Déployer la gestion des capteurs OT hybrides ou en air gap

Microsoft Defender pour IoT aide les organisations à atteindre et à maintenir le niveau de conformité nécessaire à leur environnement OT en fournissant une solution complète de détection et de gestion des menaces, notamment une couverture des réseaux parallèles. Defender pour IoT s’adresse aux organisations des secteurs de l’industrie, de l’énergie et des services publics ainsi que les organismes de conformité telles que NERC CIP ou IEC62443.

Certains secteurs d’activité, par exemple les administrations, les services financiers, les opérateurs d’énergie nucléaire et les fabricants industriels, gèrent des réseaux en air gap. Les réseaux en air gap sont physiquement séparés des autres réseaux non sécurisés, par exemple les réseaux d’entreprise, les réseaux d’invités ou Internet. Defender pour IoT aide ces organisations à se conformer aux standards mondiaux en ce qui concerne la détection et la gestion des menaces, la segmentation des réseaux, etc.

Bien que la transformation numérique ait aidé les entreprises à simplifier leurs opérations et à améliorer leurs résultats financiers, elles sont souvent confrontées à des difficultés en ce qui concerne les réseaux en air gap. L’isolation dans les réseaux en air gap assure la sécurité, mais complique également la transformation numérique. Par exemple, les conceptions architecturales telles que le modèle Confiance Zéro, qui incluent l’utilisation de l’authentification multifacteur, sont difficiles à appliquer à des réseaux en air gap.

Les réseaux en air gap sont souvent utilisés pour stocker des données sensibles ou contrôler des systèmes cyberphysiques qui ne sont connectés à aucun réseau externe, ce qui les rend moins vulnérables aux cyberattaques. Toutefois, les réseaux en air gap ne sont pas totalement sécurisés, et peuvent tout de même faire l’objet de violations d’accès. Il est donc impératif d’effectuer un monitoring des réseaux en air gap pour détecter les menaces potentielles, et y répondre.

Cet article décrit l’architecture du déploiement de solutions de sécurité hybrides et en air gap, notamment les problèmes et les meilleures pratiques liés à la sécurisation et au monitoring des réseaux hybrides et en air gap. Au lieu de conserver toute l’infrastructure de maintenance de Defender pour IoT dans une architecture fermée, nous vous recommandons d’intégrer vos capteurs Defender pour IoT à votre infrastructure informatique existante, notamment les ressources locales ou distantes. Cette approche permet de garantir le bon déroulement, l’efficacité et la facilité de maintenance de vos opérations de sécurité.

Suggestions en matière d’architecture

L’image suivante montre un exemple d’architecture générale correspondant à nos recommandations pour la supervision et la maintenance des systèmes Defender pour IoT, où chaque capteur OT se connecte à plusieurs systèmes de gestion de la sécurité dans le cloud ou localement.

Dans cet exemple d’architecture, trois capteurs se connectent à quatre routeurs dans différentes zones logiques de l’organisation. Les capteurs sont situés derrière un pare-feu, et s’intègrent à l’infrastructure informatique locale, par exemple les serveurs de sauvegarde locaux, les connexions d’accès à distance via SASE ainsi que le transfert des alertes vers un système SIEM (Gestion des informations et des événements de sécurité) local.

Dans l’exemple de cette image, la communication pour les alertes, les messages syslog et les API est représentée par une ligne noire continue. La communication pour la gestion locale est représentée par une ligne violette continue, et la communication pour la gestion cloud / hybride est représentée par une ligne noire en pointillés.

Les conseils d’aide relatifs à l’architecture de Defender pour IoT dans le cadre des réseaux hybrides et en air gap vous permettent d’entreprendre les actions suivantes :

• Utiliser votre infrastructure organisationnelle existante pour effectuer le monitoring et la gestion de vos capteurs OT, ce qui réduit le besoin de matériel ou de logiciels supplémentaires
• Utiliser les intégrations de la pile de sécurité organisationnelle, qui sont de plus en plus fiables et robustes, que ce soit dans le cloud ou à l’échelle locale
• Collaborer avec vos équipes de sécurité globales en auditant et en contrôlant l’accès aux ressources cloud et locales, en garantissant une visibilité et une protection cohérentes dans vos environnements OT
• Améliorer votre système de sécurité OT en ajoutant des ressources cloud qui améliorent et autonomisent vos fonctionnalités existantes, par exemple la veille des menaces, l’analyse et l’automatisation

Étapes du déploiement

Suivez les étapes ci-dessous pour déployer un système Defender pour IoT dans un environnement en air gap ou hybride :

1. Effectuez le déploiement de chaque capteur réseau OT selon votre plan, comme indiqué dans Déployer Defender pour IoT pour la supervision OT.

2. Pour chaque capteur, suivez les étapes ci-dessous :

   • Effectuez une intégration aux serveurs SIEM/Syslog des partenaires, notamment en configurant les notifications par e-mail. Par exemple :

     • Tutoriel : Connecter Microsoft Defender pour IoT avec Microsoft Sentinel
     • Examiner et détecter les menaces pour les appareils IoT
     • Transférer les informations des alertes OT locales

   • Utilisez l’API Defender pour IoT afin de créer des tableaux de bord de gestion. Pour plus d’informations, consultez Référence de l’API Defender pour IoT.

   • Configurez un proxy ou des proxys chaînés à l’environnement de gestion.

   • Configurez le monitoring de l’intégrité à l’aide d’un serveur SNMP MIB ou via l’interface CLI. Pour plus d’informations, consultez l’article suivant :

     • Configurer le monitoring de l’intégrité MIB SNMP sur un capteur OT
     • Utilisateurs et accès à l’interface CLI Defender pour IoT

   • Configurer l’accès à l’interface de gestion du serveur, par exemple via iDRAC ou iLO.

   • Configurez un serveur de sauvegarde, notamment les configurations permettant d’enregistrer votre sauvegarde sur un serveur externe. Pour plus d’informations, consultez Sauvegarder et restaurer des capteurs réseau OT à partir de la console de capteur.

Transition à partir d’une console de gestion locale héritée

Important

La console de gestion locale héritée ne sera plus prise en charge ou disponible au téléchargement après le 1er janvier 2025. Nous vous recommandons de passer à la nouvelle architecture en utilisant le spectre complet des API locales et cloud avant cette date.

Nos conseils d’aide actuels sur l’architecture sont plus efficaces, plus sécurisés et plus fiables que l’utilisation de la console de gestion locale héritée. Les conseils d’aide mis à jour comportent moins de composants, ce qui facilite la maintenance et la résolution des problèmes. La technologie des capteurs intelligents utilisée dans la nouvelle architecture permet un traitement local, ce qui réduit le besoin de ressources cloud et améliore les performances. Les conseils d’aide mis à jour vous permettent de conserver vos données au sein de votre propre réseau, ce qui offre une meilleure sécurité que le cloud computing.

Si vous êtes déjà client, et si vous utilisez une console de gestion locale pour gérer vos capteurs OT, nous vous recommandons de passer aux conseils d’aide mis à jour relatifs à l’architecture. L’image suivante montre une représentation graphique des étapes de transition vers les nouvelles recommandations :

• Dans votre configuration héritée, tous les capteurs sont connectés à la console de gestion locale.
• Durant la période de transition, vos capteurs restent connectés à la console de gestion locale pendant que vous connectez tous les capteurs possibles au cloud.
• Une fois la transition complètement effectuée, vous supprimez la connexion à la console de gestion locale, en conservant les connexions cloud dans la mesure du possible. Tous les capteurs qui doivent rester en air gap sont accessibles directement à partir de l’IU du capteur.

Suivez les étapes ci-dessous pour effectuer la transition de votre architecture :

1. Pour chacun de vos capteurs OT, identifiez les intégrations héritées utilisées ainsi que les autorisations configurées pour les équipes de sécurité locales. Par exemple, quels sont les systèmes de sauvegarde en place ? Quels sont les groupes d’utilisateurs qui accèdent aux données des capteurs ?

2. Connectez vos capteurs aux ressources locales, Azure et autres ressources cloud, selon les besoins de chaque site. Par exemple, connectez-vous à un système SIEM local, à des serveurs proxy, à un système de stockage de sauvegarde et à d’autres systèmes de partenaires. Vous pouvez avoir plusieurs sites et adopter une approche hybride, où seuls des sites spécifiques sont maintenus complètement en air gap, ou sont isolés à l’aide de diodes de données.

   Pour plus d’informations, consultez les liens fournis dans la procédure de déploiement en air gap ainsi que les ressources cloud suivantes :

   • Approvisionner des capteurs pour la gestion cloud
   • Monitoring des menaces OT dans les équipes SOC de l’entreprise
   • Sécurisation des appareils IoT dans l’entreprise

3. Configurez les autorisations, et mettez à jour les procédures d’accès à vos capteurs en fonction de la nouvelle architecture de déploiement.

4. Passez en revue l’ensemble des cas d’usage et procédures de sécurité pour vérifier que leur transition vers la nouvelle architecture a bien été effectuée.

5. Une fois la transition effectuée, désactivez la console de gestion locale.

Chronologie de la mise hors service du Gestionnaire central

La console de gestion locale sera mise hors service le 1er janvier 2025 avec les mises à jour/changements suivants :

• Les versions de capteurs publiées après le 1er janvier 2025 ne seront plus gérées par une console de gestion locale.
• La prise en charge des capteurs en air gap n’est pas affectée par ces changements apportés à la prise en charge de la console de gestion locale. Nous continuons à prendre en charge les déploiements en air gap, et à vous aider à effectuer la transition vers le cloud. Les capteurs conservent une interface utilisateur complète pour pouvoir être utilisés dans les scénarios « inattendus », et continuer à analyser et sécuriser le réseau en cas de panne.
• Les capteurs en air gap qui ne peuvent pas se connecter au cloud peuvent être gérés directement via l’interface GUI (interface graphique utilisateur) de la console du capteur, l’interface CLI ou l’API correspondante.
• Les versions de logiciels de capteur publiées entre le 1er janvier 2024 et le 1er janvier 2025 prennent toujours en charge la console de gestion locale.

Pour plus d’informations, consultez Versions des logiciels de surveillance OT.

Étapes suivantes

Gérer les capteurs réseau OT à partir de la console de capteur