffico destinato alle reti private degli impianti, mentre il tuo normale traffico internet resta sulla tua connessione.

Q: 5. Un tecnico esterno può ottenere l'accesso a uno dei miei impianti?

Sì, tramite una cooperazione, e solo alle stesse regole del tuo personale: l'accesso VPN richiede comunque il ruolo lavorativo di Operatore sull'impianto condiviso, l'accesso Proxy richiede Operatore o Technical Manager. La concessione è limitata esattamente a ciò che condividi, ogni connessione viene registrata e puoi revocarla in qualsiasi momento.

Mirox ti offre due modi per raggiungere i dispositivi sulla rete di un impianto da qualsiasi luogo: la VPN, una connessione di rete completa per qualsiasi protocollo, e il Proxy del browser, un percorso solo browser verso l'interfaccia web di un dispositivo. Questa pagina risponde alle domande di sicurezza che entrambi sollevano — chi può connettersi, come viene concesso e tolto l'accesso, cosa viene registrato e come il servizio resta disponibile. In breve: l'accesso remoto è una capacità deliberatamente a livelli, con privilegio minimo, ogni connessione è attribuita a una persona nominata e registrata per la conformità, e la rete del tuo impianto non deve mai esporre una porta in ingresso. Per le descrizioni complete delle funzionalità vedi VPN e Proxy; per i dettagli dell'audit vedi Registro di audit degli accessi.

Scegliere tra la VPN e il Proxy

1. Qual è la differenza tra la VPN e il Proxy del browser?

Raggiungono i dispositivi dell'impianto a due livelli diversi. La VPN fornisce al tuo computer una vera connessione di rete verso le reti di impianto per cui sei autorizzato — funziona qualsiasi protocollo (l'interfaccia web di un dispositivo, SSH, Modbus, SNMP o i tuoi strumenti di ingegneria), il che è potente ma significa che è la forma di accesso più privilegiata. Il Proxy del browser è l'opzione deliberatamente più ristretta e più controllata: apre l'interfaccia web HTTP o HTTPS di un dispositivo specifico direttamente nel tuo browser senza alcun client da installare, e può raggiungere solo gli obiettivi web che sono stati configurati per un dispositivo — mai indirizzi e porte arbitrari sulla LAN dell'impianto. Scegli il Proxy per le attività quotidiane nel browser; scegli la VPN quando ti serve davvero una connessione a livello di rete.

2. Quale dovrei usare e perché sono limitati in modo diverso?

Usa il Proxy quando l'attività vive in un browser — controllare il portale di un inverter, l'interfaccia di un data logger, l'amministrazione web di uno switch. Usa la VPN quando ti serve un protocollo non web o i tuoi strumenti che comunicano direttamente con i dispositivi. Sono deliberatamente regolati in modo diverso: la VPN è riservata al solo ruolo Operatore, perché un tunnel di rete completo ha un ampio raggio d'impatto; il Proxy è aperto a un insieme di ruoli più ampio perché può raggiungere soltanto pagine web pre-approvate, quindi nel caso peggiore l'esposizione è molto più ridotta. Limitare strettamente lo strumento potente e in modo più aperto lo strumento limitato è il cuore della progettazione a privilegio minimo.

VPN — Accesso e permessi

3. Chi può connettersi alla rete del mio impianto tramite VPN?

La connettività VPN è concessa al solo ruolo lavorativo Operatore — è il livello di accesso all'impianto più privilegiato, ed è l'unico ruolo che materializza rotte VPN. Una persona raggiunge il livello Operatore in uno di tre modi: una concessione diretta di Operatore sull'impianto specifico, l'ereditarietà tramite il ruolo organizzativo di Amministratore o Moderatore (entrambi corrispondono a Operatore sugli impianti della propria organizzazione), oppure tramite una cooperazione che concede il ruolo lavorativo di Operatore su un impianto condiviso. Tutti i livelli inferiori — Technical Manager, Asset Manager (Technical), Asset Manager (Commercial), Visualizzatore, semplici membri e ospiti — non ricevono una rotta VPN. Questa è una progettazione a livelli deliberata: il vasto pubblico quotidiano non ottiene mai un tunnel di rete grezzo verso l'impianto.

