توزيع إدارة مستشعر OT المختلط أو المغطى بالهواء

يساعد Microsoft Defender for IoT المؤسسات على تحقيق الامتثال لبيئة OT الخاصة بها والحفاظ عليه من خلال توفير حل شامل للكشف عن التهديدات وإدارتها، بما في ذلك التغطية عبر الشبكات المتوازية. يدعم Defender for IoT المؤسسات عبر مجالات الصناعة والطاقة والمرافق، ومنظمات التوافق مثل NERC CIP أو IEC62443.

وتحافظ بعض الصناعات، مثل المنظمات الحكومية والخدمات المالية ومشغلي الطاقة النووية والتصنيع الصناعي، على شبكات ذات هواء. يتم فصل الشبكات المكيفة الهواء فعليا عن الشبكات الأخرى غير الآمنة مثل شبكات المؤسسة أو شبكات الضيوف أو الإنترنت. يساعد Defender for IoT هذه المؤسسات على الامتثال للمعايير العالمية للكشف عن التهديدات وإدارتها وتجزئة الشبكة والمزيد.

في حين أن التحول الرقمي ساعد الشركات على تبسيط عملياتها وتحسين خطوطها السفلية، فإنها غالبا ما تواجه احتكاكا مع الشبكات المغطى بالهواء. يوفر العزل في الشبكات المكيفة الهواء الأمان ولكنه يعقد أيضا التحول الرقمي. على سبيل المثال، من الصعب تطبيق التصاميم المعمارية مثل ثقة معدومة، والتي تتضمن استخدام المصادقة متعددة العوامل، عبر الشبكات المكيفة الهواء.

غالبا ما تستخدم الشبكات التي يتم تحديد هوائها لتخزين البيانات الحساسة أو التحكم في الأنظمة المادية الإلكترونية غير المتصلة بأي شبكة خارجية، ما يجعلها أقل عرضة للهجمات الإلكترونية. ومع ذلك، فإن الشبكات المظلة الهواء ليست آمنة تماما ولا يزال من الممكن اختراقها. لذلك من الضروري مراقبة الشبكات المكيفة الهواء للكشف عن أي تهديدات محتملة والاستجابة لها.

توضح هذه المقالة بنية نشر حلول الأمان المختلطة والهوائية، بما في ذلك التحديات وأفضل الممارسات لتأمين ومراقبة الشبكات المختلطة والهوائية. بدلا من الاحتفاظ بجميع البنية الأساسية لصيانة Defender for IoT الموجودة في بنية مغلقة، نوصي بدمج مستشعرات Defender for IoT في البنية الأساسية الحالية ل تكنولوجيا المعلومات، بما في ذلك الموارد المحلية أو البعيدة. يضمن هذا النهج تشغيل عمليات الأمان بسلاسة وكفاءة وسهولة في الصيانة.

توصيات التصميم

تظهر الصورة التالية عينة بنية عالية المستوى لتوصياتنا لمراقبة وصيانة Defender لأنظمة IoT، حيث يتصل كل مستشعر OT بأنظمة إدارة أمان متعددة في السحابة أو في الموقع.

رسم تخطيطي للبنية الجديدة للدعم المختلط والهوائي.

في هذه البنية النموذجية، تتصل ثلاثة أجهزة استشعار بأربعة أجهزة توجيه في مناطق منطقية مختلفة عبر المؤسسة. توجد أجهزة الاستشعار خلف جدار حماية وتتكامل مع البنية الأساسية المحلية لتكنولوجيا المعلومات، مثل خوادم النسخ الاحتياطي المحلية، واتصالات الوصول عن بعد من خلال SASE، وإعادة توجيه التنبيهات إلى حدث أمان محلي ونظام إدارة المعلومات (SIEM).

في هذه الصورة النموذجية، يتم عرض الاتصال للتنبيهات ورسائل syslog وواجهات برمجة التطبيقات في خط أسود خالص. يتم عرض اتصال الإدارة المحلية في خط أرجواني خالص، ويتم عرض اتصال الإدارة السحابية / المختلطة في خط أسود منقط.

تساعدك إرشادات بنية Defender for IoT للشبكات المختلطة والهوائية على:

  • استخدام البنية الأساسية التنظيمية الحالية لمراقبة أجهزة استشعار OT وإدارتها، ما يقلل من الحاجة إلى أجهزة أو برامج إضافية
  • استخدام عمليات تكامل مكدس الأمان التنظيمية التي تزداد موثوقية وقوة، سواء كنت على السحابة أو محليا
  • تعاون مع فرق الأمان العالمية الخاصة بك من خلال تدقيق الوصول إلى الموارد السحابية والمحلية والتحكم فيها، وضمان الرؤية والحماية المتسقة عبر بيئات OT الخاصة بك
  • تعزيز نظام أمان OT الخاص بك عن طريق إضافة موارد مستندة إلى السحابة تعزز قدراتك الحالية وتمكنها، مثل التحليل الذكي للمخاطر والتحليلات والأتمتة

خطوات التوزيع

استخدم الخطوات التالية لنشر نظام Defender for IoT في بيئة هوائية أو مختلطة:

  1. أكمل نشر كل مستشعر شبكة OT وفقا لخطتك، كما هو موضح في Deploy Defender for IoT لمراقبة OT.

