Příprava nasazení lokality OT
Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defender pro IoT.
K úplnému monitorování sítě budete potřebovat přehled o všech koncových zařízeních v síti. Microsoft Defender for IoT zrcadlí provoz, který prochází vašimi síťovými zařízeními do síťových senzorů Defenderu for IoT. Síťové senzory OT pak analyzují vaše data o provozu, aktivují upozornění, generují doporučení a posílají data do Defenderu for IoT v Azure.
Tento článek vám pomůže naplánovat, kam umístit senzory OT ve vaší síti, aby se provoz, který chcete monitorovat, zrcadlil podle potřeby a jak připravit lokalitu na nasazení senzorů.
Požadavky
Před plánováním monitorování OT pro konkrétní lokalitu se ujistěte, že jste naplánovali celkový systém monitorování OT.
Tento krok provádějí týmy architektury.
Informace o architektuře monitorování služby Defender for IoT
V následujících článcích se dozvíte více o komponentách a architektuře ve vaší síti a v systému Defender for IoT:
Vytvoření síťového diagramu
Síť každé organizace bude mít svou vlastní složitost. Vytvořte diagram mapy sítě, který důkladně vypíše všechna zařízení v síti, abyste mohli identifikovat provoz, který chcete monitorovat.
Při vytváření síťového diagramu použijte následující otázky k identifikaci a psaní poznámek o různých prvech v síti a o tom, jak komunikují.
Obecné otázky
Jaké jsou vaše celkové cíle monitorování?
Máte nějaké redundantní sítě a existují oblasti vaší mapy sítě, které nepotřebují monitorování a můžete je ignorovat?
Kde jsou bezpečnostní a provozní rizika vaší sítě?
Otázky týkající se sítě
Které protokoly jsou aktivní v monitorovaných sítích?
Jsou sítě VLAN nakonfigurované v návrhu sítě?
Existuje v monitorovaných sítích nějaké směrování?
Je v síti nějaká sériová komunikace?
Kde jsou v sítích, které chcete monitorovat, nainstalované brány firewall?
Dochází k provozu mezi sítí průmyslového řízení (ICS) a podnikovou nebo podnikovou sítí? Pokud ano, je tento provoz monitorovaný?
Jaká je fyzická vzdálenost mezi přepínači a podnikovou bránou firewall?
Provádí se údržba systému OT pomocí pevných nebo přechodných zařízení?
Přepnout otázky
Pokud je přepínač jinak nespravovaný, můžete monitorovat provoz z přepínače vyšší úrovně? Pokud například architektura OT používá kruhovou topologii, potřebuje monitorování jenom jeden přepínač v okruhu.
Je možné nespravované přepínače nahradit spravovanými přepínači, nebo je použití síťových tapků možné?
Můžete monitorovat síť VLAN přepínače, nebo je síť VLAN viditelná v jiném přepínači, který můžete monitorovat?
Pokud k přepínači připojíte síťový senzor, bude zrcadlit komunikaci mezi HMI a PLC?
Pokud chcete k přepínači připojit síťový senzor, je v skříni přepínače k dispozici fyzické místo v racku?
Jaké jsou náklady a výhody monitorování jednotlivých přepínačů?
Identifikace zařízení a podsítí, které chcete monitorovat
Provoz, který chcete monitorovat a zrcadlit do síťových senzorů Defenderu for IoT, je ten, který je pro vás nejzajímavější z hlediska zabezpečení nebo provozu.
Prohlédněte si diagram sítě OT společně s techniky vaší lokality a definujte, kde najdete nejrelevantní provoz pro monitorování. Doporučujeme, abyste se sešli se síťovým i provozním týmem, abyste si objasnili očekávání.
