Planeamiento de las conexiones de sensores para la supervisión de OT
Una vez que haya comprendido la arquitectura de OT de la red y cómo se aplica el módulo Purdue, empiece a planear las conexiones del sensor en una implementación de Microsoft Defender para IoT.
Consideraciones sobre la selección de ubicación del sensor
Se recomienda que Defender para IoT supervise el tráfico de las capas 1 y 2 de Purdue. En algunas arquitecturas, si existe tráfico de OT en la capa 3, Defender para IoT también supervisará el tráfico de la capa 3.
Examine el diagrama de red de OT e ICS junto con los ingenieros de sitio para definir el mejor lugar para conectarse a Defender para IoT y dónde puede obtener el tráfico más relevante para la supervisión. Es aconsejable que se reúna con los equipos operativos y de la red local para clarificar las expectativas. Cree listas de los siguientes datos de la red:
- Dispositivos conocidos
- Número de dispositivos estimado.
- Proveedores y protocolos del sector.
- Modelos de conmutador y si admiten la creación de reflejo de puertos
- Administradores de conmutadores, incluidos los recursos externos
- Redes de OT en el sitio
Implementaciones de varios sensores
En la tabla siguiente se enumeran los procedimientos recomendados al implementar varios sensores de Defender para IoT:
| Number | Metros | Dependencia | Número de sensores |
|---|---|---|---|
| Distancia máxima entre los conmutadores | 80 metros | Cable Ethernet preparado | Más de 1 |
| Número de redes OT | Más de 1 | Sin conectividad física | Más de 1 |
| Número de conmutadores | Puede usar la configuración de RSPAN | Hasta ocho conmutadores con puerto SPAN local conectado al sensor mediante cableado | Más de 1 |
Preguntas para la planificación de las conexiones de red
Mientras examina la arquitectura del sitio para determinar si se va a supervisar o no un conmutador específico, tenga en cuenta las siguientes preguntas:
¿Cuál es el coste-beneficio frente a la importancia de supervisar este conmutador?
Si un conmutador no está administrado, ¿se puede supervisar el tráfico desde un conmutador de nivel superior? Si la arquitectura de ICS es una topología en anillo, solo debe supervisarse un conmutador de este anillo.
¿Cuál es el riesgo operativo o de seguridad en la red?
¿Puede supervisar la VLAN del conmutador? ¿Se puede ver la VLAN en otro conmutador que pueda supervisar?
Entre otras preguntas comunes que se deben tener en cuenta al planear las conexiones de red a Defender para IoT se incluyen:
¿Cuáles son los objetivos generales de la implementación? ¿Es importante contar con un inventario completo y un mapa de red preciso?
¿Hay varias redes, o redes redundantes, en el ICS? ¿Se están supervisando todas las redes?
¿Hay comunicaciones entre el ICS y la red empresarial? ¿Se están supervisando estas comunicaciones?
¿Están las VLAN configuradas en el diseño de red?
¿Cómo se realiza el mantenimiento del ICS, con dispositivos fijos o transitorios?
¿Dónde están instalados los firewalls en las redes supervisadas?
¿Hay algún enrutamiento en las redes supervisadas?
¿Qué protocolos de OT están activos en las redes supervisadas?
Si nos conectamos a este conmutador, ¿veremos la comunicación entre el HMI y los PLC?
¿Cuál es la distancia física entre los conmutadores ICS y el firewall de la empresa?
¿Se pueden reemplazar los conmutadores no administrados por unos administrados, o el uso de TAP de red es una opción?
¿Hay alguna comunicación de serie en la red? En caso afirmativo, muéstrela en el diagrama de red.
Si el dispositivo de Defender para IoT debe estar conectado a ese conmutador, ¿hay espacio de bastidor disponible físicamente en ese armario?
Pasos siguientes
Cuando haya comprendido la arquitectura de OT de su propia red y planeado la implementación, obtenga más información sobre los métodos para la creación de reflejo del tráfico, la supervisión pasiva o activa y examine los métodos de conectividad de ejemplo.
Para más información, consulte: