VPN
La VPN della piattaforma Mirox fornisce un accesso remoto sicuro alle reti interne dei singoli impianti. Invece di mantenere un profilo VPN separato per ogni impianto, ogni utente riceve un unico profilo VPN personale attraverso il quale diventano raggiungibili tutti gli impianti per cui l'utente è autorizzato. Modifiche dei permessi, nuovi impianti, nuove sottoreti o cooperazioni revocate si riflettono automaticamente nel profilo VPN — senza che l'utente debba reinstallarlo.
Concetto
La VPN è costruita su WireGuard, un protocollo VPN moderno, leggero e cifrato, ed è progettata come un tunnel personale single-sign-on verso tutte le reti di impianto concesse:
- Un profilo per utente: ogni utente autenticato può emettere esattamente un profilo VPN personale e installarlo sul proprio dispositivo. La piattaforma chiama questo profilo il tuo certificato VPN — è il nome commerciale della tua coppia di chiavi WireGuard personale; WireGuard stesso utilizza coppie di chiavi anziché certificati X.509.
- Crittografia moderna: WireGuard utilizza uno scambio di chiavi Curve25519 (X25519) e cifratura autenticata. La tua chiave privata viene generata sul tuo dispositivo e non viene mai memorizzata da Mirox — Mirox vede sempre e solo la tua chiave pubblica.
- Split tunnel: solo il traffico destinato alle reti private di impianto entra nel tunnel. Il tuo normale traffico internet — email, web, videochiamate — rimane sulla tua connessione e non passa mai attraverso Mirox.
- Gestione automatica delle rotte: l'insieme delle sottoreti di impianto raggiungibili viene derivato dinamicamente dai permessi attuali (ruolo nell'organizzazione, ruolo lavorativo, cooperazioni). Qualsiasi modifica dei permessi aggiorna automaticamente l'insieme delle rotte.
- Alta disponibilità: il tunnel termina su un'infrastruttura multi-regione ad alta disponibilità e si ristabilisce automaticamente verso un punto di ingresso integro se quello attuale si guasta.
Cosa offre la VPN
Tunnel personale verso tutti gli impianti concessi
Una volta installato il profilo VPN, l'utente può indirizzare tutte le reti di impianto per cui dispone di permessi — esattamente come se si trovasse fisicamente sul posto. Questo copre tipicamente:
- Interfacce web di inverter, controller di tracker, data logger, PC dei quadri di controllo
- Accesso SSH ai dispositivi di servizio
- Strumenti diagnostici Modbus / TCP verso i componenti nella rete dell'impianto
- Gli strumenti propri dell'utente che comunicano direttamente con l'infrastruttura dell'impianto
Più impianti con sottoreti locali sovrapposte (ad es. due impianti che usano entrambi 192.168.1.0/24) vengono automaticamente disambiguati dal sistema, in modo che non siano possibili confusioni.
Ciclo di vita del certificato
L'utente controlla il proprio certificato direttamente tramite l'interfaccia della piattaforma:
- Emetti: crea un nuovo profilo VPN. Il file di configurazione completo contenente la chiave privata viene mostrato esattamente una volta nel browser e non viene mai memorizzato nel cloud.
- Ruota: sostituisce l'insieme di chiavi senza eliminare il certificato. Utile ad es. quando si cambia dispositivo o quando si sospetta una compromissione. La nuova chiave privata viene di nuovo mostrata una sola volta.
- Revoca: disabilita immediatamente il certificato. Tutte le connessioni in corso vengono terminate al successivo ciclo di sincronizzazione. La traccia di audit del certificato viene conservata per il periodo di conservazione previsto dalla legge.
Conflitti di rotta e controllo per singola rotta
Le sottoreti raggiungibili derivano dai tuoi permessi e vengono mantenute aggiornate automaticamente (vedi Come le tue rotte restano aggiornate). Due leve a disposizione dell'utente rimangono nelle tue mani:
- I conflitti tra due impianti che usano la stessa sottorete locale vengono contrassegnati in modo visibile nella panoramica delle rotte. Tu decidi quale degli impianti in conflitto ha la priorità per te.