4. Cosa può fare un Technical Manager, se non connettersi tramite VPN?

Un Technical Manager non ottiene un tunnel di rete, ma non è escluso dal lavoro remoto. Può usare il Proxy del browser per aprire l'interfaccia web di un dispositivo direttamente nel browser, può leggere il registro completo di audit degli accessi dell'impianto e, a livello di organizzazione, può gestire i servizi VPN dell'organizzazione e le assegnazioni degli impianti. La separazione è intenzionale: il Proxy solo browser ha un raggio d'impatto molto più piccolo di un tunnel di rete completo, quindi è aperto a un insieme di ruoli più ampio, mentre la rotta VPN grezza resta riservata al livello Operatore. Vedi il Sistema di permessi per la mappatura completa ruolo-mansione.

5. Un tecnico esterno può ottenere l'accesso a uno dei miei impianti?

Sì — tramite una cooperazione — e alle stesse identiche regole del tuo personale. L'accesso VPN richiede comunque che la cooperazione conceda alla persona esterna il ruolo lavorativo di Operatore sull'impianto condiviso; l'accesso Proxy richiede Operatore o Technical Manager. Nessuna cooperazione può distribuire più di quanto scegli di condividere, ogni connessione effettuata dal tecnico esterno viene registrata nel registro di audit degli accessi del tuo impianto esattamente come una interna, e puoi ridurre o revocare la cooperazione in qualsiasi momento, il che rimuove il loro accesso entro pochi secondi.

VPN — Profili, chiavi e routing

6. Perché ogni persona riceve il proprio profilo VPN invece di uno condiviso?

Un profilo personale è ciò che rende possibile la responsabilità individuale. Poiché ogni connessione è legata a un account Mirox nominato, il registro di audit per la conformità può rispondere a "chi si è connesso" per ogni sessione — una chiave condivisa lo renderebbe impossibile. Un profilo personale consente inoltre a ciascun utente di ruotare o revocare le proprie chiavi in modo indipendente senza disturbare nessun altro, e mantiene la custodia della chiave sul lato dell'utente: la chiave privata viene generata sul dispositivo dell'utente e non viene mai memorizzata da Mirox. La configurazione viene mostrata solo una volta quando la crei o la ruoti; se la perdi, basta ruotarla per ottenerne una nuova.

7. Quale crittografia usa la VPN?

La VPN personale usa WireGuard con crittografia moderna: scambio di chiavi Curve25519 e cifratura autenticata. La tua chiave privata viene generata sul tuo dispositivo e non lo lascia mai — Mirox vede sempre e solo la tua chiave pubblica. Il tunnel è uno split tunnel: vi entra solo il traffico destinato alle reti private degli impianti, mentre il tuo traffico internet ordinario (web, email, videochiamate) resta sulla tua connessione e non passa mai attraverso Mirox. Vedi la guida alla configurazione della VPN personale per come emettere e importare il tuo profilo.

8. Come compaiono nuovi impianti nella mia VPN senza riscaricare nulla?

Il tuo file di configurazione è fisso per tutta la durata del tuo profilo — non lo reimporti mai quando il tuo accesso cambia. La parte che si muove è mantenuta sul lato Mirox: l'insieme delle sottoreti di impianto che il tuo profilo può raggiungere viene calcolato dai tuoi permessi attuali e mantenuto sincronizzato in modo continuo. Nel momento in cui ti viene concesso l'accesso Operatore a un nuovo impianto, le reti di quell'impianto diventano raggiungibili attraverso il tuo tunnel esistente, in genere entro pochi secondi, senza reinstallazione e senza alcuna azione da parte tua. Un impianto il cui agente in loco non è ancora distribuito appare come "non ancora raggiungibile" e diventa attivo automaticamente non appena il suo agente è online.

VPN — Revoca e isolamento

9. Come viene tolto l'accesso — e quanto velocemente?

Quando il tuo accesso Operatore termina — perché il tuo ruolo lavorativo viene rimosso, la tua appartenenza all'organizzazione cambia o una cooperazione viene ridotta o terminata — l'impianto interessato viene rimosso dalle tue rotte raggiungibili entro pochi secondi dalla modifica dei permessi, e il percorso di rete viene smantellato poco dopo, alla riconciliazione successiva. Una verifica periodica in background ricontrolla in modo indipendente ogni profilo attivo rispetto ai permessi attuali e corregge qualsiasi rotta che non dovrebbe più esistere, così un singolo evento mancato non può lasciare l'accesso aperto. La stessa modifica dei permessi revoca anche il tuo accesso al Proxy. Se il tuo account utente viene eliminato, il tuo accesso remoto si interrompe entro pochi secondi mentre la cronologia di conformità che hai generato viene conservata per il periodo di conservazione legale.

10. Come sono isolati tra loro i diversi impianti e le diverse organizzazioni?

La connessione di ciascun utente è confinata a un insieme isolato di rotte derivato esclusivamente dalle autorizzazioni Operatore dell'utente stesso più qualsiasi ambito di cooperazione esplicitamente invitato. Le sottoreti per cui non sei autorizzato semplicemente non vengono mai instradate per te — non esiste alcun percorso di rete dal tuo tunnel verso le reti di impianto di un'altra organizzazione, e gli utenti di un'organizzazione non possono vedere quelli di un'altra. La raggiungibilità è derivata dai permessi da un capo all'altro, quindi l'isolamento è imposto da ciò che viene instradato, non semplicemente da ciò che viene mostrato nell'interfaccia.

11. Cosa succede quando due impianti usano lo stesso intervallo di IP interni?

Questo viene gestito esplicitamente. Se due impianti che puoi raggiungere usano entrambi lo stesso intervallo locale (ad esempio due impianti su 192.168.1.0/24), il sistema rileva la sovrapposizione e la segnala nell'elenco delle tue rotte invece di tirare a indovinare. Decidi tu quale dei due impianti in conflitto ha la priorità per te, così non c'è mai alcuna ambiguità su quale rete stai raggiungendo. Puoi anche disabilitare temporaneamente una rotta per raggiungere l'altra, e poi tornare indietro.

Il Proxy del browser

12. Chi può usare il Proxy?

Il Proxy è aperto a Operatore e Technical Manager sull'impianto — inclusi gli Amministratori e i Moderatori dell'organizzazione che corrispondono a tali ruoli lavorativi, e i membri di cooperazione che li detengono. I Visualizzatori e i ruoli commerciali vengono esclusi. Questo è deliberatamente più ampio della VPN riservata al solo Operatore, per un motivo: il Proxy può raggiungere soltanto interfacce web di dispositivi pre-approvate, quindi anche nel caso peggiore l'esposizione è molto più piccola di un tunnel di rete completo. Configurare quali pagine web dei dispositivi esistono come obiettivi è di per sé un'azione di livello Technical Manager e superiore.

13. Il Proxy richiede l'autenticazione a due fattori?

Sì. Aprire un dispositivo tramite il Proxy richiede una configurazione attiva dell'autenticazione a due fattori (TOTP) sul tuo account; senza di essa il Proxy rifiuta di aprire un dispositivo, qualunque sia il tuo ruolo. Questo è più rigoroso del resto della piattaforma proprio perché il Proxy è un percorso verso apparecchiature attive. Oltre al tuo login Mirox e alla 2FA, il dispositivo stesso può richiedere il proprio login, quindi spesso ci sono due livelli di autenticazione indipendenti a protezione di un dispositivo.

14. Le mie password dei dispositivi vengono memorizzate e chi può vederle?

Le credenziali dei dispositivi che salvi per il Proxy (e per i controlli di connessione dei dispositivi) sono custodite in una cassaforte delle credenziali cifrata, e l'accesso per inserirle o usarle è limitato a Operatore e Technical Manager sull'impianto. Non vengono mai esposte ad altri ruoli, mai mostrate all'assistente AI e mai scritte nei registri. Il Proxy gestisce solo il trasporto e il controllo degli accessi sul lato Mirox; l'autenticazione propria del dispositivo resta in vigore.

15. Qualcuno può entrare se condivido un link al proxy?

No — un URL del proxy non è una concessione di accesso. L'indirizzo per l'interfaccia web proxata di un dispositivo è stabile e condivisibile, ma chiunque lo apra deve comunque essere autenticato in Mirox, superare l'autenticazione a due fattori e detenere il ruolo richiesto su quell'impianto. Un link da solo non raggiunge nulla; il controllo dei permessi avviene a ogni richiesta.

Disponibilità e resilienza

16. Quanto è robusto l'accesso remoto — cosa succede se un server o una regione si guasta?

La piattaforma opera contemporaneamente su più regioni di data center europee indipendenti, ciascuna delle quali esegue lo stack completo, e all'interno di ogni regione l'accesso remoto è servito da più server — quindi non esiste un singolo punto di guasto. La tua connessione si aggancia sempre a un punto di ingresso integro; se uno diventa non disponibile, viene ristabilita automaticamente verso un altro server integro, e non devi riconfigurare nulla. In combinazione con la supervisione automatica degli agenti in loco, l'architettura è progettata per offrire un'affidabilità del 99,999%.

