Defender for IoT وبنية الشبكة
هذه المقالة هي واحدة في سلسلة من المقالات التي تصف مسار النشر لمراقبة OT مع Microsoft Defender ل IoT.
استخدم المحتوى أدناه للتعرف على التقنية التشغيلية الخاصة بك (OT) / بنية شبكة IoT، وحيث يقع كل عنصر من عناصر النظام في طبقات من تجزئة شبكة OT.
طبقات شبكة OT/IoT
تتكون شبكة مؤسستك من العديد من أنواع الأجهزة، والتي يمكن تقسيمها إلى المجموعات الرئيسية التالية:
- أجهزة نقطة النهاية. يمكن أن تتضمن مجموعات فرعية متعددة، مثل الخوادم وأجهزة الكمبيوتر وأجهزة IoT (إنترنت الأشياء) وما إلى ذلك.
- أجهزة الشبكة. خدمة البنية الأساسية مع خدمات الشبكات، ويمكن أن تتضمن مفاتيح الشبكة وجدران الحماية وأجهزة التوجيه ونقاط الوصول.
تم تصميم معظم بيئات الشبكات مع نموذج هرمي من ثلاث طبقات. على سبيل المثال:
الطبقة | الوصف |
---|---|
الوصول | طبقة الوصول هي المكان الذي سيتم فيه تحديد موقع معظم نقاط النهاية. عادة ما يتم تقديم نقاط النهاية هذه بواسطة بوابة افتراضية والتوجيه من الطبقات العليا، وغالبا ما يتم التوجيه من طبقة التوزيع. * البوابة الافتراضية هي خدمة شبكة أو كيان داخل الشبكة الفرعية المحلية المسؤولة عن توجيه نسبة استخدام الشبكة خارج الشبكة المحلية أو مقطع IP. |
التوزيع | طبقة التوزيع مسؤولة عن تجميع طبقات وصول متعددة وتقديم الاتصال إلى الطبقة الأساسية مع خدمات مثل توجيه VLAN وجودة الخدمة وسياسات الشبكة وما إلى ذلك. |
لب | تحتوي الطبقة الأساسية على مزرعة الخوادم الرئيسية للمؤسسة، وتوفر خدمات عالية السرعة وزمن انتقال منخفض عبر طبقة التوزيع. |
نموذج Purdue لبنية الشبكات
يحدد نموذج Purdue المرجعي لنظام التحكم الصناعي (ICS)/OT تجزئة شبكة ست طبقات أخرى، مع مكونات محددة وعناصر تحكم أمنية ذات صلة لكل طبقة.
يقع كل نوع جهاز في شبكة OT في مستوى معين من طراز Purdue، على سبيل المثال، كما هو موضح في الصورة التالية:
يصف الجدول التالي كل مستوى من مستويات نموذج Purdue عند تطبيقه على الأجهزة التي قد تكون لديك في شبكتك:
Name | الوصف |
---|---|
المستوى 0: الخلية والمنطقة | يتكون المستوى 0 من مجموعة واسعة من أدوات الاستشعار ووحدات التشغيل والأجهزة المشاركة في عملية التصنيع الأساسية. تؤدي هذه الأجهزة الوظائف الأساسية لنظام الأتمتة والتحكم الصناعي، مثل: - قيادة محرك - قياس المتغيرات - تعيين إخراج - أداء الوظائف الرئيسية، مثل الرسم واللحام والتقوس |
المستوى 1: التحكم في المعالجة | يتكون المستوى 1 من وحدات تحكم مضمنة تتحكم في عملية التصنيع وتعالجها، وتتمثل وظيفتها الرئيسية في الاتصال بأجهزة المستوى 0. في التصنيع المنفصل، تكون هذه الأجهزة وحدات تحكم منطقية قابلة للبرمجة (PLCs) أو وحدات بيانات تتبع الاستخدام البعيد (RTUs). في عملية التصنيع، تسمى وحدة التحكم الأساسية نظام التحكم الموزع (DCS). |
المستوى 2: الإشراف | يمثل المستوى 2 الأنظمة والوظائف المرتبطة بالإشراف على وقت التشغيل وتشغيل منطقة من مرافق الإنتاج. وتشمل هذه عادة ما يلي: - واجهات المشغل أو واجهات الجهاز البشري (HMIs) - المنبهات أو أنظمة التنبيه - مؤرخ العملية وأنظمة إدارة الدفعات - التحكم في محطات عمل الغرفة تتصل هذه الأنظمة بوحدات تحكم PLC ووحدات RTU في المستوى 1. في بعض الحالات، تقوم بتوصيل البيانات أو مشاركتها مع أنظمة الموقع أو المؤسسة (المستوى 4 والمستوى 5) وتطبيقاتهما. تستند هذه الأنظمة في المقام الأول إلى معدات الحوسبة القياسية وأنظمة التشغيل (Unix أو Microsoft Windows). |
المستويان 3 و3.5: شبكة فرعية مراقَبة صناعية وعلى مستوى الموقع | يمثل مستوى الموقع أعلى مستوى من أنظمة الأتمتة والتحكم الصناعية. تدير الأنظمة والتطبيقات الموجودة على هذا المستوى وظائف التحكم والأتمتة الصناعية على مستوى الموقع. تعتبر المستويات من 0 إلى 3 شديدة الأهمية في عمليات الموقع. قد تتضمن الأنظمة والوظائف الموجودة على هذا المستوى ما يلي: - تقارير الإنتاج (على سبيل المثال، أوقات الدورة، فهرس الجودة، الصيانة التنبؤية) - مؤرخ نبات - جدولة الإنتاج التفصيلية - إدارة العمليات على مستوى الموقع - إدارة الأجهزة والمواد - خادم تشغيل التصحيح - خادم الملفات - المجال الصناعي، Active Directory، الخادم الطرفي تتصل هذه الأنظمة بمنطقة الإنتاج وتشارك البيانات مع أنظمة المؤسسة (المستوى 4 والمستوى 5) وتطبيقاتها. |
المستويان 4 و5: شبكات الأعمال والمؤسسات | يمثل المستوى 4 والمستوى 5 موقع المؤسسة أو شبكتها حيث توجد أنظمة تكنولوجيا المعلومات المركزية ووظائفها. تدير مؤسسة تكنولوجيا المعلومات الخدمات والأنظمة والتطبيقات على هذه المستويات مباشرة. |
وضع مستشعرات OT في شبكتك
عند توصيل مستشعرات شبكة Defender for IoT بالبنية الأساسية للشبكة، فإنها تتلقى حركة مرور متطابقة، مثل من منافذ انعكاس التبديل (SPAN) أو TAPs للشبكة. يتصل منفذ إدارة المستشعر بشبكة إدارة الأعمال أو الشركات أو أجهزة الاستشعار، مثل إدارة الشبكة من مدخل Microsoft Azure.
على سبيل المثال:
تضيف الصورة التالية Defender لموارد IoT إلى نفس الشبكة كما هو موضح سابقا، بما في ذلك منفذ SPAN ومستشعر الشبكة وDefender ل IoT في مدخل Microsoft Azure.
لمزيد من المعلومات، راجع نماذج اتصال شبكة OT النموذجية.
تحديد نقاط المرور المثيرة للاهتمام
عادة ما تكون النقاط المثيرة للاهتمام من منظور الأمان هي الواجهات التي تتصل بين كيان البوابة الافتراضية بالذاكرة الأساسية أو مفتاح التوزيع.
يضمن تحديد هذه الواجهات كنقاط مثيرة للاهتمام مراقبة حركة المرور التي تنتقل من داخل مقطع IP إلى خارج مقطع IP. تأكد أيضا من مراعاة نسبة استخدام الشبكة المفقودة ، وهي نسبة استخدام الشبكة التي كان من المقدر لها في الأصل مغادرة الجزء، ولكن ينتهي بها الأمر إلى البقاء داخل الجزء. لمزيد من المعلومات، راجع تدفقات نسبة استخدام الشبكة في شبكتك.
