Preparar uma implantação de site OT
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.
Para monitorar totalmente sua rede, você precisará de visibilidade em todos os dispositivos de ponto de extremidade da sua rede. O Microsoft Defender para IoT espelha o tráfego que passa por seus dispositivos de rede para sensores de rede do Defender para IoT. Em seguida, os sensores de rede OT analisam seus dados de tráfego, disparam alertas, geram recomendações e enviam dados do Defender para IoT no Azure.
Este artigo ajuda você a planejar onde colocar sensores OT em sua rede para que o tráfego que você deseja monitorar seja espelhado conforme necessário e como preparar seu site para a implantação do sensor.
Pré-requisitos
Antes de planejar o monitoramento de OT para um site específico, verifique se você planejou seu sistema geral de monitoramento de OT.
Esta etapa é executada por suas equipes de arquitetura.
Saiba mais sobre a arquitetura de monitoramento do Defender para IoT
Use os seguintes artigos para entender mais sobre os componentes e a arquitetura em sua rede e no sistema do Defender para IoT:
Criar um diagrama de rede
A rede de cada organização terá sua própria complexidade. Crie um diagrama de mapa de rede que liste detalhadamente todos os dispositivos em sua rede para que você possa identificar o tráfego que deseja monitorar.
Ao criar o diagrama de rede, use as perguntas a seguir para identificar e fazer anotações sobre os diferentes elementos em sua rede e como eles se comunicam.
Perguntas gerais
Quais são suas metas gerais de monitoramento?
Você tem redes redundantes e há áreas do mapa de rede que não precisam de monitoramento e você pode ignorar?
Onde estão os riscos operacionais e de segurança da sua rede?
Perguntas de rede
Quais protocolos estão ativos em redes monitoradas?
As VLANs foram configuradas no design de rede?
Há roteamento nas redes monitoradas?
Há comunicação serial na rede?
Onde estão os firewalls instalados nas redes que você deseja monitorar?
Há tráfego entre uma rede de controle industrial (ICS) e uma rede empresarial de negócios? Nesse caso, esse tráfego é monitorado?
Qual é a distância física entre os seus comutadores e o firewall corporativo?
A manutenção do sistema OT é feita com dispositivos fixos ou transitórios?
Perguntas de alternância
Se um comutador for não gerenciado, você pode monitorar o tráfego em um comutador de nível superior? Por exemplo, se sua arquitetura de OT usar uma topologia de anel, apenas uma opção no anel precisará de monitoramento.
Os comutadores não gerenciados podem ser substituídos por comutadores gerenciados ou o uso da rede de TAPs é uma opção?
Você pode monitorar a VLAN do comutador ou a VLAN está visível em outro comutador que você pode monitorar?
Se você conectar um sensor de rede ao comutador, ele espelhará a comunicação entre o HMI e os PLCs?
Se você quiser conectar um sensor de rede ao comutador, há espaço de rack físico disponível no armário do comutador?
Qual é o custo/benefício de monitorar cada comutador?
Identifique os dispositivos e sub-redes que você deseja monitorar
O tráfego que você deseja monitorar e o espelho para os sensores de rede do Defender para IoT é o tráfego mais interessante para você de uma perspectiva operacional ou de segurança.
Revise seu diagrama de rede OT junto com os engenheiros do site para definir onde você encontrará o tráfego mais relevante para monitoramento. Recomendamos que você se reúna com as equipes operacionais e de rede para esclarecer as expectativas.
Junto com sua equipe, crie uma tabela de dispositivos que você deseja monitorar com os seguintes detalhes:
Especificação | Descrição |
---|---|
Fornecedor | Fornecedor de fabricação do dispositivo |
Nome do dispositivo | Um nome significativo para uso e referência contínuos |
Tipo | O tipo de dispositivo, como: Comutador, Roteador, Firewall, Ponto de Acesso e assim por diante |
Camada de rede | Os dispositivos que você deseja monitorar são dispositivos L2 ou L3: - Dispositivos L2 são dispositivos dentro do segmento IP - Dispositivos L3 são dispositivos fora do segmento de IP Dispositivos que dão suporte a ambas as camadas podem ser considerados como dispositivos L3. |
Cruzando VLANs | As IDs de qualquer VLANs que cruzam o dispositivo. Por exemplo, verifique essas IDs de VLAN verificando o modo de operação de árvore de abrangência em cada VLAN para ver se elas cruzam uma porta associada. |
Gateway para | Os VLANs para os quais o dispositivo atua como um gateway padrão. |
Detalhes da rede | Endereço IP, sub-rede, D-GW e host DNS do dispositivo |
Protocolos | Protocolos usados no dispositivo. Compare seus protocolos com a lista de protocolos com suporte do Defender para IoT pronta para uso. |
Espelhamento de tráfego com suporte | Defina que tipo de espelhamento de tráfego é suportado por cada dispositivo, como SPAN, RSPAN, ERSPAN ou TAP. Use essas informações para escolher métodos de espelhamento de tráfego para seus sensores de OT. |
Gerenciado por serviços de parceiros? | Descreva se um serviço de parceiro, como Siemens, Rockwell ou Emerson, gerencia o dispositivo. Se for relevante, descreva a política de gerenciamento. |
Conexões serial | Se o dispositivo se comunicar por meio de uma conexão serial, especifique o protocolo de comunicação serial. |
Calcular dispositivos em sua rede
Calcule o número de dispositivos em cada site para que você possa adquirir licenças do Defender para IoT no tamanho correto.
Para calcular o número de dispositivos em cada site::
Colete o número total de dispositivos em seu site e some-os.
Remova qualquer um dos seguintes dispositivos que não são identificados como dispositivos individuais pelo Defender for IoT:
- Endereços IP públicos da Internet
- Grupos multicast
- Difundir grupos
- Dispositivos inativos: dispositivos que não têm nenhuma atividade de rede detectada há mais de 60 dias
Para obter mais informações, confira Dispositivos monitorados para o Defender para IoT.
Planejar uma implantação de vários sensores
Se você estiver planejando implantar vários sensores de rede, considere também as seguintes recomendações ao decidir onde colocar seus sensores:
Comutadores fisicamente conectados: Para comutadores fisicamente conectados pelo cabo Ethernet, planeje pelo menos um sensor para cada 80 metros de distância entre os comutadores.
Várias redes sem conectividade física: Se você tiver várias redes sem nenhuma conectividade física entre elas, planeje pelo menos um sensor para cada rede individual
Opções com suporte a RSPAN: se você tiver comutadores que podem usar espelhamento de tráfego RSPAN, planeje pelo menos um sensor para cada oito comutadores, com uma porta SPAN local. Planeje colocar o sensor próximo o suficiente dos comutadores para que você possa conectá-los por cabo.
Criar uma lista de sub-redes
Crie uma lista agregada de sub-redes que você deseja monitorar, com base na lista de dispositivos que você deseja monitorar em toda a rede.
Depois de implantar seus sensores, você usará essa lista para verificar se as sub-redes listadas são detectadas automaticamente e atualizar manualmente a lista conforme necessário.
Listar seus sensores de OT planejados
Depois de entender o tráfego que deseja espelhar para o Defender para IoT, crie uma lista completa de todos os sensores de OT que você integrará.
Para cada sensor, liste:
Se o sensor será um sensor conectado à nuvem ou gerenciado localmente
Para sensores conectados à nuvem, o método de conexão de nuvem que você usará.
Se você usará soluções físicas ou virtuais para seus sensores, considerando a largura de banda necessária para QoS (Qualidade de Serviço). Para obter mais informações, consulte Quais dispositivos eu preciso?
O site e a zona que você atribuirá a cada sensor.
Os dados ingeridos de sensores no mesmo site ou zona podem ser exibidos juntos, segmentados de outros dados em seu sistema. Se houver dados de sensor que você deseja exibir agrupados no mesmo site ou zona, atribua sites e zonas de sensor adequadamente.
O método de espelhamento de tráfego que você usará para cada sensor
À medida que sua rede se expande, você pode integrar mais sensores ou modificar suas definições de sensor existentes.
Importante
Recomendamos verificar as características dos dispositivos que você espera que cada sensor detecte, como endereços IP e MAC. Os dispositivos detectados na mesma zona com o mesmo conjunto lógico de características do dispositivo são consolidados automaticamente e identificados como o mesmo dispositivo.
Por exemplo, se você estiver trabalhando com várias redes e endereços IP recorrentes, planeje cada sensor com uma zona diferente para que os dispositivos sejam identificados corretamente como dispositivos separados e exclusivos.
Para obter mais informações, consulte Separando zonas para intervalos de IP recorrentes.
Preparar dispositivos locais
Se você estiver usando dispositivos virtuais, verifique se você tem os recursos relevantes configurados. Para obter mais informações, confira Monitoramento de OT com soluções de virtualização.
Se você estiver usando dispositivos físicos, verifique se você tem o hardware necessário. Você pode comprar dispositivos pré-configurados ou planejar ainstalação de software em seus próprios dispositivos.
Dispositivos pré-configurados:
- Acesse o Defender para IoT no portal do Azure.
- Selecione Introdução>Sensor>Comprar dispositivo pré-configurado>Contato.
Esse link abre um email para hardware.sales@arrow.com com uma solicitação de modelo para dispositivos do Defender para IoT.
Para obter mais informações, consulte Quais dispositivos eu preciso?
Preparar hardware auxiliar
Se você estiver usando dispositivos físicos, verifique se tem o seguinte hardware extra disponível para cada dispositivo físico:
- Um monitor e um teclado
- Espaço em rack
- Alimentação CA
- Um cabo LAN para conectar a porta de gerenciamento do dispositivo ao comutador de rede
- Cabos LAN para conectar portas de espelho (SPAN) e TAPs (pontos de acesso do terminal de rede) ao seu dispositivo
Preparar detalhes da rede do dispositivo
Quando você tiver seus dispositivos prontos, faça uma lista dos seguintes detalhes para cada dispositivo:
- Endereço IP
- Sub-rede
- Gateway padrão
- Nome do host
- Servidor DNS (opcional), com o endereço IP do servidor DNS e o nome do host
Preparar uma estação de trabalho de implantação
Prepare uma estação de trabalho de onde você pode executar atividades de implantação do Defender para IoT. A estação de trabalho pode ser um computador Windows ou Mac, com os seguintes requisitos:
Software de terminal, como PuTTY
Um navegador com suporte para se conectar a consoles de sensor e ao portal do Azure. Para saber mais, confira Navegadores recomendados para o portal do Azure.
Regras de firewall necessárias configuradas, com acesso aberto para interfaces necessárias. Para obter mais informações, confira Requisitos de rede.
Preparar certificados assinados pela AC
É recomendável usar certificados assinados por AC em implantações de produção.
Certifique-se de entender os requisitos de certificado SSL/TLS para recursos locais. Se você quiser implantar um certificado assinado pela AC durante a implantação inicial, certifique-se de ter o certificado preparado.
Se você decidir implantar com o certificado interno autoassinado, recomendamos implantar um certificado assinado pela AC em ambientes de produção posteriormente.
Para obter mais informações, consulte: