OT センサーのトラフィック ミラーリング方法を選択する
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスを説明する一連の記事の 1 つであり、Microsoft Defender for IoT を使用した OT 監視でサポートされているトラフィック ミラーリング方法について説明します。
使用するトラフィック ミラーリング方法の決定は、ネットワーク構成と組織のニーズによって異なります。
Defender for IoT で監視対象のトラフィックのみが分析されるようにするには、産業用 ICS と SCADA トラフィックのみを含むスイッチまたはターミナル アクセス ポイント (TAP) でトラフィック ミラーリングを構成することをお勧めします。
注意
SPAN と RSPAN は Cisco の用語です。 その他のブランドのスイッチにも類似した機能がありますが、別の用語を使用している場合があります。
ミラーリング ポート スコープの推奨事項
データが接続されていない場合でも、スイッチのすべてのポートからトラフィック ミラーリングを構成することをお勧めします。 そうしないと、後で不正なデバイスが監視されていないポートに接続される可能性があり、それらのデバイスは Defender for IoT ネットワーク センサーで検出されません。
ブロードキャストまたはマルチキャスト メッセージングを使用する OT ネットワークの場合は、RX ("受信") 送信に対してのみトラフィック ミラーリングを構成します。 関連するアクティブなポートに対してマルチキャスト メッセージが繰り返されるため、不必要に多くの帯域幅を使用することになります。
サポートされているトラフィック ミラーリング方法を比較する
Defender for IoT では、次の方法がサポートされています。
Method | 説明 | 詳細情報 |
---|---|---|
スイッチ SPAN ポート | スイッチ上のインターフェイスから同じスイッチ上の別のインターフェイスにローカル トラフィックをミラー化します | スイッチ SPAN ポートを使用してミラーリングを構成する |
リモート SPAN (RSPAN) ポート | 複数の分散ソース ポートからのトラフィックを専用のリモート VLAN にミラー化します | リモート SPAN (RSPAN) ポート リモート SPAN (RSPAN) ポートを使用してトラフィック ミラーリングを構成する |
アクティブまたはパッシブのアグリゲーション (TAP) | アクティブ/パッシブのアグリゲーション TAP をネットワーク ケーブルにインラインでインストールし、OT ネットワーク センサーへのトラフィックを複製します。 フォレンジック監視に最適な方法。 | アクティブまたはパッシブのアグリゲーション (TAP) |
カプセル化されたリモート スイッチド ポート アナライザー (ERSPAN) | 入力インターフェイスを OT センサーの監視インターフェイスにミラー化します | ERSPAN ポート センサーの監視インターフェイスを更新します (ERSPAN を構成します)。 |
ESXi vSwitch | ESXi vSwitch で "Promiscuous モード" を使用してトラフィックをミラー化します。 | 仮想スイッチを使用したトラフィック ミラーリング ESXi vSwitch を使ってトラフィック ミラーリングを構成する |
Hyper-V vSwitch | Hyper-V vSwitch で "Promiscuous モード" を使用してトラフィックをミラー化します。 | 仮想スイッチを使用したトラフィック ミラーリング Hyper-V vSwitch を使用してトラフィック ミラーリングを構成する |
リモート SPAN (RSPAN) ポート
スイッチにリモート SPAN (RSPAN) セッションを構成して、分散された複数の送信元ポートからのトラフィックを専用のリモート VLAN にミラー化します。
その後、VLAN 内のデータは、複数のスイッチにまたがるトランク ポートを介して、物理的な送信先ポートを含む、指定されたスイッチに配信されます。 送信先ポートを OT ネットワーク センサーに接続して、Defender for IoT でトラフィックを監視します。
次の図は、リモート VLAN アーキテクチャの例を示しています。
詳細については、「リモート SPAN (RSPAN) ポートを使用してトラフィック ミラーリングを構成する」を参照してください。
アクティブまたはパッシブのアグリゲーション (TAP)
アクティブまたはパッシブ アグリゲーションを使用してトラフィックをミラーリングする場合、アクティブまたはパッシブ アグリゲーションのターミナル アクセス ポイント (TAP) がネットワーク ケーブルにインラインでインストールされます。 TAP によって "受信" と "送信" トラフィックの両方が OT ネットワーク センサーに複製されるため、Defender for IoT でトラフィックを監視できます。
TAP は、中断されることなくポート間でネットワーク トラフィックを送受信できるようにするハードウェア デバイスです。 TAP によって、ネットワークの整合性を損なうことなく、トラフィック フローの両側の正確なコピーが継続的に作成されます。
次に例を示します。
一部の TAP では、スイッチの構成に応じて、"受信" と "送信" の両方が集計されます。 スイッチでアグリゲーションがサポートされていない場合、各 TAP では OT ネットワーク センサー上の 2 つのポートを使用して "受信 と "送信" トラフィックの両方を監視します。
TAP を使用してトラフィックをミラーリングする利点
特にフォレンジック目的でトラフィックのミラーリングを行う場合に TAP をお勧めします。 TAP を使用してトラフィックをミラーリングする利点としては次のようなことがあります。
TAP はハードウェアベースであり、セキュリティを侵害することはできません
TAP では、すべてのトラフィックが渡されます。これには、スイッチでは破棄されることが多い破損したメッセージも含まれます。
TAP はプロセッサに依存しないため、パケットのタイミングが正確です。 これに対し、スイッチではミラーリング機能は優先順位の低いタスクとして処理されるため、ミラーリングされたパケットのタイミングに影響を与える可能性があります。
また、TAP アグリゲーターを使用してトラフィック ポートを監視することもできます。 ただし、TAP アグリゲーターはプロセッサ ベースではなく、本質的にハードウェアの TAP ほど安全ではありません。 TAP アグリゲーターでは、正確なパケット タイミングが反映されない可能性があります。
一般的な TAP モデル
以下の TAP モデルは Defender for IoT との互換性がテスト済みです。 他の製造元やモデルにも互換性がある場合があります。
Garland P1GCCAS
Garland TAP を使う場合は、集計をサポートするようにネットワークを設定します。 詳細については、Garland インストール ガイドの [Network Diagrams] (ネットワーク図) タブにある「Tap Aggregation」 (タップの集計) の図を参照してください。
IXIA TPA2-CU3
Ixia TAP を使う場合は、集計モードがアクティブであることを確認します。 詳細については、Ixia インストール ガイドを参照してください。
US Robotics USR 4503
US Robotics TAP を使う場合は、選択できるスイッチを AGG に設定することで集計モードをオンに切り替えます。 詳細については、US Robotics インストール ガイドのページを参照してください。
ERSPAN ポート
Defender for IoT を使用してリモート ネットワークをセキュリティで保護する場合は、カプセル化されたリモート スイッチド ポート アナライザー (ERSPAN) を使用して、IP ネットワーク経由の入力インターフェイスを OT センサーの監視インターフェイスにミラーリングします。
センサーの監視インターフェイスは無作為検出インターフェイスであり、特に割り当てられた IP アドレスはありません。 ERSPAN サポートが構成されている場合、GRE トンネル カプセル化によって ERSPAN カプセル化されたトラフィック ペイロードがセンサーによって分析されます。
レイヤー 3 ドメイン間に監視対象トラフィックを拡張する必要がある場合は、ERSPAN カプセル化を使用します。 ERSPAN は Cisco 独自の機能であり、特定のルーターとスイッチでのみ使用できます。 詳細については、Cisco のドキュメントを参照してください。
注意
この記事では、ERSPAN を使用してトラフィック ミラーリングを構成するための大まかなガイダンスを提供します。 具体的な実装の詳細は、使用している機器のベンダーによって異なります。
ERSPAN のアーキテクチャ
ERSPAN セッションには、送信元セッションと、異なるスイッチに構成された送信先セッションが含まれます。 送信元と送信先スイッチの間では、トラフィックは GRE にカプセル化され、レイヤー 3 ネットワーク経由でルーティングできます。
次に例を示します。
ERSPAN では、次のプロセスを使用して、IP ネットワーク経由でミラー化されたトラフィックを転送します。
- 送信元ルーターによってトラフィックがカプセル化され、ネットワーク経由でパケットが送信されます。
- 送信先ルーターでパケットのカプセル化が解除されて、送信先インターフェイスに送信されます。
ERSPAN 送信元オプションには、次のような要素が含まれます。
- イーサネット ポートとポート チャネル
- VLAN。VLAN でサポートされているすべてのインターフェイスは ERSPAN の送信元です
- ファブリック ポート チャネル
- サテライト ポートとホスト インターフェイス ポート チャネル
詳細については、「センサーの監視インターフェイスを更新する (ERSPAN を構成する)」を参照してください。
仮想スイッチを使用したトラフィック ミラーリング
仮想スイッチにはミラーリング機能はありませんが、SPAN ポートと同様に、監視ポートを構成するための回避策として、仮想スイッチ環境で "無作為検出モード" を使用できます。 スイッチの SPAN ポートにより、スイッチ上のインターフェイスから同じスイッチ上の別のインターフェイスにローカル トラフィックがミラーリングされます。
宛先スイッチを OT ネットワーク センサーに接続して、Defender for IoT でトラフィックを監視します。
無作為検出モードは、操作モードであるほか、セキュリティ、監視、および管理の手法でもあります。これは、仮想スイッチまたはポートグループ レベルで定義されています。 無作為検出モードが使用されている場合、同じポートグループにある、仮想マシンのネットワーク インターフェイスで、その仮想スイッチを通過するすべてのネットワーク トラフィックを表示できます。 既定では、無作為検出モードはオフになっています。
詳細については、次を参照してください。