توزيع إدارة مستشعر OT المختلط أو المغطى بالهواء

يساعد Microsoft Defender for IoT المؤسسات على تحقيق الامتثال لبيئة OT الخاصة بها والحفاظ عليه من خلال توفير حل شامل للكشف عن التهديدات وإدارتها، بما في ذلك التغطية عبر الشبكات المتوازية. يدعم Defender for IoT المؤسسات عبر مجالات الصناعة والطاقة والمرافق، ومنظمات التوافق مثل NERC CIP أو IEC62443.

وتحافظ بعض الصناعات، مثل المنظمات الحكومية والخدمات المالية ومشغلي الطاقة النووية والتصنيع الصناعي، على شبكات ذات هواء. يتم فصل الشبكات المكيفة الهواء فعليا عن الشبكات الأخرى غير الآمنة مثل شبكات المؤسسة أو شبكات الضيوف أو الإنترنت. يساعد Defender for IoT هذه المؤسسات على الامتثال للمعايير العالمية للكشف عن التهديدات وإدارتها وتجزئة الشبكة والمزيد.

في حين أن التحول الرقمي ساعد الشركات على تبسيط عملياتها وتحسين خطوطها السفلية، فإنها غالبا ما تواجه احتكاكا مع الشبكات المغطى بالهواء. يوفر العزل في الشبكات المكيفة الهواء الأمان ولكنه يعقد أيضا التحول الرقمي. على سبيل المثال، من الصعب تطبيق التصاميم المعمارية مثل ثقة معدومة، والتي تتضمن استخدام المصادقة متعددة العوامل، عبر الشبكات المكيفة الهواء.

غالبا ما تستخدم الشبكات التي يتم تحديد هوائها لتخزين البيانات الحساسة أو التحكم في الأنظمة المادية الإلكترونية غير المتصلة بأي شبكة خارجية، ما يجعلها أقل عرضة للهجمات الإلكترونية. ومع ذلك، فإن الشبكات المظلة الهواء ليست آمنة تماما ولا يزال من الممكن اختراقها. لذلك من الضروري مراقبة الشبكات المكيفة الهواء للكشف عن أي تهديدات محتملة والاستجابة لها.

توضح هذه المقالة بنية نشر حلول الأمان المختلطة والهوائية، بما في ذلك التحديات وأفضل الممارسات لتأمين ومراقبة الشبكات المختلطة والهوائية. بدلا من الاحتفاظ بجميع البنية الأساسية لصيانة Defender for IoT الموجودة في بنية مغلقة، نوصي بدمج مستشعرات Defender for IoT في البنية الأساسية الحالية ل تكنولوجيا المعلومات، بما في ذلك الموارد المحلية أو البعيدة. يضمن هذا النهج تشغيل عمليات الأمان بسلاسة وكفاءة وسهولة في الصيانة.

توصيات التصميم

تظهر الصورة التالية عينة بنية عالية المستوى لتوصياتنا لمراقبة وصيانة Defender لأنظمة IoT، حيث يتصل كل مستشعر OT بأنظمة إدارة أمان متعددة في السحابة أو في الموقع.

في هذه البنية النموذجية، تتصل ثلاثة أجهزة استشعار بأربعة أجهزة توجيه في مناطق منطقية مختلفة عبر المؤسسة. توجد أجهزة الاستشعار خلف جدار حماية وتتكامل مع البنية الأساسية المحلية لتكنولوجيا المعلومات، مثل خوادم النسخ الاحتياطي المحلية، واتصالات الوصول عن بعد من خلال SASE، وإعادة توجيه التنبيهات إلى حدث أمان محلي ونظام إدارة المعلومات (SIEM).

في هذه الصورة النموذجية، يتم عرض الاتصال للتنبيهات ورسائل syslog وواجهات برمجة التطبيقات في خط أسود خالص. يتم عرض اتصال الإدارة المحلية في خط أرجواني خالص، ويتم عرض اتصال الإدارة السحابية / المختلطة في خط أسود منقط.

تساعدك إرشادات بنية Defender for IoT للشبكات المختلطة والهوائية على:

• استخدام البنية الأساسية التنظيمية الحالية لمراقبة أجهزة استشعار OT وإدارتها، ما يقلل من الحاجة إلى أجهزة أو برامج إضافية
• استخدام عمليات تكامل مكدس الأمان التنظيمية التي تزداد موثوقية وقوة، سواء كنت على السحابة أو محليا
• تعاون مع فرق الأمان العالمية الخاصة بك من خلال تدقيق الوصول إلى الموارد السحابية والمحلية والتحكم فيها، وضمان الرؤية والحماية المتسقة عبر بيئات OT الخاصة بك
• تعزيز نظام أمان OT الخاص بك عن طريق إضافة موارد مستندة إلى السحابة تعزز قدراتك الحالية وتمكنها، مثل التحليل الذكي للمخاطر والتحليلات والأتمتة

خطوات التوزيع

استخدم الخطوات التالية لنشر نظام Defender for IoT في بيئة هوائية أو مختلطة:

1. أكمل نشر كل مستشعر شبكة OT وفقا لخطتك، كما هو موضح في Deploy Defender for IoT لمراقبة OT.

2. لكل أداة استشعار، قم بالخطوات التالية:

   • التكامل مع خوادم SIEM / syslog الشريكة، بما في ذلك إعداد إشعارات البريد الإلكتروني. على سبيل المثال:

     • الاتصال Microsoft Defender for IoT مع Microsoft Sentinel
     • التحقيق في التهديدات واكتشافها لأجهزة IoT
     • إعادة توجيه معلومات تنبيه OT المحلية

   • استخدم Defender for IoT API لإنشاء لوحات معلومات الإدارة. لمزيد من المعلومات، راجع مرجع Defender for IoT API.

   • إعداد وكيل أو وكلاء متسلسلين إلى بيئة الإدارة.

   • إعداد مراقبة السلامة باستخدام خادم SNMP MIB أو عبر CLI. لمزيد من المعلومات، راجع:

     • إعداد مراقبة صحة SNMP MIB على مستشعر OT
     • Defender لمستخدمي IoT CLI والوصول

   • تكوين الوصول إلى واجهة إدارة الخادم، مثل عبر iDRAC أو iLO.

   • تكوين خادم النسخ الاحتياطي، بما في ذلك التكوينات لحفظ النسخة الاحتياطية إلى خادم خارجي. لمزيد من المعلومات، راجع النسخ الاحتياطي واستعادة مستشعرات شبكة OT من وحدة تحكم المستشعر.

الانتقال من وحدة تحكم إدارة محلية قديمة

هام

لن يتم دعم وحدة التحكم الإدارية المحلية القديمة أو متاحة للتنزيل بعد 1 يناير 2025. نوصي بالانتقال إلى البنية الجديدة باستخدام مجموعة كاملة من واجهات برمجة التطبيقات المحلية والسحابات قبل هذا التاريخ.

تم تصميم إرشادات التصميم الحالية لتكون أكثر كفاءة وأمانا وموثوقية من استخدام وحدة التحكم الإدارية المحلية القديمة. تحتوي الإرشادات المحدثة على مكونات أقل، مما يسهل صيانتها واستكشاف الأخطاء وإصلاحها. تسمح تقنية الاستشعار الذكية المستخدمة في البنية الجديدة بالمعالجة المحلية، ما يقلل من الحاجة إلى موارد السحابة وتحسين الأداء. تحافظ الإرشادات المحدثة على بياناتك داخل شبكتك الخاصة، ما يوفر أمانا أفضل من حوسبة السحابة.

إذا كنت عميلا موجودا تستخدم وحدة تحكم إدارة محلية لإدارة مستشعرات OT، نوصي بالانتقال إلى إرشادات البنية المحدثة. تعرض الصورة التالية تمثيلا رسوميا لخطوات الانتقال إلى التوصيات الجديدة:

• في التكوين القديم الخاص بك، يتم توصيل جميع أجهزة الاستشعار بوحدة تحكم الإدارة المحلية.
• أثناء الفترة الانتقالية، تظل أدوات الاستشعار متصلة بوحدة تحكم الإدارة المحلية أثناء توصيل أي أجهزة استشعار ممكنة بالسحابة.
• بعد الانتقال الكامل، ستقوم بإزالة الاتصال بوحدة تحكم الإدارة المحلية، مع الاحتفاظ باتصالات السحابة حيثما أمكن ذلك. يمكن الوصول إلى أي أجهزة استشعار يجب أن تظل مكسوة بالهواء مباشرة من واجهة مستخدم المستشعر.

استخدم الخطوات التالية لانتقال البنية الخاصة بك:

1. لكل من مستشعرات OT الخاصة بك، حدد عمليات التكامل القديمة قيد الاستخدام والأذونات التي تم تكوينها حاليا لفرق الأمان المحلية. على سبيل المثال، ما هي أنظمة النسخ الاحتياطي الموجودة؟ ما هي مجموعات المستخدمين التي تصل إلى بيانات المستشعر؟

2. الاتصال أدوات الاستشعار الخاصة بك إلى موارد السحابة المحلية وAzure وموارد السحابة الأخرى، حسب الحاجة لكل موقع. على سبيل المثال، اتصل ب SIEM محلي وخوادم وكيلة وتخزين النسخ الاحتياطي وأنظمة الشركاء الأخرى. قد يكون لديك مواقع متعددة وتعتمد نهجا مختلطا، حيث يتم الاحتفاظ بمواقع محددة فقط بشكل كامل أو معزولة باستخدام صمام ثنائي للبيانات.

   لمزيد من المعلومات، راجع المعلومات المرتبطة في إجراء النشر المكيف، بالإضافة إلى موارد السحابة التالية:

   • توفير أدوات استشعار لإدارة السحابة
   • مراقبة تهديدات OT في SOCs للمؤسسة
   • تأمين أجهزة IoT في المؤسسة

3. قم بإعداد الأذونات وإجراءات التحديث للوصول إلى أدوات الاستشعار الخاصة بك لمطابقة بنية التوزيع الجديدة.

4. راجع وتحقق من انتقال جميع حالات وإجراءات استخدام الأمان إلى البنية الجديدة.

5. بعد اكتمال الانتقال، قم بإيقاف تشغيل وحدة التحكم بالإدارة المحلية.

المخطط الزمني للإيقاف

يتضمن إيقاف وحدة التحكم بالإدارة المحلية التفاصيل التالية:

• لن تتمكن إصدارات المستشعر التي تم إصدارها بعد 1 يناير 2025 من إدارتها بواسطة وحدة تحكم إدارة محلية.
• ستستمر إصدارات برامج الاستشعار التي تم إصدارها بين 1 يناير 2024 و1 يناير 2025 في دعم إصدار وحدة تحكم الإدارة المحلية.
• يمكن إدارة أجهزة الاستشعار ذات الهواء التي لا يمكنها الاتصال بالسحابة مباشرة عبر وحدة تحكم المستشعر أو CLI أو واجهة برمجة التطبيقات.

لمزيد من المعلومات، راجع إصدارات برامج مراقبة OT.

الخطوات التالية

الاحتفاظ بأجهزة استشعار شبكة OT من وحدة تحكم المستشعر