- Le singole rotte possono essere temporaneamente disabilitate da te, ad es. per raggiungere in successione due impianti con intervalli di sottorete identici.
Panoramica delle sessioni
L'utente dispone di una panoramica delle sessioni dedicata al proprio certificato all'interno della piattaforma:
- Connessioni attuali con orario di connessione, origine geografica e volume di dati trasferiti
- Sessioni storiche per la tracciabilità
- Regione e nodo dell'endpoint di terminazione (per una facile diagnostica della latenza)
Questa panoramica è la vista di autotrasparenza dell'utente sul proprio certificato. La traccia di audit completa per la conformità — progettata per soddisfare i requisiti di registrazione degli accessi remoti KRITIS ed EU NIS2 — è gestita separatamente dall'operatore dell'impianto e non fa parte di questa vista — vedi Registro di audit.
Sicurezza e controllo
Chi può emettere un certificato?
Qualsiasi utente autenticato può emettere un proprio certificato — ma il certificato da solo non è sufficiente per raggiungere alcun impianto. Solo i permessi concessi tramite il sistema dei permessi (ruolo nell'organizzazione, ruolo lavorativo, cooperazione) aprono effettivamente le rotte.
Chi può raggiungere quale impianto?
L'accesso VPN a livello di rete è deliberatamente la capacità più strettamente custodita della piattaforma. Le sottoreti di un impianto vengono aggiunte al tuo profilo VPN solo quando detieni il ruolo lavorativo di Operatore su quell'impianto. Questa è una regola unica e autoritativa — disporre di un profilo VPN, o poter visualizzare un impianto, non apre mai una rotta da sola.
Detieni il ruolo di Operatore su un impianto quando esso ti viene concesso in uno di questi modi:
- Direttamente — il ruolo lavorativo di Operatore ti è assegnato su quello specifico impianto o portfolio.
- Ereditato tramite la tua organizzazione — gli Amministratori e i Moderatori dell'organizzazione si mappano su Operatore sugli impianti propri dell'organizzazione.
- Tramite una cooperazione — un'altra organizzazione condivide un impianto con te e la cooperazione concede il ruolo di Operatore; un tecnico esterno con Operatore su un impianto condiviso ottiene le stesse rotte del personale proprio dell'impianto.
Ogni altro ruolo si ferma prima di una rotta di rete, per progettazione:
| Ruolo | Rotta VPN di rete? | Cosa ottiene invece |
|---|---|---|
| Operatore | Sì | Una rotta WireGuard nelle reti dell'impianto |
| Technical Manager (Asset Manager (Technical)) | No | Il Proxy del browser verso le interfacce web dei dispositivi, la visibilità del registro di audit degli accessi e la gestione dei servizi VPN dell'organizzazione |
| Asset Manager (Commercial), Visualizzatore, semplici membri, ospiti, utenti esterni senza il ruolo | No | Nessun percorso verso la rete dell'impianto |
Il risultato è un progetto pulito a livelli: gli Operatori ottengono l'accesso VPN a livello di rete, i Technical Manager lavorano attraverso il Proxy del browser e sorvegliano chi ha raggiunto cosa nell'audit degli accessi, e tutti gli altri non hanno alcuna rotta verso la rete dell'impianto.
Custodia delle chiavi
- La chiave privata viene generata nel browser dell'utente e non lascia mai il dispositivo.
- Mirox conosce solo la chiave pubblica dell'utente e l'IP del tunnel ad esso assegnato.
- In caso di rotazione o revoca, le vecchie chiavi vengono invalidate immediatamente lato server.
Come le tue rotte restano aggiornate
L'elenco degli impianti raggiungibili non è qualcosa che mantieni a mano. Esso viene derivato dai tuoi permessi attivi, e Mirox mantiene i due allineati automaticamente:
- Ricalcolato nel momento in cui un permesso cambia. Quando ti viene concesso Operatore su un nuovo impianto — direttamente, tramite la tua organizzazione o via una cooperazione — il tuo insieme di rotte viene ricalcolato in quello stesso momento, nello stesso passaggio della modifica del permesso.
- I nuovi impianti compaiono senza scaricare nuovamente nulla. Installi il tuo profilo VPN una sola volta. Gli impianti appena autorizzati compaiono nel tuo elenco raggiungibile entro pochi secondi — non devi mai reimportare o reinstallare la configurazione per ottenere l'accesso a un impianto.
- L'accesso revocato viene rimosso e il percorso viene smantellato. Quando un permesso viene tolto — una cooperazione termina, il tuo ruolo lavorativo cambia, un impianto viene eliminato — le rotte corrispondenti vengono rimosse e il percorso di rete verso quell'impianto viene smantellato entro pochi secondi. Non è richiesta alcuna azione manuale.
- Una verifica periodica in background ricontrolla tutti. Indipendentemente da questi aggiornamenti istantanei, un controllo pianificato in background ri-verifica l'accesso di ogni utente su un ciclo ricorrente e corregge qualsiasi rotta che si sia disallineata, in modo che il tuo insieme raggiungibile rifletta sempre i tuoi permessi reali.
Disponibilità multi-regione
La VPN personale è progettata per l'alta disponibilità. Funziona su più regioni di data center indipendenti, con più server VPN WireGuard in ciascuna regione, così che non esista un singolo punto di guasto. L'architettura della piattaforma è progettata per offrire una disponibilità del 99,999%.
- Failover automatico. Il tuo tunnel si collega sempre a un punto di ingresso integro. Se uno diventa non disponibile, la tua connessione viene ristabilita automaticamente verso un altro server integro — non devi riconfigurare nulla.
- Selezione della regione migliore. Quando ti connetti, vieni instradato verso un punto di ingresso che offre una buona raggiungibilità per la tua posizione, selezionato in modo trasparente dal sistema.
- Agenti di impianto supervisionati. L'agente di monitoraggio di ciascun impianto — il componente in loco o nel cloud attraverso cui scorre il traffico VPN — è supervisionato da un livello di orchestrazione che verifica continuamente che l'agente esista e sia pronto. Se un agente si guasta, viene automaticamente ridistribuito o ricollocato su un host integro, così che il guasto di un singolo host non metta a lungo offline un impianto.
L'agente dell'impianto è il punto di ingresso unico
Tutto il traffico VPN verso un impianto scorre attraverso l'agente di monitoraggio proprio di quell'impianto. L'agente è il punto di strozzatura tra Mirox e la rete dell'impianto, e il progetto mantiene stretto quel confine:
- L'agente si connette solo in uscita verso Mirox. Apre una connessione in uscita verso la piattaforma; la rete dell'impianto non deve mai esporre una porta in entrata verso internet perché l'accesso VPN funzioni.
- Nessun agente, nessun accesso. Un impianto è semplicemente irraggiungibile via VPN finché il suo agente non è online. Fino ad allora l'impianto appare come "non ancora raggiungibile" nel tuo elenco di rotte e diventa attivo automaticamente non appena l'agente si connette.
- Limitato al proprio impianto. Ogni agente è confinato alla rete del proprio impianto. È l'unica via di accesso a quell'impianto e non attraversa mai la rete di un altro impianto o di un'altra organizzazione.
Isolamento tra impianti e organizzazioni
Mirox gestisce la VPN come infrastruttura di piattaforma condivisa, ma il traffico di ogni utente è rigorosamente confinato:
- Il tuo tunnel trasporta solo le tue rotte. Ogni connessione è servita dal proprio insieme isolato di rotte, derivato esclusivamente dai tuoi permessi di Operatore.
- Le sottoreti non autorizzate non vengono mai instradate. Le reti di impianto per cui non sei autorizzato non sono semplicemente bloccate — non esiste in primo luogo alcuna rotta verso di esse, quindi non c'è alcun percorso per raggiungerle.
- Le organizzazioni non possono vedersi tra loro. Poiché la raggiungibilità è derivata per ogni utente dalle sue stesse autorizzazioni, le organizzazioni che condividono la piattaforma non possono mai vedere le reti di impianto le une delle altre.
- Difesa in profondità contro la scansione. Oltre all'isolamento delle rotte per utente, i punti di ingresso VPN applicano un rate limiting che protegge dalla scansione e dal probing della rete.
Audit e conformità
Ogni accesso tramite la VPN è completamente sottoposto ad audit dal sistema Mirox. La traccia di audit registra:
- Quale utente si è connesso, quando e da dove
- Quali sottoreti di impianto sono state raggiunte durante la sessione
- Quali dispositivi specifici (IP, protocollo, porta) sono stati interessati e con quale frequenza
- Quanto volume di dati è stato trasferito per sessione e sottorete
La traccia di audit viene conservata per almeno 730 giorni ed è accessibile solo all'organizzazione operatrice responsabile del rispettivo impianto — non all'utente connesso stesso. È progettata per soddisfare i requisiti di registrazione degli accessi remoti delle regole tedesche KRITIS e della direttiva EU NIS2; i record di audit non possono essere modificati né eliminati dagli utenti. Per i dettagli vedi Registro di audit degli accessi.
Distinzione dalle funzionalità correlate
Mirox offre diverse varianti di accesso remoto che è facile confondere. La VPN personale descritta in questa pagina è una delle cinque; la tabella mostra a cosa serve ciascuna e chi la controlla.
| Variante | Scopo | Chi la controlla? |
|---|---|---|
| VPN personale (questa pagina) | Un tunnel personale che raggiunge ogni rete di impianto per cui sei autorizzato | Tu, nell'ambito dei tuoi permessi |
| Servizio VPN di organizzazione | Un tunnel condiviso e gestito dall'organizzazione, distribuito in una regione, con gli impianti instradati attraverso di esso per l'intero team | Amministratore o Moderatore dell'organizzazione |
| VPN diretta dell'impianto — dial-out | L'agente dell'impianto si connette verso una VPN remota esistente del cliente, in modo che Mirox possa raggiungere una rete ospitata dal cliente | Amministratore o Moderatore dell'organizzazione |
| VPN diretta dell'impianto — host | L'agente dell'impianto ospita un endpoint VPN raggiungibile pubblicamente verso cui i siti remoti si connettono; Mirox provisiona automaticamente le chiavi e i certificati | Amministratore o Moderatore dell'organizzazione |
| Proxy del browser | Apri l'interfaccia web di un dispositivo direttamente dal browser, senza alcun client VPN da installare | Operatore dell'impianto (configura i target web) |
La VPN personale è lo strumento giusto per il personale tecnico che ha bisogno di usare in modo produttivo strumenti arbitrari verso i dispositivi di più impianti. Il Proxy del browser è la scelta giusta quando occorre aprire solo l'interfaccia web di un dispositivo — senza installazione di VPN, direttamente dal browser. Le VPN di organizzazione e dirette dell'impianto sono tunnel a livello di infrastruttura gestiti centralmente, anziché un profilo personale che porti con te.
Funzionalità correlate
- Proxy — accesso basato su browser ai dispositivi dell'impianto senza un client VPN
- Registro di audit degli accessi — traccia di audit completa di tutti gli accessi VPN e Proxy
- Sistema dei permessi — controlla quale utente raggiunge quali impianti
- Cooperazioni — condivisione di impianti con organizzazioni terze
- Local Network Inspector — verifiche di raggiungibilità della rete dell'impianto dal lato della piattaforma
- FAQ Accesso remoto — risposte alle domande comuni su accesso VPN e Proxy, instradamento, isolamento e disponibilità