Společně se svým týmem vytvořte tabulku zařízení, která chcete monitorovat, s následujícími podrobnostmi:
| Specifikace | Description |
|---|---|
| Dodavatel | Výrobce zařízení |
| Název zařízení | Smysluplný název pro průběžné používání a odkazy |
| Typ | Typ zařízení, například : Přepínač, Směrovač, Brána firewall, Přístupový bod atd. |
| Síťová vrstva | Zařízení, která budete chtít monitorovat, jsou zařízení L2 nebo L3: - Zařízení L2 jsou zařízení v rámci segmentu IP adres. - Zařízení L3 jsou zařízení mimo segment IP adres. Zařízení, která podporují obě vrstvy, lze považovat za zařízení L3. |
| Překračování sítí VLAN | ID všech sítí VLAN, které protíná zařízení. Ověřte například tato ID sítí VLAN tak, že zkontrolujete režim operace stromu rozsazení v jednotlivých sítích VLAN a zjistíte, jestli překračují přidružený port. |
| Brána pro | Sítě VLAN, pro které zařízení funguje jako výchozí brána. |
| Podrobnosti o síti | IP adresa zařízení, podsíť, D-GW a hostitel DNS |
| Protokoly | Protokoly používané v zařízení. Porovnejte své protokoly se seznamem podporovaných protokolů služby Defender for IoT. |
| Podporované zrcadlení provozu | Definujte, jaký druh zrcadlení provozu jednotlivá zařízení podporují, například SPAN, RSPAN, ERSPAN nebo TAP. Tyto informace slouží k volbě metod zrcadlení provozu pro senzory OT. |
| Spravuje se partnerskými službami? | Popište, jestli zařízení spravuje partner, například Siemens, Rockwell nebo Emerson. V případě potřeby popište zásady správy. |
| Sériová připojení | Pokud zařízení komunikuje přes sériové připojení, zadejte protokol sériové komunikace. |
Plánování nasazení s více senzory
Pokud plánujete nasazení více síťových senzorů, zvažte také následující doporučení při rozhodování, kam senzory umístit:
Fyzicky připojené přepínače: U přepínačů, které jsou fyzicky připojené ethernetovým kabelem, nezapomeňte naplánovat alespoň jeden senzor na každých 80 metrů vzdálenosti mezi přepínači.
Více sítí bez fyzického připojení: Pokud máte více sítí, mezi nimiž není žádné fyzické připojení, naplánujte alespoň jeden senzor pro každou jednotlivou síť.
Přepínače s podporou RSPAN: Pokud máte přepínače, které mohou používat zrcadlení provozu RSPAN, naplánujte alespoň jeden senzor na každých osm přepínačů s místním portem SPAN. Naplánujte, že senzor umístíte dostatečně blízko přepínačů, abyste je mohli připojit kabelem.
Vytvoření seznamu podsítí
Vytvořte agregovaný seznam podsítí, které chcete monitorovat, na základě seznamu zařízení, která chcete monitorovat v celé síti.
Po nasazení senzorů pomocí tohoto seznamu ověříte, že uvedené podsítě se automaticky detekují, a podle potřeby seznam ručně aktualizujete.
Zobrazení seznamu plánovaných snímačů OT
Jakmile pochopíte provoz, který chcete zrcadlit do Defenderu for IoT, vytvořte úplný seznam všech snímačů OT, které budete onboardovat.
Pro každý senzor uveďte:
Určuje, jestli se jedná o senzor připojený ke cloudu nebo o místně spravovaný senzor.
U senzorů připojených ke cloudu je to metoda cloudového připojení , kterou budete používat.
Bez ohledu na to, jestli budete pro senzory používat fyzická nebo virtuální zařízení s ohledem na šířku pásma, kterou budete potřebovat pro QoS (Quality of Service). Další informace najdete v tématu Která zařízení potřebuji?
Web a zóna, které přiřadíte každému senzoru.
Data ingestovaná ze senzorů ve stejné lokalitě nebo zóně je možné zobrazit společně a segmentovat je od ostatních dat ve vašem systému. Pokud chcete zobrazit data snímačů seskupené ve stejné lokalitě nebo zóně, nezapomeňte odpovídajícím způsobem přiřadit lokality a zóny senzorů.
Metoda zrcadlení provozu, kterou použijete pro jednotlivé senzory
Jak se vaše síť časem rozšiřuje, můžete nasadit další senzory nebo upravit stávající definice senzorů.
Důležité
Doporučujeme zkontrolovat charakteristiky zařízení, která očekáváte, že jednotlivé senzory detekují, jako jsou IP adresy a adresy MAC. Zařízení zjištěná ve stejné zóně se stejnou logickou sadou charakteristik zařízení se automaticky konsolidují a identifikují se jako stejné zařízení.
Pokud například pracujete s více sítěmi a opakovanými IP adresami, nezapomeňte naplánovat každý senzor s jinou zónou, aby byla zařízení správně identifikována jako samostatná a jedinečná zařízení.
Další informace najdete v tématu Oddělení zón pro rozsahy opakovaných IP adres.
Příprava místních zařízení
Pokud používáte virtuální zařízení, ujistěte se, že máte nakonfigurované příslušné prostředky. Další informace najdete v tématu Monitorování OT pomocí virtuálních zařízení.
Pokud používáte fyzická zařízení, ujistěte se, že máte požadovaný hardware. Můžete si koupit předem nakonfigurovaná zařízení nebo naplánovat instalaci softwaru na vlastní zařízení.
Nákup předem nakonfigurovaných zařízení:
- V Azure Portal přejděte na Defender for IoT.
- Vyberte Začínáme>Senzor>Koupit kontakt s předkonfigurovaným zařízením>.
Odkaz otevře e-mail na adresu hardware.sales@arrow.coms žádostí o šablonu pro zařízení Defender for IoT.
Další informace najdete v tématu Která zařízení potřebuji?
Příprava pomocného hardwaru
Pokud používáte fyzická zařízení, ujistěte se, že máte pro každé fyzické zařízení k dispozici následující dodatečný hardware:
- Monitor a klávesnice
- Místo v racku
- Střídavého
- Kabel LAN pro připojení portu pro správu zařízení k síťovému přepínači
- Lan kabely pro připojení zrcadlových portů (SPAN) a přístupových bodů síťových terminálů (TAP) k vašemu zařízení
Příprava podrobností o síti zařízení
Až budete mít zařízení připravená, vytvořte pro každé zařízení seznam následujících podrobností:
- IP adresa
- Podsíť
- Výchozí brána
- Název hostitele
- Server DNS (volitelné) s IP adresou serveru DNS a názvem hostitele
Příprava pracovní stanice nasazení
Připravte pracovní stanici, ze které můžete spouštět aktivity nasazení Defenderu for IoT. Pracovní stanicí může být počítač s Windows nebo Mac s následujícími požadavky:
Terminálový software, například PuTTY
Podporovaný prohlížeč pro připojení ke konzolám senzorů a Azure Portal. Další informace najdete v doporučených prohlížečích pro Azure Portal.
Jsou nakonfigurovaná požadovaná pravidla brány firewall s otevřeným přístupem pro požadovaná rozhraní. Další informace najdete v tématu Požadavky na síť.
Příprava certifikátů podepsaných certifikační autoritou
V produkčních nasazeních doporučujeme používat certifikáty podepsané certifikační autoritou.
Ujistěte se, že rozumíte požadavkům na certifikát SSL/TLS pro místní prostředky. Pokud chcete nasadit certifikát podepsaný certifikační autoritou během počátečního nasazení, ujistěte se, že máte certifikát připravený.
Pokud se rozhodnete provést nasazení s využitím integrovaného certifikátu podepsaného svým držitelem, doporučujeme později nasadit certifikát podepsaný certifikační autoritou v produkčním prostředí.
Další informace naleznete v tématu: