VPN
A VPN da plataforma Mirox proporciona acesso remoto seguro às redes internas de cada parque. Em vez de manter um perfil VPN separado para cada parque, cada utilizador recebe um único perfil VPN pessoal através do qual todos os parques para os quais o utilizador está autorizado se tornam alcançáveis. Alterações de permissões, novos parques, novas sub-redes ou cooperações revogadas refletem-se automaticamente no perfil VPN — sem que o utilizador tenha de o reinstalar.
Conceito
A VPN assenta no WireGuard, um protocolo VPN moderno, leve e cifrado, e está concebida como um túnel pessoal de single sign-on para todas as redes de parque concedidas:
- Um perfil por utilizador: cada utilizador autenticado pode emitir exatamente um perfil VPN pessoal e instalá-lo no seu dispositivo. A plataforma designa este perfil como o seu certificado VPN — é esse o nome de produto para o seu par de chaves WireGuard pessoal; o próprio WireGuard utiliza pares de chaves em vez de certificados X.509.
- Criptografia moderna: o WireGuard utiliza uma troca de chaves Curve25519 (X25519) e cifragem autenticada. A sua chave privada é gerada no seu próprio dispositivo e nunca é armazenada pela Mirox — a Mirox apenas tem acesso à sua chave pública.
- Split tunnel: apenas o tráfego destinado às redes privadas dos parques entra no túnel. O seu tráfego normal de Internet — email, web, videochamadas — permanece na sua própria ligação e nunca passa pela Mirox.
- Gestão automática de rotas: o conjunto de sub-redes de parque alcançáveis é derivado dinamicamente das suas permissões atuais (função na organização, função de trabalho, cooperações). Qualquer alteração de permissão atualiza automaticamente o conjunto de rotas.
- Alta disponibilidade: o túnel termina em infraestrutura multirregião de alta disponibilidade e restabelece-se automaticamente contra um ponto de entrada saudável caso o atual falhe.
O que a VPN entrega
Túnel pessoal para todos os parques concedidos
Uma vez instalado o perfil VPN, o utilizador pode endereçar todas as redes de parque para as quais tem permissões — exatamente como se estivesse fisicamente no local. Isto cobre tipicamente:
- Interfaces web de inversores, controladores de tracker, data loggers, PCs de armário de comando
- Acesso SSH a dispositivos de serviço
- Ferramentas de diagnóstico Modbus / TCP contra componentes da rede do parque
- As ferramentas do próprio utilizador que comunicam diretamente com a infraestrutura do parque
Vários parques com sub-redes locais sobrepostas (por exemplo, dois parques a utilizar ambos 192.168.1.0/24) são automaticamente desambiguados pelo sistema, pelo que não são possíveis confusões.
Ciclo de vida do certificado
O utilizador controla diretamente o seu certificado através da interface da plataforma:
- Emitir: cria um novo perfil VPN. O ficheiro de configuração completo que contém a chave privada é apresentado uma única vez no navegador e nunca é armazenado na cloud.
- Rodar: substitui o conjunto de chaves sem eliminar o certificado. Útil, por exemplo, ao mudar de dispositivo ou em caso de suspeita de comprometimento. A nova chave privada é novamente apresentada apenas uma vez.
- Revogar: desativa o certificado imediatamente. Todas as ligações em curso são terminadas no ciclo de sincronização seguinte. A trilha de auditoria do certificado é mantida durante o período de retenção legalmente exigido.
Conflitos de rotas e controlo por rota
As sub-redes alcançáveis decorrem das suas permissões e são mantidas atualizadas automaticamente (consulte Como as suas rotas se mantêm atualizadas). Dois mecanismos visíveis ao utilizador permanecem nas suas mãos:
- Os conflitos entre dois parques que utilizam a mesma sub-rede local são assinalados de forma visível na vista geral de rotas. O utilizador decide qual dos parques em conflito tem prioridade para si.
- As rotas individuais podem ser temporariamente desativadas pelo utilizador, por exemplo, para alcançar sucessivamente dois parques com intervalos de sub-rede idênticos.
Vista geral de sessões
O utilizador dispõe de uma vista geral de sessões dedicada ao seu próprio certificado, dentro da plataforma:
- Ligações atuais com hora de ligação, origem geográfica e volume de dados transferido
- Sessões históricas para rastreabilidade
- Região e nó do endpoint terminador (para um diagnóstico fácil de latência)
Esta vista geral é a vista de autotransparência do utilizador sobre o seu próprio certificado. A trilha de auditoria de conformidade completa — concebida para cumprir os requisitos de registo de acesso remoto KRITIS e EU NIS2 — é mantida em separado pelo operador do parque e não faz parte desta vista — consulte Registo de Auditoria.
Segurança e controlo
Quem pode emitir um certificado?
Qualquer utilizador autenticado pode emitir o seu próprio certificado — mas o certificado por si só não é suficiente para alcançar qualquer parque. Apenas as permissões concedidas através do sistema de permissões (função na organização, função de trabalho, cooperação) abrem efetivamente rotas.
Quem pode alcançar que parque?
O acesso VPN ao nível da rede é deliberadamente a capacidade mais restrita da plataforma. As sub-redes de um parque são adicionadas ao seu perfil VPN apenas quando detém a função de trabalho de Operador nesse parque. Esta é uma regra única e autoritativa — ter um perfil VPN, ou poder ver um parque, nunca abre uma rota por si só.
Detém a função de Operador num parque quando esta lhe é concedida por qualquer uma destas formas:
- Diretamente — a função de trabalho de Operador é-lhe atribuída nesse parque ou carteira específicos.
- Herdada através da sua organização — os Administradores e Moderadores da organização mapeiam para Operador nos parques da própria organização.
- Através de uma cooperação — outra organização partilha um parque consigo e a cooperação concede a função de Operador; um técnico externo com Operador num parque partilhado obtém as mesmas rotas que o pessoal do próprio parque.
Todas as outras funções ficam aquém de uma rota de rede, por concepção:
| Função | Rota VPN de rede? | O que obtêm em alternativa |
|---|---|---|
| Operador | Sim | Uma rota WireGuard para as redes do parque |
| Technical Manager (Asset Manager (Technical)) | Não | O Proxy de Navegador para as interfaces web dos dispositivos, a visibilidade do registo de auditoria de acessos e a gestão dos serviços VPN da organização |
| Asset Manager (Commercial), Visualizador, membros simples, convidados, utilizadores externos sem a função | Não | Nenhum caminho para a rede do parque |
O resultado é uma concepção em níveis bem definida: os Operadores obtêm acesso VPN ao nível da rede, os Technical Managers trabalham através do Proxy de Navegador e supervisionam quem alcançou o quê no registo de auditoria de acessos, e todos os restantes não têm rota para a rede do parque.
Custódia das chaves
- A chave privada é gerada no navegador do utilizador e nunca sai do dispositivo.
- A Mirox conhece apenas a chave pública do utilizador e o IP do túnel que lhe foi atribuído.
- Em caso de rotação ou revogação, as chaves antigas são invalidadas no servidor imediatamente.
Como as suas rotas se mantêm atualizadas
A sua lista de parques alcançáveis nunca é algo que mantém manualmente. É derivada das suas permissões em tempo real, e a Mirox mantém as duas em sincronia automaticamente:
- Recalculada no momento em que uma permissão muda. Quando lhe é concedido Operador num novo parque — diretamente, através da sua organização ou via uma cooperação — o seu conjunto de rotas é recalculado nesse exato momento, no mesmo passo que a própria alteração de permissão.
- Os novos parques aparecem sem voltar a transferir nada. Instala o seu perfil VPN uma vez. Os parques recém-autorizados surgem na sua lista de alcançáveis em segundos — nunca volta a importar nem reinstala a configuração para obter acesso a um parque.
- O acesso retirado é removido e o caminho é desmontado. Quando uma permissão é retirada — uma cooperação termina, a sua função de trabalho muda, um parque é eliminado — as rotas correspondentes são removidas e o caminho de rede para esse parque é desmontado em segundos. Não é necessária qualquer ação manual.
- Uma verificação periódica em segundo plano reverifica todos. Independentemente destas atualizações instantâneas, uma verificação agendada em segundo plano reverifica o acesso de cada utilizador num ciclo recorrente e corrige qualquer rota que se tenha dessincronizado, para que o seu conjunto de parques alcançáveis reflita sempre as suas permissões reais.
Disponibilidade multirregião
A VPN pessoal foi concebida para alta disponibilidade. Funciona em várias regiões de centro de dados independentes, com vários servidores VPN WireGuard em cada região, pelo que não existe um ponto único de falha. A arquitetura da plataforma foi concebida para entregar 99,999% de disponibilidade.
- Failover automático. O seu túnel liga-se sempre a um ponto de entrada saudável. Se um deixar de estar disponível, a sua ligação é restabelecida automaticamente contra outro servidor saudável — não tem de reconfigurar nada.
- Seleção da melhor região. Ao ligar-se, é encaminhado para um ponto de entrada que oferece boa alcançabilidade para a sua localização, selecionado de forma transparente pelo sistema.
- Agentes de parque supervisionados. O agente de monitorização de cada parque — o componente local ou na cloud através do qual flui o tráfego VPN — é supervisionado por uma camada de orquestração que verifica continuamente que o agente existe e está pronto. Se um agente falhar, é automaticamente reimplementado ou realocado para um anfitrião saudável, pelo que a falha de um único anfitrião não deixa um parque offline durante muito tempo.
O agente do parque é o único ponto de entrada
Todo o tráfego VPN para um parque flui através do agente de monitorização do próprio parque. O agente é o estrangulamento entre a Mirox e a rede do parque, e a concepção mantém essa fronteira estreita:
- O agente apenas estabelece ligações de saída para a Mirox. Abre uma ligação de saída para a plataforma; a rede do parque nunca tem de expor uma porta de entrada à Internet para que o acesso VPN funcione.
- Sem agente, sem acesso. Um parque é simplesmente inalcançável por VPN até o seu agente estar online. Até lá, o parque aparece como "ainda não alcançável" na sua lista de rotas e fica ativo automaticamente assim que o agente se liga.
- Limitado ao seu próprio parque. Cada agente está confinado à rede do seu próprio parque. É a única via de entrada nesse parque e nunca transita para a rede de outro parque ou de outra organização.
Isolamento entre parques e organizações
A Mirox executa a VPN como infraestrutura de plataforma partilhada, mas o tráfego de cada utilizador está estritamente confinado:
- O seu túnel transporta apenas as suas próprias rotas. Cada ligação é servida pelo seu próprio conjunto isolado de rotas, derivado exclusivamente das suas permissões de Operador.
- As sub-redes não autorizadas nunca são encaminhadas. As redes de parque para as quais não está autorizado não são apenas bloqueadas — não existe sequer uma rota para elas, pelo que não há caminho para as alcançar.
- As organizações não conseguem ver-se umas às outras. Como a alcançabilidade é derivada por utilizador a partir das suas próprias autorizações, as organizações que partilham a plataforma nunca conseguem ver as redes de parque umas das outras.
- Defesa em profundidade contra varrimento. Para além do isolamento de rotas por utilizador, os pontos de entrada VPN aplicam limitação de taxa que protege contra varrimento e sondagem de rede.
Auditoria e conformidade
Todos os acessos através da VPN são totalmente auditados pelo sistema Mirox. A trilha de auditoria regista:
- Qual o utilizador que se ligou, quando e a partir de onde
- Que sub-redes de parque foram alcançadas durante a sessão
- Que dispositivos específicos (IP, protocolo, porta) foram acedidos e com que frequência
- Que volume de dados foi transferido por sessão e por sub-rede
A trilha de auditoria é mantida durante pelo menos 730 dias (24 meses) e só é acessível à organização operadora responsável pelo respetivo parque — não ao próprio utilizador ligado. Foi concebida para cumprir os requisitos de registo de acesso remoto das regras KRITIS alemãs e da diretiva EU NIS2; os registos de auditoria não podem ser editados nem eliminados pelos utilizadores. Para detalhes, consulte Registo de Auditoria de Acessos.
Distinção de Funcionalidades Relacionadas
A Mirox oferece várias modalidades de acesso remoto que são fáceis de confundir. A VPN pessoal descrita nesta página é uma de cinco; a tabela mostra para que serve cada uma e quem a controla.
| Modalidade | Finalidade | Quem a controla? |
|---|---|---|
| VPN Pessoal (esta página) | Um túnel pessoal que alcança todas as redes de parque para as quais está autorizado | O próprio utilizador, dentro das suas permissões |
| Serviço VPN da Organização | Um túnel partilhado e gerido pela organização, implementado numa região, com os parques encaminhados através dele para toda a equipa | Administrador ou moderador da organização |
| VPN Direta de Parque — dial-out | O agente do parque liga-se a uma VPN remota existente do cliente, para que a Mirox possa alcançar uma rede alojada pelo cliente | Administrador ou moderador da organização |
| VPN Direta de Parque — host | O agente do parque aloja um endpoint VPN publicamente acessível ao qual os locais remotos se ligam; a Mirox provisiona as chaves e os certificados automaticamente | Administrador ou moderador da organização |
| Proxy de Navegador | Abra a interface web de um dispositivo diretamente a partir do navegador, sem qualquer cliente VPN para instalar | Operador do parque (configura os alvos web) |
A VPN pessoal é a ferramenta certa para o pessoal técnico que precisa de utilizar ferramentas arbitrárias de forma produtiva contra dispositivos em vários parques. O Proxy de Navegador é a opção certa quando apenas é necessário abrir a interface web de um dispositivo — sem instalação de VPN, diretamente a partir do navegador. As VPNs da organização e diretas de parque são túneis ao nível da infraestrutura, geridos centralmente, em vez de um perfil pessoal que se transporta consigo.
Funcionalidades Relacionadas
- Proxy — acesso aos dispositivos do parque via navegador, sem um cliente VPN
- Registo de Auditoria de Acessos — trilha de auditoria completa de todos os acessos VPN e Proxy
- Sistema de Permissões — controla que utilizador alcança que parques
- Cooperações — partilha de parques com organizações terceiras
- Inspetor de Rede Local — verificações de alcançabilidade da rede do parque feitas pela plataforma
- FAQ de Acesso Remoto — respostas a perguntas comuns sobre acesso VPN e Proxy, encaminhamento, isolamento e disponibilidade