Préparer un déploiement de site OT
Cet article fait partie d’une série décrivant le chemin de déploiement pour la surveillance OT avec Microsoft Defender pour IoT.
Pour surveiller entièrement votre réseau, vous avez besoin d’une visibilité sur tous les appareils de point de terminaison de votre réseau. Microsoft Defender pour IoT met en miroir le trafic qui passe par vos appareils réseau vers les capteurs réseau Defender pour IoT. Les capteurs réseau OT analysent ensuite vos données de trafic, déclenchent des alertes, génèrent des recommandations et envoient des données à Defender pour IoT dans Azure.
Cet article vous aide à planifier l’emplacement des capteurs OT dans votre réseau de sorte de mettre en miroir le trafic à surveiller en fonction des besoins, et comment préparer votre site pour le déploiement de capteurs.
Prérequis
Avant de planifier la surveillance OT pour un site spécifique, assurez-vous d’avoir planifié votre système de surveillance OT général.
Cette étape est effectuée par vos équipes d’architecture.
En savoir plus sur l’architecture de surveillance de Defender pour IoT
Consultez les articles suivants pour en savoir plus sur les composants et l’architecture de votre réseau et de votre système Defender pour IoT :
Créer un diagramme de réseau
Le réseau de chaque organisation présentera sa propre complexité. Créez un diagramme de carte réseau qui répertorie soigneusement tous les appareils de votre réseau afin que vous puissiez identifier le trafic que vous souhaitez surveiller.
Lors de la création de votre diagramme de réseau, utilisez les questions suivantes pour identifier et rédiger des notes sur les différents éléments de votre réseau et la façon dont ils communiquent.
Questions générales
Quels sont vos objectifs de surveillance généraux ?
Avez-vous des réseaux redondants et existe-t-il des zones sur votre carte réseau qui n’ont pas besoin de surveillance et que vous pouvez ignorer ?
Où sont les risques opérationnels et de sécurité de votre réseau ?
Questions sur le réseau
Quels sont les protocoles actifs sur les réseaux surveillés ?
Les VLAN sont-ils configurés dans la conception du réseau ?
Y a-t-il un routage dans les réseaux surveillés ?
Existe-t-il des communications en série sur le réseau ?
Où sont installés les pare-feu dans les réseaux que vous souhaitez surveiller ?
Existe-t-il un trafic entre un réseau de contrôle industriel (ICS) et un réseau d’entreprise ? Si oui, ce trafic est-il surveillé ?
Quelle est la distance physique entre vos commutateurs et le pare-feu d’entreprise ?
La maintenance du système OT est-elle effectuée avec des appareils fixes ou temporaires ?
Questions sur les commutateurs
Si un commutateur n’est pas géré autrement, pouvez-vous surveiller le trafic à partir d’un commutateur de niveau supérieur ? Par exemple, si l’architecture OT correspond à une topologie en anneau, seul un commutateur de cet anneau doit faire l’objet d’une surveillance.
Les commutateurs non gérés peuvent-ils être remplacés par des commutateurs gérés, ou l’utilisation de TAP de réseau est-elle une option ?
Pouvez-vous surveiller le réseau VLAN du commutateur ou le réseau VLAN est-il visible dans un autre commutateur que vous pouvez surveiller ?
Si vous connectez un capteur réseau au commutateur, reflétera-t-il la communication entre le IHM et les PLC ?
Si vous souhaitez connecter un capteur réseau au commutateur, y a-t-il un espace physique disponible dans l’armoire du commutateur ?
Quel est le rapport coût/avantages de la surveillance de chaque commutateur ?
Identifier les appareils et les sous-réseaux que vous souhaitez surveiller
Le trafic que vous souhaitez surveiller et mettre en miroir vers les capteurs réseau Defender pour IoT est le trafic le plus intéressant pour vous du point de vue de la sécurité ou des opérations.
Examinez le diagramme de votre réseau OT avec vos ingénieurs de site pour identifier l’emplacement du trafic le plus pertinent à surveiller. Nous vous recommandons de rencontrer les équipes réseau et opérationnelles pour clarifier les attentes de chacun.