17. Cosa mantiene disponibile il lato impianto?

L'agente in loco di ciascun impianto è supervisionato da un livello di orchestrazione che ne verifica continuamente sia l'esistenza sia la prontezza su un ciclo breve. Se un agente è mancante, smette di rispondere o il suo host si guasta, viene automaticamente riavviato, ridistribuito o ricollocato su un altro host integro — senza un intervento in loco. Una salvaguardia garantisce che lo stesso agente non venga mai eseguito in due posti contemporaneamente. Poiché l'agente è ciò che termina la connessione lato impianto sia per la VPN sia per il Proxy, questa supervisione è ciò che mantiene il tuo impianto raggiungibile.

18. La rete del mio impianto ha bisogno di una porta in ingresso aperta?

No. L'agente in loco è sempre la parte che compone verso l'esterno verso il cloud Mirox; la connessione viene stabilita dall'interno della rete del tuo impianto. Il tuo firewall ha quindi bisogno solo di connettività in uscita — nessuna porta in ingresso viene aperta, e nulla su internet pubblico può avviare una connessione verso la rete del tuo impianto. Questo vale sia per la VPN sia per il Proxy.

19. L'agente è l'unico modo per entrare nella rete del mio impianto?

Sì. La rete dell'impianto diventa raggiungibile tramite la piattaforma solo finché il tunnel in uscita dell'agente in loco è attivo, e tutto il traffico autorizzato — VPN o Proxy — raggiunge l'impianto attraverso quell'agente. È il punto di ingresso unico, ed è vincolato al proprio impianto: non può raggiungere, e non è un percorso verso, nessun altro impianto o rete.

Audit e privacy

20. Ogni accesso viene registrato? Quale standard soddisfa il registro?

Sì — ogni connessione VPN e ogni sessione Proxy vengono registrate automaticamente dalla piattaforma mentre il traffico scorre; gli utenti non possono influenzare ciò che viene acquisito. Il registro degli accessi è progettato per soddisfare i requisiti di registrazione dell'accesso remoto della normativa tedesca KRITIS e della NIS2 dell'UE. Per ogni accesso registra chi si è connesso, quando e da dove (IP di origine e regione geografica), quali sottoreti e dispositivi dell'impianto sono stati raggiunti e quali protocolli e porte; per il Proxy registra inoltre l'attività delle richieste web (il dispositivo raggiunto, il numero di richieste e i metodi, il volume di dati). I record vengono conservati per 730 giorni (24 mesi) per impostazione predefinita e poi eliminati automaticamente. La profondità di questo audit è trattata per intero nella pagina Registro di audit degli accessi.

21. Chi può vedere il registro degli accessi? Posso vedere le mie connessioni?

Il registro completo degli accessi di un impianto è visibile solo agli operatori responsabili di quell'impianto — livello Technical Manager e superiore sull'impianto, inclusi i tecnici di cooperazione invitati. L'utente che si connette non vede il registro di audit dell'operatore; quella superficie è riservata alla parte con l'obbligo di rendicontazione. Puoi però consultare la tua cronologia delle connessioni dal tuo profilo: quando è iniziata ogni sessione, da quale regione e IP di origine, la posizione approssimativa e quanti dati sono transitati. Né gli operatori né gli utenti possono modificare o eliminare i record di audit — vedi la sezione su conservazione e resistenza alla manomissione del registro di audit.

22. Mirox vede il contenuto delle mie sessioni?

No. L'audit registra i metadati — connessioni, endpoint, porte, protocolli, marche temporali e volumi di traffico, oltre a quali pagine web dei dispositivi ha toccato una sessione Proxy — non il contenuto di ciò che fai. I payload dei pacchetti VPN, i corpi delle pagine web, le sequenze di tasti e le registrazioni dello schermo non vengono deliberatamente acquisiti, perché sarebbe sia problematico per la privacy sia non necessario per la rendicontazione di conformità. Il confine della privacy è descritto in dettaglio nella sezione sulla privacy del Registro di audit degli accessi.

Funzionalità correlate

VPN — il tunnel personale che raggiunge ogni rete di impianto per cui sei autorizzato
Proxy — accesso basato su browser alle interfacce web dei dispositivi dell'impianto, senza alcun client VPN
Registro di audit degli accessi — il registro allineato a KRITIS e NIS2 di tutti gli accessi VPN e Proxy
Sistema di permessi — la mappatura ruolo-mansione che decide chi raggiunge quali impianti
Configurazione della VPN personale — guida passo passo per emettere, ruotare e usare il tuo profilo VPN