Implementación de la administración de sensores OT híbridos o con disponibilidad inalámbrica

Microsoft Defender para IoT ayuda a las organizaciones a lograr y mantener el cumplimiento de su entorno de OT proporcionando una solución completa para la detección y administración de amenazas, incluida la cobertura en redes paralelas. Defender para IoT admite organizaciones en los campos industriales, energéticos y de utilidad, y organizaciones de cumplimiento como NERC CIP o IEC62443.

Ciertos sectores, como las organizaciones gubernamentales, los servicios financieros, los operadores de energía nuclear y la fabricación industrial, mantienen redes de disponibilidad aérea. Las redes con disponibilidad aérea están separadas físicamente de otras redes no seguras, como redes empresariales, redes invitadas o Internet. Defender para IoT ayuda a estas organizaciones a cumplir los estándares globales de detección y administración de amenazas, segmentación de red, etc.

Aunque la transformación digital ha ayudado a las empresas a optimizar sus operaciones y a mejorar sus líneas inferiores, a menudo se enfrentan a la fricción con las redes de acceso aéreo. El aislamiento en las redes con disponibilidad inalámbrica proporciona seguridad, pero también complica la transformación digital. Por ejemplo, los diseños arquitectónicos, como Confianza cero, que incluyen el uso de la autenticación multifactor, son difíciles de aplicar a través de redes con acceso aéreo.

Las redes con acceso aéreo se suelen usar para almacenar datos confidenciales o controlar los sistemas físicos cibernéticos que no están conectados a ninguna red externa, lo que hace que sean menos vulnerables a los ciberataques. Sin embargo, las redes filtradas por aire no son completamente seguras y todavía se pueden infringir. Por lo tanto, es imperativo supervisar las redes con disponibilidad aérea para detectar y responder a las posibles amenazas.

En este artículo se describe la arquitectura de la implementación de soluciones de seguridad híbridas y con disponibilidad inalámbrica, incluidos los desafíos y los procedimientos recomendados para proteger y supervisar redes híbridas y con acceso aéreo. En lugar de mantener toda la infraestructura de mantenimiento de Defender para IoT contenida en una arquitectura cerrada, se recomienda integrar los sensores de Defender para IoT en la infraestructura de TI existente, incluidos los recursos remotos o locales. Este enfoque garantiza que las operaciones de seguridad se ejecuten sin problemas, de forma eficaz y fáciles de mantener.

Recomendaciones de arquitectura

En la imagen siguiente se muestra una arquitectura de alto nivel de ejemplo de nuestras recomendaciones para supervisar y mantener sistemas Defender para IoT, donde cada sensor de OT se conecta a varios sistemas de administración de seguridad en la nube o en el entorno local.

En esta arquitectura de ejemplo, tres sensores se conectan a cuatro enrutadores en diferentes zonas lógicas de toda la organización. Los sensores se encuentran detrás de un firewall y se integran con la infraestructura de TI local y local, como servidores de copia de seguridad locales, conexiones de acceso remoto a través de SASE y reenvío de alertas a un sistema de administración de información e eventos de seguridad local (SIEM).

En esta imagen de ejemplo, la comunicación de alertas, mensajes de syslog y API se muestra en una línea negra sólida. La comunicación de administración local se muestra en una línea púrpura sólida y la comunicación de administración híbrida o en la nube se muestra en una línea negra punteada.

La guía de arquitectura de Defender para IoT para redes híbridas y con disponibilidad inalámbrica le ayuda a:

• Use la infraestructura organizativa existente para supervisar y administrar los sensores de OT, lo que reduce la necesidad de hardware o software adicional.
• Use integraciones de pila de seguridad organizativas que sean cada vez más confiables y sólidas , ya sea en la nube o en el entorno local.
• Colabore con los equipos de seguridad global mediante la auditoría y el control del acceso a los recursos locales y en la nube, lo que garantiza una visibilidad y protección coherentes en los entornos de OT.
• Aumente el sistema de seguridad de OT mediante la adición de recursos basados en la nube que mejoran y potencian las funcionalidades existentes, como la inteligencia sobre amenazas, el análisis y la automatización.

Pasos de implementación

Siga estos pasos para implementar un sistema de Defender para IoT en un entorno híbrido o con disponibilidad inalámbrica:

1. Complete la implementación de cada sensor de red de OT según el plan, tal como se describe en Deploy Defender for IoT for OT monitoring (Implementar Defender para IoT para la supervisión de OT).

2. Para cada sensor, siga estos pasos:

   • Integre con los servidores SIEM o syslog asociados, incluida la configuración de notificaciones por correo electrónico. Por ejemplo:

     • Conectar Microsoft Defender para IoT con Microsoft Sentinel
     • Investigación y detección de amenazas para dispositivos IoT
     • Reenvío de información de alertas de OT local

   • Use la API de Defender para IoT para crear paneles de administración. Para obtener más información, consulte Referencia de API de Defender para IoT.

   • Configure un proxy o servidores proxy encadenados en el entorno de administración.

   • Configure la supervisión de estado mediante un servidor MIB SNMP o a través de la CLI. Para más información, vea:

     • Configuración del seguimiento de estado de MIB de SNMP en un sensor de OT
     • Usuarios y acceso a la CLI de Defender para IoT

   • Configure el acceso a la interfaz de administración del servidor, como a través de iDRAC o iLO.

   • Configure un servidor de copia de seguridad, incluidas las configuraciones para guardar la copia de seguridad en un servidor externo. Para más información, consulte Copia de seguridad y restauración de sensores de red de OT desde la consola del sensor.

Transición desde una consola de administración local heredada

Importante

La consola de administración local heredada no se admitirá ni estará disponible para su descarga después del 1 de enero de 2025. Se recomienda realizar la transición a la nueva arquitectura mediante el espectro completo de API locales y en la nube antes de esta fecha.

Nuestra guía de arquitectura actual está diseñada para ser más eficaz, segura y confiable que usar la consola de administración local heredada. La guía actualizada tiene menos componentes, lo que facilita el mantenimiento y la solución de problemas. La tecnología de sensor inteligente que se usa en la nueva arquitectura permite el procesamiento local, lo que reduce la necesidad de recursos en la nube y mejora el rendimiento. Las instrucciones actualizadas mantienen los datos dentro de su propia red, lo que proporciona una mejor seguridad que la informática en la nube.

Si es un cliente existente que usa una consola de administración local para administrar los sensores de OT, se recomienda realizar la transición a la guía de arquitectura actualizada. En la imagen siguiente se muestra una representación gráfica de los pasos de transición a las nuevas recomendaciones:

• En la configuración heredada, todos los sensores están conectados a la consola de administración local.
• Durante el período de transición, los sensores permanecen conectados a la consola de administración local mientras conecta los sensores posibles a la nube.
• Después de realizar la transición completa, quitará la conexión a la consola de administración local, manteniendo las conexiones en la nube siempre que sea posible. Se puede acceder directamente a los sensores que deben permanecer desajustados desde la interfaz de usuario del sensor.

Siga estos pasos para realizar la transición de la arquitectura:

1. Para cada uno de los sensores de OT, identifique las integraciones heredadas en uso y los permisos configurados actualmente para los equipos de seguridad locales. Por ejemplo, ¿qué sistemas de copia de seguridad están en vigor? ¿Qué grupos de usuarios acceden a los datos del sensor?

2. Conectar los sensores al entorno local, Azure y a otros recursos en la nube, según sea necesario para cada sitio. Por ejemplo, conéctese a un SIEM local, servidores proxy, almacenamiento de copia de seguridad y otros sistemas asociados. Es posible que tenga varios sitios y adopte un enfoque híbrido, donde solo se mantienen completamente aislados o con desajustados por aire mediante diodos de datos.

   Para obtener más información, consulte la información vinculada en el procedimiento de implementación con disponibilidad aérea, así como los siguientes recursos en la nube:

   • Aprovisionamiento de sensores para la administración en la nube
   • Supervisión de amenazas de OT en SOC empresariales
   • Protección de dispositivos IoT de la empresa

3. Configure permisos y procedimientos de actualización para acceder a los sensores para que coincidan con la nueva arquitectura de implementación.

4. Revise y valide que todos los casos de uso y procedimientos de seguridad han pasado a la nueva arquitectura.

5. Una vez completada la transición, retire la consola de administración local.

Escala de tiempo de retirada

La retirada de la consola de administración local incluye los detalles siguientes:

• Las versiones del sensor publicadas después del 1 de enero de 2025 no podrán administrarse mediante una consola de administración local.
• Las versiones de software de sensor publicadas entre el 1 de enero de 2024 y el 1 de enero de 2025 seguirán admitiendo una versión de la consola de administración local.
• Los sensores con disponibilidad de aire que no se pueden conectar a la nube se pueden administrar directamente a través de la consola del sensor, la CLI o la API.

Para obtener más información, consulte Versiones de software de supervisión de OT.

Pasos siguientes

Mantenimiento de sensores de red de OT desde la consola del sensor