Avec votre équipe, créez un tableau des appareils que vous souhaitez surveiller avec les détails suivants :
| Caractéristique | Description |
|---|---|
| Fournisseur | Le fournisseur de l’appareil |
| Nom de l’appareil | Un nom explicite pour utilisation et référence continues |
| Type | Le type de l’appareil, par exemple : Commutateur, Routeur, Pare-feu, Point d’accès, etc. |
| Couche réseau | Les appareils que vous souhaitez surveiller sont des appareils L2 ou L3 : - Les appareils L2 sont des appareils dans le segment IP - Les appareils L3 sont des appareils en dehors du segment IP Les appareils qui prennent en charge les deux couches peuvent être considérés comme des appareils L3. |
| VLAN traversants | Les ID de tous les réseaux VLAN qui passent par l’appareil. Par exemple, vérifiez ces ID de VLAN en vérifiant le mode de fonctionnement de l’arborescence sur chaque réseau VLAN pour voir s’ils passent par un port associé. |
| Passerelle pour | Les VLAN pour lesquels l’appareil sert de passerelle par défaut. |
| Détails du réseau | Adresse IP, sous-réseau, D-GW et hôte DNS de l’appareil |
| Protocoles | Les protocoles utilisés sur l’appareil. Comparez vos protocoles à la liste des protocoles prêts à l’emploi pris en charge par Defender pour IoT. |
| Mise en miroir du trafic prise en charge | Définissez le type de mise en miroir du trafic pris en charge par chaque appareil, par exemple SPAN, RSPAN, ERSPAN ou TAP. Utilisez ces informations pour choisir les méthodes de mise en miroir du trafic pour vos capteurs OT. |
| Géré par les services partenaires ? | Décrivez si un service partenaire, tel que Siemens, Rockwell ou Emerson, gère l’appareil. Le cas échéant, décrivez la stratégie de gestion. |
| Connexions série | Si l’appareil communique via une connexion série, spécifiez le protocole de communication série. |
Planifier un déploiement à plusieurs capteurs
Si vous envisagez de déployer plusieurs capteurs réseau, tenez également compte des recommandations suivantes lorsque vous décidez où placer vos capteurs :
Commutateurs physiquement connectés : pour les commutateurs physiquement connectés par câble Ethernet, veillez à prévoir au moins un capteur tous les 80 mètres de distance entre les commutateurs.
Plusieurs réseaux sans connectivité physique : si vous avez plusieurs réseaux sans connectivité physique entre eux, prévoyez au moins un capteur pour chaque réseau individuel.
Commutateurs avec prise en charge de RSPAN : si vous avez des commutateurs qui peuvent utiliser la mise en miroir du trafic RSPAN, prévoyez au moins un capteur pour huit commutateurs, avec un port SPAN local. Prévoyez de placer le capteur suffisamment près des commutateurs pour pouvoir les connecter par câble.
Créer une liste de sous-réseaux
Créez une liste agrégée de sous-réseaux que vous souhaitez surveiller, en fonction de la liste des appareils que vous souhaitez surveiller sur l’ensemble de votre réseau.
Après avoir déployé vos capteurs, vous utiliserez cette liste pour vérifier que les sous-réseaux répertoriés sont détectés automatiquement et mettre à jour manuellement la liste le cas échéant.
Répertorier vos capteurs OT planifiés
Une fois que vous avez compris le trafic que vous souhaitez mettre en miroir vers Defender pour IoT, créez une liste complète de tous les capteurs OT que vous allez intégrer.
Pour chaque capteur, indiquez :
Si le capteur sera un capteur connecté au cloud ou géré localement
Pour les capteurs connectés au cloud, la méthode de connexion cloud que vous allez utiliser.
Si vous allez utiliser des appliances physiques ou virtuelles pour vos capteurs, compte tenu de la bande passante dont vous aurez besoin pour la qualité de service (QoS). Pour plus d’informations, consultez De quelles appliances ai-je besoin ?
Le site et la zone que vous allez affecter à chaque capteur.
Les données ingérées à partir de capteurs dans le même site ou la même zone peuvent être consultées ensemble, extraites des autres données de votre système. Si vous souhaitez afficher des données de capteur regroupées dans le même site ou la même zone, veillez à attribuer des sites et des zones de capteur en conséquence.
La méthode de mise en miroir du trafic que vous allez utiliser pour chaque capteur
À mesure que votre réseau se développe, vous pouvez intégrer davantage de capteurs ou modifier vos définitions de capteur existantes.
Important
Nous vous recommandons de vérifier les caractéristiques des appareils à détecter par chaque capteur, telles que les adresses IP et MAC. Les appareils détectés dans la même zone avec le même ensemble logique de caractéristiques d’appareil sont automatiquement consolidés et identifiés comme le même appareil.
Par exemple, si vous travaillez avec plusieurs réseaux et adresses IP récurrentes, veillez à planifier chaque capteur avec une zone différente afin que les appareils soient correctement identifiés comme des appareils distincts et uniques.
Pour plus d’informations, consultez l’article Séparer les zones pour les plages d’adresses IP récurrentes.
Préparer des appliances locales
Si vous utilisez des appliances virtuelles, vérifiez que les ressources appropriées sont configurées. Pour plus d'informations, consultez Surveillance des OT avec des appliances virtuelles.
Si vous utilisez des appliances physiques, vérifiez que vous disposez du matériel requis. Vous pouvez acheter des appliances préconfigurées ou planifier l’installation de logiciels sur vos propres appliances.
Pour acheter des appliances préconfigurées :
- Accédez à Defender pour IoT sur le Portail Azure.
- Sélectionnez Prise en main>Capteur>Acheter une appliance préconfigurée>Contact.
Le lien ouvre un e-mail adressé à hardware.sales@arrow.com avec un modèle de demande pour les appliances Defender pour IoT.
Pour plus d’informations, consultez De quelles appliances ai-je besoin ?
Préparer le matériel auxiliaire
Si vous utilisez des appliances physiques, vérifiez que vous disposez du matériel supplémentaire suivant pour chaque appliance physique :
- Un moniteur et un clavier
- Espace en rack
- Une alimentation CA
- Un câble LAN pour connecter le port de gestion de l’appliance au commutateur réseau
- Des câbles LAN pour connecter des ports de mise en miroir (SPAN) et des points d’accès de terminal réseau (TAPs) à votre appliance
Préparer les détails du réseau des appliances
Lorsque vos appliances sont prêtes, dressez une liste des détails suivants pour chaque appliance :
- Adresse IP
- Subnet
- Passerelle par défaut
- Nom de l'hôte
- Serveur DNS (facultatif), avec l’adresse IP et le nom d’hôte du serveur DNS
Préparer une station de travail de déploiement
Préparez une station de travail à partir de laquelle vous pouvez exécuter les activités de déploiement de Defender pour IoT. La station de travail peut être une machine Windows ou Mac, avec les exigences suivantes :
Logiciel de terminal, tel que PuTTY
Navigateur pris en charge pour la connexion aux consoles de capteur et au portail Azure. Pour plus d’informations, consultez les navigateurs recommandés pour le Portail Azure.
Règles de pare-feu requises configurées, avec accès ouvert pour les interfaces requises. Pour plus d’informations, consultez Configuration requise pour la mise en réseau.
Préparer des certificats signés par une autorité de certification
Nous vous recommandons d’utiliser des certificats signés par une autorité de certification dans les déploiements de production.
Assurez-vous de bien comprendre les conditions requises des certificats SSL/TLS pour les ressources locales. Si vous souhaitez déployer un certificat signé par une autorité de certification pendant le déploiement initial, veillez à préparer le certificat.
Si vous décidez de déployer avec le certificat auto-signé intégré, nous vous recommandons de déployer un certificat signé par une autorité de certification dans les environnements de production ultérieurement.
Pour plus d'informations, consultez les pages suivantes :