Przygotowywanie wdrożenia lokacji OT
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT.
Aby w pełni monitorować sieć, musisz mieć wgląd we wszystkie urządzenia punktu końcowego w sieci. Usługa Microsoft Defender dla IoT odzwierciedla ruch przechodzący przez urządzenia sieciowe do czujników sieciowych usługi Defender for IoT. Czujniki sieciowe OT analizują dane ruchu, wyzwalają alerty, generują zalecenia i wysyłają dane do usługi Defender for IoT na platformie Azure.
Ten artykuł ułatwia zaplanowanie miejsca umieszczania czujników OT w sieci w taki sposób, aby ruch, który chcesz monitorować, był dublowany zgodnie z potrzebami oraz jak przygotować lokację do wdrożenia czujnika.
Wymagania wstępne
Przed zaplanowaniem monitorowania OT dla określonej lokacji upewnij się, że zaplanowano ogólny system monitorowania OT.
Ten krok jest wykonywany przez zespoły ds. architektury.
Dowiedz się więcej o architekturze monitorowania usługi Defender for IoT
Skorzystaj z poniższych artykułów, aby dowiedzieć się więcej o składnikach i architekturze w sieci i systemie Usługi Defender dla IoT:
Tworzenie diagramu sieciowego
Sieć każdej organizacji będzie miała własną złożoność. Utwórz diagram mapy sieciowej, który dokładnie wyświetla listę wszystkich urządzeń w sieci, aby można było zidentyfikować ruch, który chcesz monitorować.
Podczas tworzenia diagramu sieciowego użyj następujących pytań, aby zidentyfikować i zanotować różne elementy w sieci oraz sposób ich komunikowania.
Pytania ogólne
Jakie są ogólne cele monitorowania?
Czy masz jakiekolwiek nadmiarowe sieci i czy istnieją obszary mapy sieci, które nie wymagają monitorowania i można je zignorować?
Gdzie znajdują się zagrożenia bezpieczeństwa i działania sieci?
Pytania dotyczące sieci
Które protokoły są aktywne w monitorowanych sieciach?
Czy sieci VLAN są konfigurowane w projekcie sieci?
Czy istnieje routing w monitorowanych sieciach?
Czy istnieje jakakolwiek komunikacja szeregowa w sieci?
Gdzie są zainstalowane zapory w sieciach, które chcesz monitorować?
Czy istnieje ruch między siecią kontroli przemysłowej (ICS) a siecią biznesową przedsiębiorstwa? Jeśli tak, czy ten ruch jest monitorowany?
Jaka jest fizyczna odległość między przełącznikami a zaporą przedsiębiorstwa?
Czy konserwacja systemu OT odbywa się z urządzeniami stałymi lub przejściowymi?
Przełączanie pytań
Jeśli przełącznik jest w inny sposób niezarządzany, czy można monitorować ruch z przełącznika wyższego poziomu? Jeśli na przykład architektura OT używa topologii pierścienia, monitorowanie wymaga tylko jednego przełącznika w pierścieniu.
Czy przełączniki niezarządzane mogą zostać zastąpione przełącznikami zarządzanymi lub czy jest dostępna opcja taps sieci?
Czy można monitorować sieć VLAN przełącznika lub czy sieć VLAN jest widoczna w innym przełączniku, który można monitorować?
Czy połączenie czujnika sieciowego z przełącznikiem spowoduje zdublowanie komunikacji między kontrolerami HMI i PLC?
Jeśli chcesz podłączyć czujnik sieciowy do przełącznika, czy w szafie przełącznika jest dostępna fizyczna przestrzeń stojaka?
Jaki jest koszt/korzyść monitorowania każdego przełącznika?
Identyfikowanie urządzeń i podsieci, które chcesz monitorować
Ruch, który chcesz monitorować i dublować do czujników sieciowych usługi Defender dla IoT, jest najbardziej interesującym ruchem z punktu widzenia zabezpieczeń lub działania.
Przejrzyj diagram sieciowy OT wraz z inżynierami lokacji, aby zdefiniować, gdzie znajdziesz najbardziej odpowiedni ruch do monitorowania. Zalecamy spełnienie wymagań zarówno w zakresie sieci, jak i zespołów operacyjnych w celu wyjaśnienia oczekiwań.
Razem z zespołem utwórz tabelę urządzeń, które mają być monitorowane, z następującymi szczegółami:
| Specyfikacja | opis |
|---|---|
| Dostawca | Dostawca produkcji urządzenia |
| Nazwa urządzenia | Zrozumiała nazwa bieżącego użycia i odwołania |
| Type | Typ urządzenia, taki jak : Przełącznik, Router, Zapora, Punkt dostępu itd. |
| Warstwa sieci | Urządzenia, które chcesz monitorować, to urządzenia L2 lub L3: - Urządzenia L2 to urządzenia w segmencie ADRESÓW IP - Urządzenia L3 to urządzenia spoza segmentu IP Urządzenia, które obsługują obie warstwy, można traktować jako urządzenia L3. |
| Przekraczanie sieci VLAN | Identyfikatory wszystkich sieci VLAN, które przecinają urządzenie. Na przykład zweryfikuj te identyfikatory sieci VLAN, sprawdzając tryb operacji drzewa obejmującego drzewa w każdej sieci VLAN, aby sprawdzić, czy przecinają skojarzony port. |
| Brama dla | Sieci VLAN, dla których urządzenie działa jako brama domyślna. |
| Szczegóły sieci | Adres IP urządzenia, podsieć, brama D-GW i host DNS |
| Protokoły | Protokoły używane na urządzeniu. Porównaj protokoły z listą obsługiwanych protokołów usługi Defender dla IoT. |
| Obsługiwane dublowanie ruchu | Zdefiniuj, jaki rodzaj dublowania ruchu jest obsługiwany przez każde urządzenie, takie jak SPAN, RSPAN, ERSPAN lub TAP. Użyj tych informacji, aby wybrać metody dublowania ruchu dla czujników OT. |
| Zarządzane przez usługi partnerskie? | Opisz, czy usługa partnerska, taka jak Siemens, Rockwell lub Emerson, zarządza urządzeniem. W razie potrzeby opisz zasady zarządzania. |
| Połączenia szeregowe | Jeśli urządzenie komunikuje się za pośrednictwem połączenia szeregowego, określ protokół komunikacji szeregowej. |
Obliczanie urządzeń w sieci
Oblicz liczbę urządzeń w każdej lokacji, aby można było kupić licencje usługi Defender for IoT o odpowiednim rozmiarze.
Aby obliczyć liczbę urządzeń w każdej lokacji:
Zbierz łączną liczbę urządzeń w witrynie i dodaj je razem.
Usuń dowolne z następujących urządzeń, które nie są identyfikowane jako poszczególne urządzenia przez usługę Defender dla IoT:
- Publiczne internetowe adresy IP
- Grupy z wieloma rzutami
- Grupy emisji
- Nieaktywne urządzenia: urządzenia, które nie mają wykrytej aktywności sieciowej przez ponad 60 dni
Aby uzyskać więcej informacji, zobacz Urządzenia monitorowane przez usługę Defender dla IoT.
Planowanie wdrożenia z wieloma czujnikami
Jeśli planujesz wdrożenie wielu czujników sieciowych, podczas podejmowania decyzji o miejscu umieszczenia czujników należy również wziąć pod uwagę następujące zalecenia:
Przełączniki połączone fizycznie: w przypadku przełączników podłączonych fizycznie za pomocą Ethernet należy zaplanować co najmniej jeden czujnik dla każdego 80 metrów odległości między przełącznikami.
Wiele sieci bez łączności fizycznej: jeśli masz wiele sieci bez żadnej fizycznej łączności między nimi, zaplanuj co najmniej jeden czujnik dla każdej sieci
Przełączniki z obsługą RSPAN: jeśli masz przełączniki, które mogą używać dublowania ruchu RSPAN, zaplanuj co najmniej jeden czujnik dla każdego ośmiu przełączników z lokalnym portem SPAN. Zaplanuj umieszczenie czujnika wystarczająco blisko przełączników, aby można było podłączyć je za pomocą.
Tworzenie listy podsieci
Utwórz zagregowaną listę podsieci, które chcesz monitorować, na podstawie listy urządzeń, które mają być monitorowane w całej sieci.
Po wdrożeniu czujników użyjesz tej listy, aby sprawdzić, czy wymienione podsieci są wykrywane automatycznie i ręcznie aktualizują listę zgodnie z potrzebami.
Wyświetlanie listy planowanych czujników OT
Po zrozumieniu ruchu, który chcesz dublować w usłudze Defender dla IoT, utwórz pełną listę wszystkich czujników OT, które będziesz dołączać.
Dla każdego czujnika lista:
Czy czujnik będzie połączony z chmurą, czy lokalnie zarządzanym czujnikiem
W przypadku czujników połączonych z chmurą używana jest metoda połączenia w chmurze.
Niezależnie od tego, czy będziesz używać urządzeń fizycznych, czy wirtualnych dla czujników, biorąc pod uwagę przepustowość potrzebną do jakości usług (QoS). Aby uzyskać więcej informacji, zobacz Jakie urządzenia są potrzebne?
Lokacja i strefa , którą przypiszesz do każdego czujnika.
Dane pozyskane z czujników w tej samej lokacji lub strefie można wyświetlać razem, podzielone na segmenty z innych danych w systemie. Jeśli istnieją dane czujników, które chcesz wyświetlić pogrupowane razem w tej samej lokacji lub strefie, upewnij się, że odpowiednio przypisz lokacje czujników i strefy.
Metoda dublowania ruchu używana dla każdego czujnika
W miarę rozwoju sieci można dołączyć więcej czujników lub zmodyfikować istniejące definicje czujników.
Ważne
Zalecamy sprawdzenie właściwości urządzeń, które mają być wykrywane przez każdy czujnik, na przykład adresy IP i MAC. Urządzenia, które są wykrywane w tej samej strefie z tym samym logicznym zestawem cech urządzeń, są automatycznie konsolidowane i są identyfikowane jako to samo urządzenie.
Jeśli na przykład pracujesz z wieloma sieciami i cyklicznymi adresami IP, upewnij się, że planujesz każdy czujnik z inną strefą, aby urządzenia zostały prawidłowo zidentyfikowane jako oddzielne i unikatowe urządzenia.
Aby uzyskać więcej informacji, zobacz Oddzielanie stref dla cyklicznych zakresów adresów IP.
Przygotowywanie urządzeń lokalnych
Jeśli używasz urządzeń wirtualnych, upewnij się, że masz skonfigurowane odpowiednie zasoby. Aby uzyskać więcej informacji, zobacz Monitorowanie funkcji OT za pomocą urządzeń wirtualnych.
Jeśli używasz urządzeń fizycznych, upewnij się, że masz wymagany sprzęt. Możesz kupić wstępnie skonfigurowane urządzenia lub zaplanować zainstalowanie oprogramowania na własnych urządzeniach.
Aby kupić wstępnie skonfigurowane urządzenia:
- Przejdź do usługi Defender dla IoT w witrynie Azure Portal.
- Wybierz pozycję Wprowadzenie>Czujnik>Kup wstępnie skonfigurowane urządzenie>Kontakt.
Link otwiera wiadomość e-mail hardware.sales@arrow.comz żądaniem szablonu dla urządzeń usługi Defender dla IoT.
Aby uzyskać więcej informacji, zobacz Jakie urządzenia są potrzebne?
Przygotowywanie sprzętu pomocniczego
Jeśli używasz urządzeń fizycznych, upewnij się, że masz następujący dodatkowy sprzęt dostępny dla każdego urządzenia fizycznego:
- Monitor i klawiatura
- Miejsce w stojaku
- Zasilanie prądem ac
- LAN do połączenia portu zarządzania urządzenia z przełącznikiem sieciowym
- LAN do łączenia portów dublowania (SPAN) i punktów dostępu terminalu sieciowego (TAPs) do urządzenia
Przygotowywanie szczegółów sieci urządzenia
Gdy urządzenia są gotowe, utwórz listę następujących szczegółów dla każdego urządzenia:
- Adres IP
- Podsieć
- Brama domyślna
- Nazwa hosta
- Serwer DNS (opcjonalnie) z adresem IP serwera DNS i nazwą hosta
Przygotowywanie stacji roboczej wdrożenia
Przygotuj stację roboczą, z której można uruchamiać działania wdrażania usługi Defender dla IoT. Stacja robocza może być komputerem z systemem Windows lub Mac, z następującymi wymaganiami:
Oprogramowanie terminalowe, takie jak PuTTY
Obsługiwana przeglądarka do nawiązywania połączenia z konsolami czujników i witryną Azure Portal. Aby uzyskać więcej informacji, zobacz zalecane przeglądarki dla witryny Azure Portal.
Skonfigurowane wymagane reguły zapory z otwartym dostępem dla wymaganych interfejsów. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci.
Przygotowywanie certyfikatów podpisanych przez urząd certyfikacji
Zalecamy używanie certyfikatów podpisanych przez urząd certyfikacji we wdrożeniach produkcyjnych.
Upewnij się, że rozumiesz wymagania dotyczące certyfikatu SSL/TLS dla zasobów lokalnych. Jeśli chcesz wdrożyć certyfikat z podpisem urzędu certyfikacji podczas początkowego wdrażania, upewnij się, że certyfikat został przygotowany.
Jeśli zdecydujesz się wdrożyć za pomocą wbudowanego certyfikatu z podpisem własnym, zalecamy wdrożenie certyfikatu podpisanego przez urząd certyfikacji w środowiskach produkcyjnych później.
Aby uzyskać więcej informacji, zobacz: