Acesso remoto — Perguntas frequentes

Q: 1. Qual é a diferença entre a VPN e o Proxy de navegador?

Ambos alcançam dispositivos da rede de um parque, mas a níveis diferentes. A VPN dá uma ligação de rede completa do seu computador às redes de parque para as quais está autorizado, pelo que qualquer protocolo funciona (web, SSH, Modbus, as suas próprias ferramentas). O Proxy de navegador é mais limitado e mais controlado: abre no seu navegador a interface web HTTP ou HTTPS de um dispositivo específico, sem cliente VPN, alcançando apenas os destinos web que foram configurados. Use o Proxy para tarefas rápidas no navegador e a VPN quando precisar de uma ligação de rede real.

Q: 3. Quem se pode ligar à rede do meu parque através da VPN?

Apenas as pessoas com acesso de nível Operador a esse parque obtêm uma rota VPN até ele — concedida diretamente no parque, herdada através do papel de Administrador ou Moderador da organização, ou recebida através de uma cooperação que atribui o papel de Operador. Os Technical Manager, os Asset Manager, os Visualizadores e os papéis comerciais não recebem conectividade VPN.

Q: 12. Quem pode usar o Proxy?

O Proxy está aberto a um conjunto de papéis mais amplo do que a VPN — Operador e Technical Manager no parque, incluindo os Administradores e Moderadores da organização que correspondem a esses papéis e os membros de cooperações que os detêm; os Visualizadores são recusados. É deliberadamente mais amplo do que a VPN, exclusiva do Operador, porque o raio de impacto do proxy de navegador é muito menor: apenas alcança interfaces web de dispositivos configuradas, nunca a rede bruta do parque.

Q: 13. O Proxy exige autenticação de dois fatores?

Sim. Abrir um dispositivo através do Proxy exige ter ativa a autenticação de dois fatores (TOTP) na sua conta. Sem ela, o Proxy recusa-se a abrir um dispositivo, qualquer que seja o seu papel. O dispositivo pode ainda impor o seu próprio início de sessão, pelo que podem existir duas camadas de autenticação independentes.

Q: 9. Como é que o acesso é retirado — e com que rapidez?

Quando o seu papel é removido, a sua adesão à organização muda ou uma cooperação termina, o parque é removido das suas rotas acessíveis em segundos após a alteração de permissão, e a via de rede é desmantelada pouco depois. Uma verificação periódica em segundo plano volta a verificar cada perfil ativo para corrigir qualquer desvio. A mesma alteração de permissão também retira o acesso ao Proxy.

Q: 20. Cada acesso é registado? Que norma cumpre o registo?

Sim — tanto o acesso por VPN como por Proxy são registados automaticamente. O registo de acesso foi concebido para cumprir os requisitos de registo de acesso remoto da KRITIS da Alemanha e da NIS2 da UE: regista quem se ligou, quando, de onde, a que sub-redes e dispositivos do parque se chegou, que protocolos e portas, e quanto tráfego foi movido; para o Proxy regista também a atividade de pedidos ao nível web. Os registos são conservados durante 730 dias (24 meses) e não podem ser editados nem eliminados pelos utilizadores.

Q: 21. Quem pode ver o registo de acesso? Posso ver as minhas próprias ligações?

O registo de acesso completo de um parque está reservado aos operadores responsáveis por esse parque — de nível Technical Manager ou superior nesse parque, incluindo os técnicos convidados por cooperação. O utilizador que se liga não pode ver o registo de auditoria do operador; pode apenas rever o seu próprio histórico de ligações no seu perfil. Os utilizadores não podem editar nem eliminar os registos de auditoria.

Q: 18. A rede do meu parque precisa de uma porta de entrada aberta?

Não. O agente local liga sempre para fora, para a nuvem da Mirox, pelo que a rede do seu parque só precisa de conectividade de saída. Não é aberta nenhuma porta de entrada, e a rede do parque só é acessível enquanto o túnel de saída do agente estiver ativo. Isto é válido tanto para a VPN como para o Proxy.

Q: 7. Que cifragem usa a VPN?

A VPN pessoal usa WireGuard com criptografia moderna — troca de chaves Curve25519 e cifragem autenticada. A sua chave privada é gerada no seu próprio dispositivo e nunca é armazenada pela Mirox. O túnel é dividido: só o tráfego destinado a redes privadas de parque entra nele, enquanto o seu tráfego de internet normal permanece na sua própria ligação.

Q: 5. Pode um técnico externo obter acesso a um dos meus parques?

Sim, através de uma cooperação, e apenas sob as mesmas regras que o seu próprio pessoal: o acesso por VPN continua a exigir o papel de Operador no parque partilhado, e o acesso por Proxy exige Operador ou Technical Manager. A concessão limita-se exatamente ao que partilha, cada ligação é auditada e pode revogá-la a qualquer momento.

A Mirox dá-lhe duas formas de alcançar os dispositivos da rede de um parque a partir de qualquer lugar: a VPN, uma ligação de rede completa para qualquer protocolo, e o Proxy de navegador, uma via exclusiva do navegador para a interface web de um dispositivo. Esta página responde às perguntas de segurança que ambos levantam — quem se pode ligar, como o acesso é concedido e retirado, o que é registado e como o serviço se mantém disponível. Em resumo: o acesso remoto é uma capacidade deliberadamente escalonada e de privilégio mínimo, cada ligação é atribuída a uma pessoa identificada e registada para fins de conformidade, e a rede do seu parque nunca tem de expor uma porta de entrada. Para as descrições completas de cada funcionalidade, consulte VPN e Proxy; para o detalhe da auditoria, consulte Registo de auditoria de acesso.

Escolher entre a VPN e o Proxy

1. Qual é a diferença entre a VPN e o Proxy de navegador?

Alcançam os dispositivos do parque a dois níveis diferentes. A VPN dá ao seu computador uma ligação de rede real às redes de parque para as quais está autorizado — qualquer protocolo funciona (a interface web de um dispositivo, SSH, Modbus, SNMP ou as suas próprias ferramentas de engenharia), o que é poderoso mas significa que é a forma de acesso mais privilegiada. O Proxy de navegador é a opção deliberadamente mais limitada e mais controlada: abre diretamente no seu navegador a interface web HTTP ou HTTPS de um dispositivo específico, sem nenhum cliente para instalar, e só consegue alcançar os destinos web que foram configurados para um dispositivo — nunca endereços e portas arbitrárias da LAN do parque. Escolha o Proxy para as tarefas quotidianas no navegador; escolha a VPN quando realmente precisar de uma ligação ao nível de rede.

2. Qual devo usar e porque é que têm restrições diferentes?

Use o Proxy quando a tarefa vive num navegador — consultar o portal de um inversor, a interface de um registador de dados, a administração web de um comutador. Use a VPN quando precisar de um protocolo não web ou das suas próprias ferramentas a falar diretamente com os dispositivos. Têm restrições intencionalmente diferentes: a VPN está reservada apenas ao papel Operador, porque um túnel de rede completo tem um grande raio de impacto; o Proxy é aberto a um conjunto de papéis mais amplo porque só consegue alcançar páginas web previamente aprovadas, pelo que o pior caso é muito menor. Restringir com rigor a ferramenta poderosa e abrir mais a ferramenta limitada é o cerne do desenho de privilégio mínimo.

VPN — Acesso e permissões

3. Quem se pode ligar à rede do meu parque através da VPN?

A conectividade VPN é concedida apenas ao papel Operador — é o nível de acesso ao parque mais privilegiado, e é o único papel que materializa rotas VPN. Uma pessoa alcança o nível de Operador de uma de três formas: uma concessão direta de Operador no parque específico, a herança através do papel de Administrador ou Moderador da organização (ambos correspondem a Operador nos parques da sua própria organização), ou através de uma cooperação que atribui o papel de Operador num parque partilhado. Todos os que estão abaixo disso — Technical Manager, Asset Manager (Technical), Asset Manager (Commercial), Visualizador, membros normais e convidados — não recebem uma rota VPN. É um desenho escalonado deliberado: o vasto público do dia a dia nunca obtém um túnel de rede bruto para o parque.

4. O que pode fazer um Technical Manager, se não se pode ligar por VPN?

Um Technical Manager não obtém um túnel de rede, mas não fica excluído do trabalho remoto. Pode usar o Proxy de navegador para abrir diretamente no navegador a interface web de um dispositivo, pode ler o registo de auditoria de acesso completo do parque e, ao nível da organização, pode gerir os serviços VPN da organização e as atribuições a parques. A separação é intencional: o Proxy, exclusivo do navegador, tem um raio de impacto muito menor do que um túnel de rede completo, pelo que é aberto a um conjunto de papéis mais amplo, enquanto a rota VPN bruta permanece reservada ao nível de Operador. Consulte o Sistema de permissões para ver a correspondência completa entre papéis e funções.

5. Pode um técnico externo obter acesso a um dos meus parques?

Sim — através de uma cooperação — e sob exatamente as mesmas regras que o seu próprio pessoal. O acesso por VPN continua a exigir que a cooperação atribua à pessoa externa o papel de Operador no parque partilhado; o acesso por Proxy exige Operador ou Technical Manager. Nenhuma cooperação pode distribuir mais do que aquilo que decide partilhar, cada ligação que o técnico externo faz é registada no registo de auditoria de acesso do seu parque tal como uma interna, e pode reduzir ou revogar a cooperação a qualquer momento, o que retira o seu acesso em segundos.

VPN — Perfis, chaves e encaminhamento

6. Porque é que cada pessoa recebe o seu próprio perfil VPN em vez de um partilhado?

Um perfil pessoal é o que torna possível a responsabilização individual. Como cada ligação está vinculada a uma conta Mirox identificada, o registo de auditoria de conformidade pode responder "quem se ligou" em cada sessão — uma chave partilhada tornaria isso impossível. Um perfil pessoal também permite a cada utilizador rodar ou revogar as suas próprias chaves de forma independente, sem perturbar ninguém, e mantém a custódia da chave do lado do utilizador: a chave privada é gerada no próprio dispositivo do utilizador e nunca é armazenada pela Mirox. A configuração é mostrada apenas uma vez quando a cria ou a roda; se a perder, basta rodar para obter uma nova.

7. Que cifragem usa a VPN?

A VPN pessoal usa WireGuard com criptografia moderna: troca de chaves Curve25519 e cifragem autenticada. A sua chave privada é gerada no seu próprio dispositivo e nunca o abandona — a Mirox só vê a sua chave pública. O túnel é um túnel dividido: só o tráfego destinado a redes privadas de parque entra nele, enquanto o seu tráfego de internet habitual (web, correio, videochamadas) permanece na sua própria ligação e nunca passa pela Mirox. Consulte o guia de configuração da VPN pessoal para saber como emitir e importar o seu perfil.

8. Como aparecem novos parques na minha VPN sem voltar a descarregar nada?

O seu ficheiro de configuração é fixo durante toda a vida do seu perfil — nunca o reimporta quando o seu acesso muda. A parte que muda é mantida do lado da Mirox: o conjunto de sub-redes de parque que o seu perfil pode alcançar é calculado a partir das suas permissões atuais e mantido sincronizado de forma contínua. No momento em que lhe é concedido acesso de Operador a um novo parque, as redes desse parque passam a ser acessíveis através do seu túnel existente, normalmente em segundos, sem reinstalação e sem qualquer ação da sua parte. Um parque cujo agente local ainda não está implementado aparece como "ainda não acessível" e fica ativo automaticamente assim que o seu agente estiver em linha.

VPN — Revogação e isolamento

9. Como é que o acesso é retirado — e com que rapidez?

Quando o seu acesso de Operador termina — porque o seu papel é removido, a sua adesão à organização muda ou uma cooperação é reduzida ou terminada — o parque afetado é removido das suas rotas acessíveis em segundos após a alteração de permissão, e a via de rede é desmantelada pouco depois na reconciliação seguinte. Uma verificação periódica em segundo plano volta a verificar de forma independente cada perfil ativo face às permissões atuais e corrige qualquer rota que já não deveria existir, de modo que um único evento perdido não pode deixar o acesso aberto. A mesma alteração de permissão também retira o seu acesso ao Proxy. Se a sua conta de utilizador for eliminada, o seu acesso remoto para em segundos, ao passo que o histórico de conformidade que gerou é preservado durante o período de retenção legal.

10. Como é que os diferentes parques e organizações são isolados entre si?

A ligação de cada utilizador limita-se a um conjunto isolado de rotas derivado unicamente das próprias autorizações de Operador desse utilizador, mais qualquer âmbito de cooperação explicitamente convidado. As sub-redes para as quais não está autorizado simplesmente nunca são encaminhadas para si — não existe via de rede do seu túnel para as redes de parque de outra organização, e os utilizadores de uma organização não podem ver os de outra. A acessibilidade deriva das permissões de ponta a ponta, pelo que o isolamento é imposto pelo que é encaminhado, e não apenas pelo que é mostrado na interface.

11. O que acontece quando dois parques usam o mesmo intervalo de IP interno?

Isto é tratado explicitamente. Se dois parques que pode alcançar usam ambos o mesmo intervalo local (por exemplo, dois parques em 192.168.1.0/24), o sistema deteta a sobreposição e assinala-a na sua lista de rotas, em vez de adivinhar. Você decide qual dos parques em conflito tem prioridade para si, pelo que nunca há ambiguidade sobre que rede está a alcançar. Também pode desativar temporariamente uma rota para alcançar a outra e depois voltar a trocar.

O Proxy de navegador

12. Quem pode usar o Proxy?

O Proxy está aberto a Operador e Technical Manager no parque — incluindo os Administradores e Moderadores da organização que correspondem a esses papéis, e os membros de cooperações que os detêm. Os Visualizadores e os papéis comerciais são recusados. Isto é deliberadamente mais amplo do que a VPN, exclusiva do Operador, por uma razão: o Proxy só consegue alcançar interfaces web de dispositivos previamente aprovadas, pelo que mesmo no pior caso a exposição é muito menor do que um túnel de rede completo. Configurar que páginas web de dispositivos existem como destinos é, em si mesmo, uma ação de nível Technical Manager ou superior.

13. O Proxy exige autenticação de dois fatores?

Sim. Abrir um dispositivo através do Proxy exige ter ativa a autenticação de dois fatores (TOTP) na sua conta; sem ela, o Proxy recusa-se a abrir um dispositivo, qualquer que seja o seu papel. Isto é mais rigoroso do que o resto da plataforma precisamente porque o Proxy é uma via para equipamento em funcionamento. Para além do seu início de sessão na Mirox e da autenticação em dois passos, o próprio dispositivo pode exigir o seu próprio início de sessão, pelo que existem frequentemente duas camadas de autenticação independentes a proteger um dispositivo.

14. As minhas palavras-passe de dispositivos são armazenadas e quem as pode ver?

As credenciais de dispositivos que guarda para o Proxy (e para as verificações de ligação de dispositivos) são mantidas num cofre de credenciais cifrado, e o acesso para as introduzir ou usar está reservado a Operador e Technical Manager no parque. Nunca são expostas a outros papéis, nunca são mostradas ao assistente de IA e nunca são escritas nos registos. O Proxy trata apenas do transporte e do controlo de acesso do lado da Mirox; a própria autenticação do dispositivo mantém-se em vigor.

15. Pode alguém entrar se eu partilhar uma ligação do proxy?

Não — um URL do proxy não é uma concessão de acesso. O endereço da interface web de um dispositivo através do proxy é estável e pode ser partilhado, mas quem o abrir continua a ter de ter iniciado sessão na Mirox, passar a autenticação de dois fatores e deter o papel exigido nesse parque. Uma ligação, por si só, não alcança nada; a verificação de permissão acontece em cada pedido.

Disponibilidade e resiliência

16. Quão robusto é o acesso remoto — o que acontece se um servidor ou uma região falhar?

A plataforma corre em múltiplas regiões de centros de dados europeus independentes ao mesmo tempo, cada uma a correr a pilha completa, e dentro de cada região o acesso remoto é servido por múltiplos servidores — pelo que não há um único ponto de falha. A sua ligação fixa-se sempre a um ponto de entrada saudável; se um deixar de estar disponível, é restabelecida automaticamente contra outro servidor saudável, e não tem de reconfigurar nada. Combinada com a supervisão automática dos agentes locais, a arquitetura foi concebida para oferecer uma disponibilidade de 99,999%.

