Plánování monitorovacího systému OT pomocí defenderu pro IoT
Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.
V následujícím obsahu se dozvíte, jak naplánovat celkové monitorování OT pomocí Microsoft Defenderu pro IoT, včetně webů, které budete monitorovat, skupin uživatelů a typů a dalších.
Předpoklady
Než začnete plánovat nasazení monitorování OT, ujistěte se, že máte předplatné Azure a plán OT onboarded Defender for IoT. Další informace najdete v tématu Spuštění zkušební verze Microsoft Defenderu pro IoT.
Tento krok provádí týmy architektury.
Plánování lokalit a zón OT
Při práci se sítěmi OT doporučujeme uvést seznam všech umístění, ve kterých má vaše organizace prostředky připojené k síti, a pak je segmentovat do lokalit a zón.
Každé fyzické umístění může mít vlastní lokalitu, která je dále segmentována do zón. Každému síťovému senzoru OT přidružíte konkrétní lokalitu a zónu, takže každý senzor pokrývá jenom určitou oblast sítě.
Používání lokalit a zón podporuje principy nulová důvěra (Zero Trust) a poskytuje dodatečné podrobnosti monitorování a vytváření sestav.
Pokud má vaše rostoucí společnost například továrny a kanceláře v Paříži, Lagosu, Dubaji a Tianjinu, můžete síť segmentovat takto:
| Lokalita | Zóny |
|---|---|
| Kancelář v Paříži | - Přízemí (hosté) - Podlaha 1 (Prodej) - Podlaha 2 (executive) |
| Kancelář Lagos | - Přízemí (kanceláře) - Podlahy 1-2 (továrna) |
| Kancelář v Dubaji | - Přízemí (kongresové centrum) - Podlaha 1 (Prodej) - Podlaha 2 (kanceláře) |
| Kancelář tchien-tchien | - Přízemí (kanceláře) - Podlahy 1-2 (továrna) |
Pokud neplánujete žádné podrobné weby a zóny, Defender for IoT stále používá výchozí web a zónu pro přiřazení ke všem senzorům OT.
Další informace najdete v tématu nulová důvěra (Zero Trust) a sítích OT.
Oddělení zón pro opakované rozsahy IP adres
Každá zóna může podporovat více senzorů a pokud nasazujete Defender pro IoT ve velkém měřítku, může každý senzor detekovat různé aspekty stejného zařízení. Defender for IoT automaticky konsoliduje zařízení zjištěná ve stejné zóně se stejnou logickou kombinací charakteristik zařízení, jako je stejná IP adresa a adresa MAC.
Pokud pracujete s několika sítěmi a máte jedinečná zařízení s podobnými vlastnostmi, jako jsou opakované rozsahy IP adres, přiřaďte každý senzor do samostatné zóny, aby Defender for IoT věděl rozlišovat mezi zařízeními a identifikuje každé zařízení jedinečně.
Například vaše síť může vypadat jako na následujícím obrázku, přičemž šest segmentů sítě je logicky přidělených napříč dvěma lokalitami a zónami Defenderu pro IoT. Všimněte si, že tento obrázek ukazuje dva segmenty sítě se stejnými IP adresami z různých výrobních linek.
V tomto případě doporučujeme oddělit lokalitu 2 do dvou samostatných zón, aby zařízení v segmentech s opakovanými IP adresami nebyla nesprávně konsolidovaná a v inventáři zařízení jsou označená jako samostatná a jedinečná zařízení.
Příklad:
Plánování uživatelů
Zjistěte, kdo ve vaší organizaci bude používat Defender for IoT a jaké jsou jejich případy použití. I když vaše centrum pro provoz zabezpečení (SOC) a IT pracovníci budou nejběžnějšími uživateli, možná budete mít ve vaší organizaci další uživatele, kteří budou potřebovat přístup pro čtení k prostředkům v Azure nebo místním prostředkům.
Přiřazení uživatelů v Azure jsou založená na jejich rolích Microsoft Entra ID a RBAC. Pokud síť segmentujete do více lokalit, rozhodněte se, která oprávnění budete chtít použít pro každou lokalitu.
Síťové senzory OT podporují synchronizace místních uživatelů i služby Active Directory. Pokud budete používat Active Directory, ujistěte se, že máte podrobnosti o přístupu pro server Služby Active Directory.
Další informace naleznete zde:
- Správa uživatelů v programu Microsoft Defender for IoT
- Role a oprávnění uživatelů Azure pro Defender for IoT
- Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT
Plánování připojení senzoru OT a správy
U senzorů připojených ke cloudu určete, jak budete jednotlivé senzory OT připojovat k Defenderu pro IoT v cloudu Azure, například jaký druh proxy serveru budete potřebovat. Další informace najdete v tématu Metody připojení senzorů k Azure.
Pokud pracujete v prostředí s mezerou vzduchu nebo v hybridním prostředí a budete mít několik místně spravovaných síťových senzorů OT, můžete chtít naplánovat nasazení místní konzoly pro správu, abyste nakonfigurovali nastavení a zobrazili data z centrálního umístění. Další informace najdete v cestě nasazení správy snímačů OT, která je zachovaná v prostředí.
Plánování místních certifikací SSL/TLS
Doporučujeme používat certifikát SSL/TLS podepsaný certifikační autoritou s produkčním systémem, abyste zajistili trvalé zabezpečení vašich zařízení.
Naplánujte, které certifikáty a kterou certifikační autoritu (CA) budete používat pro každý senzor OT, jaké nástroje použijete k vygenerování certifikátů a jaké atributy budete do každého certifikátu zahrnout.
Další informace najdete v tématu Požadavky na certifikát SSL/TLS pro místní prostředky.