你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

部署混合或实体隔离 OT 传感器管理

Microsoft Defender for IoT 通过提供全面的威胁检测和管理解决方案（包括跨并行网络的覆盖），帮助组织实现和维护其 OT 环境的合规性。 Defender for IoT 支持跨工业、能源和公用事业领域的组织，以及 NERC CIP 或IEC62443 等合规性组织。

某些行业（如政府组织、金融服务、核电运营商和工业制造）维护实体隔离网络。 实体隔离网络在物理上与其他不安全的网络（如企业网络、来宾网络或 Internet）分离。 Defender for IoT 帮助这些组织遵守威胁检测和管理、网络分段等方面的全球标准。

虽然数字转型帮助企业简化了运营并提高了盈利，但他们经常面临与实体隔离网络的摩擦。 实体隔离网络中的隔离提供了安全性，但也使数字转型复杂化。 例如，零信任等体系结构设计（包括使用多重身份验证）在跨实体隔离网络应用方面具有挑战性。

实体隔离网络通常用于存储敏感数据或控制未连接到任何外部网络的网络物理系统，使它们不太容易受到网络攻击。 但是，实体隔离网络并不完全安全，仍可能被攻破。 因此，监视实体隔离网络以检测和应对任何潜在威胁是非常必要的。

本文介绍部署混合和实体隔离安全解决方案的体系结构，包括保护和监视混合网络和实体隔离网络的挑战和最佳做法。 建议将 Defender for IoT 传感器集成到现有的 IT 基础结构（包括现场或远程资源）中，而不是将所有 Defender for IoT 的维护基础结构都包含在一个封闭的体系结构中。 此方法可确保安全运营能够顺利、高效地运行，并且易于维护。

体系结构建议

下图显示了有关 Defender for IoT 系统监视和维护的建议的高级架构示例，其中每个 OT 传感器连接到云端或本地的多个安全管理系统。

在此示例体系结构中，三个传感器连接到组织中不同逻辑区域中的四个路由器。 传感器位于防火墙后面，并与本地的本地 IT 基础结构集成，如本地备份服务器、通过 SASE 的远程访问连接，以及向本地安全信息和事件管理 (SIEM) 系统转发警报。

在此示例图像中，警报、系统日志消息和 API 的通信以黑色实线显示。 本地管理通信以紫色实线显示，云/混合管理通信以黑色虚线显示。

用于混合和实体隔离网络的 Defender for IoT 体系结构指南可帮助你：

• 使用现有组织基础结构，监视和管理 OT 传感器，减少对其他硬件或软件的需求
• 使用越来越可靠且稳健的组织安全堆栈集成（无论你位于云上还是在本地）
• 通过审核和控制对云和本地资源的访问，与全球安全团队协作，确保跨 OT 环境的一致可见性和保护
• 通过添加增强和提高现有功能（如威胁情报、分析和自动化）的基于云的资源，提升 OT 安全系统

部署步骤

使用以下步骤在实体隔离或混合环境中部署 Defender for IoT 系统：

1. 如部署 Defender for IoT 进行 OT 监视中所述，根据计划完成部署每个 OT 网络传感器。

2. 对于每个传感器，执行以下步骤：

   • 与合作伙伴 SIEM/syslog 服务器集成，包括设置电子邮件通知。 例如：

     • 将 Microsoft Defender for IoT 与 Microsoft Sentinel 连接
     • 调查和检测 IoT 设备的威胁
     • 转发本地 OT 警报信息

   • 使用 Defender for IoT API 创建管理仪表板。 有关详细信息，请参阅 Defender for IoT API 参考。

   • 向管理环境设置一个代理或多个链接的代理。

   • 使用 SNMP MIB 服务器或通过 CLI 设置运行状况监视。 有关详细信息，请参阅：

     • 在 OT 传感器上设置 SNMP MIB 运行状况监视
     • Defender for IoT CLI 用户和访问权限

   • 配置对服务器管理接口的访问（例如通过 iDRAC 或 iLO）。

   • 配置备份服务器，包括用于将备份保存到外部服务器的配置。 有关详细信息，请参阅从传感器控制台备份和还原 OT 网络传感器。

从旧版本地管理控制台转换

重要

旧版本地管理控制台在 2025 年 1 月 1 日之后将不受支持或无法下载。 建议在此日期之前过渡到使用全套本地和云 API 的新架构。

当前体系结构指南设计为比使用旧版本地管理控制台更加高效、安全且可靠。 更新后的指南的组件较少，这使得维护和故障排除更容易。 新架构中使用的智能传感器技术允许进行本地处理，从而减少对云资源的需求并提高性能。 更新后的指南将你的数据保留在你自己的网络中，提供了比云计算更好的安全性。

如果你是使用本地管理控制台管理 OT 传感器的现有客户，我们建议转换到更新的体系结构指南。 下图显示了向新推荐项的转换步骤的图形表示形式：

• 在旧配置中，所有传感器都连接到本地管理控制台。
• 在转换期间，传感器保持连接到本地管理控制台，同时你可将任何可能的传感器连接到云。
• 完全转换后，你将删除与本地管理控制台的连接，尽可能保留云连接。 任何必须保持实体隔离的传感器都可直接从传感器 UI 访问。

使用以下步骤转换体系结构：

1. 对于每个 OT 传感器，确认正在使用的旧集成以及当前为本地安全团队配置的权限。 例如，已设有哪些备份系统？ 哪些用户组访问传感器数据？

2. 根据每个站点的需要，将传感器连接到本地、Azure 和其他云资源。 例如，连接到本地 SIEM、代理服务器、备份存储和其他合作伙伴系统。 你可能有多个站点并采用混合方法，其中只有特定的站点使用数据二极管保持完全的实体隔离或隔离。

   有关详细信息，请参阅实体隔离部署过程中链接的信息，以及以下云资源：

   • 预配用于云管理的传感器
   • 企业 SOC 中的 OT 威胁监视
   • 保护企业中的 IoT 设备

3. 设置用于访问传感器的权限和更新过程，以匹配新的部署体系结构。

4. 查看并验证所有安全用例和过程是否已转换到新体系结构。

5. 转换完成后，停用本地管理控制台。

中央管理器的停用时间线

本地管理控制台将于 2025 年 1 月 1 日 停用，具有以下更新/更改：

• 2025 年 1 月 1 日之后发布的传感器版本不会通过本地管理控制台进行管理。
• 对本地管理控制台支持的这些更改不会影响实体隔离传感器支持。 我们继续支持实体隔离部署，并协助向云的转换。 传感器保留完整的用户界面，使它们可在“熄灯”场景中使用，并在发生服务中断时继续分析和保护网络。
• 无法连接到云的实体隔离传感器可直接通过传感器控制台 GUI、CLI 或 API 进行管理。
• 2024 年 1 月 1 日至 2025 年 1 月 1 日期间发布的传感器软件版本仍支持本地管理控制台。

有关详细信息，请参阅 OT 监视软件版本。

后续步骤

从传感器控制台维护 OT 网络传感器