عند التخطيط لتوزيع Defender for IoT، نوصي بالنظر في العناصر التالية في شبكتك:
الاعتبار | الوصف |
---|---|
أنواع نسبة استخدام الشبكة الفريدة داخل مقطع | ضع في اعتبارك بشكل خاص الأنواع التالية من نسبة استخدام الشبكة داخل مقطع شبكة: البث / الإرسال المتعدد: نسبة استخدام الشبكة المرسلة إلى أي كيان داخل الشبكة الفرعية. باستخدام بروتوكول إدارة مجموعة الإنترنت (IGMP)، يتم تكوين التطفل داخل شبكتك، ولكن لا يوجد ضمان بإعادة توجيه نسبة استخدام الشبكة متعددة الإرسال إلى أي كيان معين. عادة ما يتم إرسال نسبة استخدام الشبكة للبث والبث المتعدد إلى جميع الكيانات في الشبكة الفرعية ل IP المحلية، بما في ذلك كيان البوابة الافتراضي، وبالتالي يتم تغطيتها ومراقبتها أيضا. حركة مرور أحادية: تمت إعادة توجيه حركة المرور مباشرة إلى الوجهة، دون عبور نقاط نهاية الشبكة الفرعية بأكملها، بما في ذلك البوابة الافتراضية. راقب حركة المرور أحادية الحركة باستخدام Defender for IoT عن طريق وضع أدوات الاستشعار مباشرة على مفاتيح الوصول. |
مراقبة كلا دفقي حركة المرور | عند دفق نسبة استخدام الشبكة إلى Defender for IoT، يسمح بعض الموردين والمنتجات بتيار الاتجاه، ما قد يسبب فجوة في بياناتك. من المفيد جدا مراقبة كلا اتجاهي حركة المرور للحصول على معلومات محادثة الشبكة حول الشبكات الفرعية ودقة أفضل بشكل عام. |
البحث عن البوابة الافتراضية للشبكة الفرعية | لكل شبكة فرعية مثيرة للاهتمام، ستكون النقطة المثيرة للاهتمام أي اتصال بالوحدة التي تعمل كبوابة افتراضية للشبكة الفرعية للشبكة. ومع ذلك، في بعض الحالات، هناك نسبة استخدام الشبكة داخل الشبكة الفرعية التي لا تراقبها النقطة العادية المثيرة للاهتمام. مراقبة هذا النوع من نسبة استخدام الشبكة، والتي لا تتم مراقبتها بطريقة أخرى بواسطة التوزيع النموذجي، مفيدة خاصة على الشبكات الفرعية الحساسة. |
نسبة استخدام الشبكة غير النمطية | قد تتطلب مراقبة نسبة استخدام الشبكة التي لا تتم مراقبتها بواسطة التوزيع النموذجي نقاط تدفق إضافية وحلول شبكة اتصال، مثل RSPAN ولمسات الشبكة وما إلى ذلك. لمزيد من المعلومات، راجع طرق النسخ المتطابق لنسبة استخدام الشبكة لمراقبة OT. |
رسم تخطيطي نموذجي لنسبة استخدام الشبكة
يوضح الرسم التخطيطي التالي عينة شبكة في مبنى مكون من ثلاثة طوابق، حيث يضم الطابقان الأول والثاني نقاط النهاية ومفاتيح التبديل، ويضم الطابق الثالث نقاط النهاية ومفاتيح التبديل، ولكن أيضا جدران الحماية ومفاتيح التبديل الأساسية والخادم وأجهزة التوجيه.
يتم عرض حركة المرور التي تنتقل خارج مقطع IP بخط أزرق منقط.
يتم تمييز حركة المرور المثيرة للاهتمام باللون الأحمر، وتشير إلى الأماكن التي نوصي بوضع مستشعرات الشبكة لدفق حركة المرور المثيرة للاهتمام إلى Defender for IoT.
تدفقات نسبة استخدام الشبكة في شبكتك
تتطابق الأجهزة التي تؤدي إلى حركة مرور الشبكة مع قناع الشبكة الفرعية المكون وعنوان IP مع عنوان IP الوجهة لفهم ما يجب أن تكون وجهة نسبة استخدام الشبكة. ستكون وجهة نسبة استخدام الشبكة إما البوابة الافتراضية أو في أي مكان آخر داخل مقطع IP. يمكن أن تؤدي عملية المطابقة هذه أيضا إلى تشغيل عملية ARP للعثور على عنوان MAC لعنوان IP الوجهة.
استنادا إلى نتائج عملية المطابقة، تتبع الأجهزة نسبة استخدام الشبكة الخاصة بها إما نسبة استخدام الشبكة داخل مقطع IP أو خارجه .
نسبة استخدام الشبكة | الوصف | مثال |
---|---|---|
نسبة استخدام الشبكة خارج مقطع IP | عندما لا يتم العثور على وجهة حركة المرور ضمن نطاق قناع الشبكة الفرعية، يرسل جهاز نقطة النهاية حركة المرور إلى البوابة الافتراضية المحددة المسؤولة عن توجيه تدفق نسبة استخدام الشبكة إلى المقاطع الأخرى ذات الصلة. تتدفق أي حركة مرور تنتقل خارج مقطع IP عبر بوابة افتراضية لعبور مقطع الشبكة، كقفزة أولى في المسار إلى وجهتها. ملاحظة: يضمن وضع أداة استشعار شبكة Defender for IoT OT في هذه المرحلة تدفق جميع حركة المرور التي تسافر خارج القطاع إلى Defender for IoT وتحليلها ويمكن التحقيق فيها. |
- تم تكوين جهاز كمبيوتر بعنوان IP ل 10.52.2.201 وقناع شبكة فرعية من 255.255.255.0 . - يقوم الكمبيوتر بتشغيل تدفق شبكة إلى خادم ويب بعنوان IP وجهة ل 10.17.0.88 . - يحسب نظام تشغيل الكمبيوتر عنوان IP الوجهة مع نطاق عناوين IP في المقطع لتحديد ما إذا كان يجب إرسال نسبة استخدام الشبكة محليا أو داخل المقطع أو مباشرة إلى كيان البوابة الافتراضي الذي يمكنه العثور على المسار الصحيح إلى الوجهة. - استنادا إلى نتائج الحساب، يجد نظام التشغيل أنه بالنسبة لنظير IP والشبكة الفرعية ( 10.52.2.17 و 255.255.255.0 )، فإن نطاق المقطع هو 10.52.2.0 - 10.52.2.255 . تعني النتائج أن خادم الويب ليس ضمن مقطع IP نفسه مثل الكمبيوتر، ويجب إرسال نسبة استخدام الشبكة إلى البوابة الافتراضية. |
نسبة استخدام الشبكة داخل مقطع IP | إذا عثر الجهاز على عنوان IP الوجهة داخل نطاق قناع الشبكة الفرعية، فلن تعبر نسبة استخدام الشبكة مقطع IP، وتنتقل داخل المقطع للعثور على عنوان MAC الوجهة. تتطلب نسبة استخدام الشبكة هذه دقة ARP، ما يؤدي إلى تشغيل حزمة بث للعثور على عنوان MAC لعنوان IP الوجهة. |
- تم تكوين جهاز كمبيوتر بعنوان IP ل 10.52.2.17 وقناع شبكة فرعية من 255.255.255.0 . - يقوم هذا الكمبيوتر بتشغيل تدفق شبكة إلى كمبيوتر آخر، بعنوان وجهة . 10.52.2.131 - يحسب نظام تشغيل الكمبيوتر عنوان IP الوجهة مع نطاق عناوين IP في المقطع لتحديد ما إذا كان يجب إرسال نسبة استخدام الشبكة محليا أو داخل المقطع أو مباشرة إلى كيان البوابة الافتراضي الذي يمكنه العثور على المسار الصحيح إلى الوجهة. - استنادا إلى نتائج الحساب، يجد نظام التشغيل أنه بالنسبة لنظير IP والشبكة الفرعية ( 10.52.2.17 و 255.255.255.0 )، فإن نطاق المقطع هو 10.52.2.0 – 10.52.2.255 . تعني النتائج أن عنوان IP الوجهة للكمبيوتر يقع ضمن نفس الجزء مثل الكمبيوتر نفسه، ويجب إرسال نسبة استخدام الشبكة مباشرة على المقطع. |
تنفيذ Defender لتوزيع IoT باستخدام بوابة أحادية الاتجاه
إذا كنت تعمل باستخدام بوابة أحادية الاتجاه، مثل Waterfall أو Owl Cyber Defense أو Hirschmann، حيث تمر البيانات عبر صمام ثنائي للبيانات في اتجاه واحد فقط، فاستخدم إحدى الطرق التالية لفهم مكان وضع مستشعرات OT:
ضع مستشعرات OT خارج محيط الشبكة (مستحسن) . في هذا السيناريو، يتلقى جهاز الاستشعار الخاص بك حركة مرور SPAN من خلال صمام ثنائي، بشكل أحادي الاتجاه من الشبكة إلى منفذ مراقبة المستشعر. نوصي باستخدام هذا الأسلوب في عمليات النشر الكبيرة. على سبيل المثال:
ضع مستشعرات OT داخل محيط الشبكة. في هذا السيناريو، يرسل المستشعر تنبيهات سجل النظام UDP إلى أهداف خارج المحيط من خلال صمام ثنائي للبيانات. على سبيل المثال:
يتم تحديد هواء أجهزة استشعار OT الموضوعة داخل محيط الشبكة ويجب إدارتها محليا. لا يمكنهم الاتصال بالسحابة أو إدارتها من مدخل Microsoft Azure. على سبيل المثال، ستحتاج إلى تحديث أدوات الاستشعار هذه يدويا باستخدام حزم تحليل ذكي للمخاطر جديدة.
إذا كنت تعمل مع شبكة أحادية الاتجاه وتحتاج إلى أجهزة استشعار متصلة بالسحابة تتم إدارتها من مدخل Microsoft Azure، فتأكد من وضع أدوات الاستشعار خارج محيط الشبكة.