17. O que mantém o lado do parque disponível?

O agente local de cada parque é supervisionado por uma camada de orquestração que verifica continuamente tanto a sua existência como a sua prontidão num ciclo curto. Se um agente faltar, deixar de responder ou o seu anfitrião falhar, é automaticamente reiniciado, reimplementado ou realocado para outro anfitrião saudável — sem uma visita ao local. Uma salvaguarda garante que o mesmo agente nunca corre em dois lugares ao mesmo tempo. Como o agente é o que termina a ligação do lado do parque, tanto para a VPN como para o Proxy, esta supervisão é o que mantém o seu parque acessível.

18. A rede do meu parque precisa de uma porta de entrada aberta?

Não. O agente local é sempre a parte que liga para fora, para a nuvem da Mirox; a ligação é estabelecida a partir de dentro da rede do seu parque. A sua firewall, portanto, só precisa de conectividade de saída — não é aberta nenhuma porta de entrada, e nada na internet pública pode iniciar uma ligação para a rede do seu parque. Isto é válido tanto para a VPN como para o Proxy.

19. O agente é a única via para a rede do meu parque?

Sim. A rede do parque passa a ser acessível através da plataforma apenas enquanto o túnel de saída do agente local estiver ativo, e todo o tráfego autorizado — VPN ou Proxy — alcança o parque através desse agente. É o único ponto de entrada, e está limitado ao seu próprio parque: não consegue alcançar, nem é uma via para, qualquer outro parque ou rede.

Auditoria e privacidade

20. Cada acesso é registado? Que norma cumpre o registo?

Sim — cada ligação VPN e cada sessão de Proxy são registadas automaticamente pela plataforma à medida que o tráfego flui; os utilizadores não podem influenciar o que é capturado. O registo de acesso foi concebido para cumprir os requisitos de registo de acesso remoto da KRITIS da Alemanha e da NIS2 da UE. Para cada acesso, regista quem se ligou, quando e de onde (IP de origem e região geográfica), a que sub-redes e dispositivos do parque se chegou e que protocolos e portas; para o Proxy, regista adicionalmente a atividade de pedidos web (o dispositivo alcançado, o número de pedidos e os métodos, o volume de dados). Os registos são conservados durante 730 dias (24 meses) por predefinição e depois eliminados automaticamente. A profundidade desta auditoria é tratada na íntegra na página Registo de auditoria de acesso.

21. Quem pode ver o registo de acesso? Posso ver as minhas próprias ligações?

O registo de acesso completo de um parque só é visível para os operadores responsáveis por esse parque — de nível Technical Manager ou superior no parque, incluindo os técnicos convidados por cooperação. O utilizador que se liga não vê o registo de auditoria do operador; essa vista está reservada à parte com a obrigação de comunicação. Pode, no entanto, rever o seu próprio histórico de ligações a partir do seu perfil: quando cada sessão começou, de que região e IP de origem, a localização aproximada e quantos dados foram movidos. Nem os operadores nem os utilizadores podem editar ou eliminar os registos de auditoria — consulte a secção de retenção e resistência à adulteração do registo de auditoria.

22. A Mirox vê o conteúdo das minhas sessões?

Não. A auditoria regista metadados — ligações, extremidades, portas, protocolos, marcas temporais e volumes de tráfego, além de que páginas web de dispositivos uma sessão de Proxy tocou — não o conteúdo do que faz. As cargas úteis dos pacotes VPN, o corpo das páginas web, as teclas premidas e as gravações de ecrã são deliberadamente não capturadas, porque isso seria simultaneamente problemático para a privacidade e desnecessário para a comunicação de conformidade. O limite de privacidade é descrito em detalhe na secção de privacidade do Registo de auditoria de acesso.

Funcionalidades relacionadas

VPN — o túnel pessoal que alcança todas as redes de parque para as quais está autorizado
Proxy — acesso baseado em navegador às interfaces web dos dispositivos do parque, sem necessidade de cliente VPN
Registo de auditoria de acesso — o registo alinhado com a KRITIS e a NIS2 de todo o acesso por VPN e Proxy
Sistema de permissões — a correspondência entre papéis e funções que decide quem alcança que parques
Configuração da VPN pessoal — guia passo a passo para emitir, rodar e usar o seu perfil VPN