  2. لكل أداة استشعار، قم بالخطوات التالية:

الانتقال من وحدة تحكم إدارة محلية قديمة

هام

لن يتم دعم وحدة التحكم الإدارية المحلية القديمة أو متاحة للتنزيل بعد 1 يناير 2025. نوصي بالانتقال إلى البنية الجديدة باستخدام مجموعة كاملة من واجهات برمجة التطبيقات المحلية والسحابات قبل هذا التاريخ.

تم تصميم إرشادات التصميم الحالية لتكون أكثر كفاءة وأمانا وموثوقية من استخدام وحدة التحكم الإدارية المحلية القديمة. تحتوي الإرشادات المحدثة على مكونات أقل، مما يسهل صيانتها واستكشاف الأخطاء وإصلاحها. تسمح تقنية الاستشعار الذكية المستخدمة في البنية الجديدة بالمعالجة المحلية، ما يقلل من الحاجة إلى موارد السحابة وتحسين الأداء. تحافظ الإرشادات المحدثة على بياناتك داخل شبكتك الخاصة، ما يوفر أمانا أفضل من حوسبة السحابة.

إذا كنت عميلا موجودا تستخدم وحدة تحكم إدارة محلية لإدارة مستشعرات OT، نوصي بالانتقال إلى إرشادات البنية المحدثة. تعرض الصورة التالية تمثيلا رسوميا لخطوات الانتقال إلى التوصيات الجديدة:

رسم تخطيطي للانتقال من وحدة تحكم إدارة محلية قديمة إلى التوصيات الأحدث.

  • في التكوين القديم الخاص بك، يتم توصيل جميع أجهزة الاستشعار بوحدة تحكم الإدارة المحلية.
  • أثناء الفترة الانتقالية، تظل أدوات الاستشعار متصلة بوحدة تحكم الإدارة المحلية أثناء توصيل أي أجهزة استشعار ممكنة بالسحابة.
  • بعد الانتقال الكامل، ستقوم بإزالة الاتصال بوحدة تحكم الإدارة المحلية، مع الاحتفاظ باتصالات السحابة حيثما أمكن ذلك. يمكن الوصول إلى أي أجهزة استشعار يجب أن تظل مكسوة بالهواء مباشرة من واجهة مستخدم المستشعر.

استخدم الخطوات التالية لانتقال البنية الخاصة بك:

  1. لكل من مستشعرات OT الخاصة بك، حدد عمليات التكامل القديمة قيد الاستخدام والأذونات التي تم تكوينها حاليا لفرق الأمان المحلية. على سبيل المثال، ما هي أنظمة النسخ الاحتياطي الموجودة؟ ما هي مجموعات المستخدمين التي تصل إلى بيانات المستشعر؟

  2. قم بتوصيل أدوات الاستشعار الخاصة بك بالموارد السحابية المحلية وAzure وموارد السحابة الأخرى، حسب الحاجة لكل موقع. على سبيل المثال، اتصل ب SIEM محلي وخوادم وكيلة وتخزين النسخ الاحتياطي وأنظمة الشركاء الأخرى. قد يكون لديك مواقع متعددة وتعتمد نهجا مختلطا، حيث يتم الاحتفاظ بمواقع محددة فقط بشكل كامل أو معزولة باستخدام صمام ثنائي للبيانات.

    لمزيد من المعلومات، راجع المعلومات المرتبطة في إجراء النشر المكيف، بالإضافة إلى موارد السحابة التالية:

  3. قم بإعداد الأذونات وإجراءات التحديث للوصول إلى أدوات الاستشعار الخاصة بك لمطابقة بنية التوزيع الجديدة.

  4. راجع وتحقق من انتقال جميع حالات وإجراءات استخدام الأمان إلى البنية الجديدة.

  5. بعد اكتمال الانتقال، قم بإيقاف تشغيل وحدة التحكم بالإدارة المحلية.

الجدول الزمني للإيقاف للمدير المركزي

سيتم إيقاف وحدة التحكم بالإدارة المحلية في 1 يناير 2025 مع التحديثات/التغييرات التالية:

  • لن تتم إدارة إصدارات المستشعر التي تم إصدارها بعد 1 يناير 2025 بواسطة وحدة تحكم إدارة محلية.
  • لا يتأثر دعم أداة الاستشعار المكيفة الهواء بهذه التغييرات على دعم وحدة تحكم الإدارة المحلية. نستمر في دعم عمليات النشر المظلة والمساعدة في الانتقال إلى السحابة. تحتفظ أجهزة الاستشعار بواجهة مستخدم كاملة بحيث يمكن استخدامها في سيناريوهات "الانطفاء" والاستمرار في تحليل الشبكة وتأمينها في حالة انقطاع التيار الكهربائي.
  • يمكن إدارة أجهزة الاستشعار التي يتم تحديد هواءها والتي لا يمكنها الاتصال بالسحابة مباشرة عبر واجهة المستخدم الرسومية لوحدة الاستشعار أو CLI أو واجهة برمجة التطبيقات.
  • لا تزال إصدارات برامج الاستشعار التي تم إصدارها بين 1 يناير 2024 و1 يناير 2025 تدعم وحدة التحكم بالإدارة المحلية.

لمزيد من المعلومات، راجع إصدارات برامج مراقبة OT.

الخطوات التالية