Menyiapkan penyebaran situs OT
Artikel ini adalah salah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Microsoft Defender untuk IoT.
Untuk sepenuhnya memantau jaringan, Anda memerlukan visibilitas di semua perangkat titik akhir di jaringan Anda. Microsoft Defender untuk IoT mencerminkan lalu lintas yang bergerak melalui perangkat jaringan Anda ke sensor jaringan Defender for IoT. Sensor jaringan OT kemudian menganalisis data lalu lintas Anda, memicu pemberitahuan, menghasilkan rekomendasi, dan mengirim data ke Defender untuk IoT di Azure.
Artikel ini membantu Anda merencanakan tempat menempatkan sensor OT di jaringan Anda sehingga lalu lintas yang ingin Anda pantau dicerminkan sesuai kebutuhan, dan cara menyiapkan situs Anda untuk penyebaran sensor.
Prasyarat
Sebelum merencanakan pemantauan OT untuk situs tertentu, pastikan Anda telah merencanakan sistem pemantauan OT secara keseluruhan.
Langkah ini dilakukan oleh tim arsitektur Anda.
Pelajari tentang arsitektur pemantauan Defender for IoT
Gunakan artikel berikut untuk memahami lebih lanjut tentang komponen dan arsitektur di jaringan Anda dan sistem Defender for IoT:
Membuat diagram jaringan
Jaringan setiap organisasi akan memiliki kompleksitasnya sendiri. Buat diagram peta jaringan yang secara menyeluruh mencantumkan semua perangkat di jaringan Anda sehingga Anda dapat mengidentifikasi lalu lintas yang ingin Anda pantau.
Saat membuat diagram jaringan Anda, gunakan pertanyaan berikut untuk mengidentifikasi dan membuat catatan tentang berbagai elemen di jaringan Anda dan cara mereka berkomunikasi.
Pertanyaan umum
Apa tujuan pemantauan Anda secara keseluruhan?
Apakah Anda memiliki jaringan yang berlebihan, dan apakah ada area peta jaringan Anda yang tidak memerlukan pemantauan dan Anda dapat mengacuhkan?
Di mana risiko keamanan dan operasional jaringan Anda?
Pertanyaan jaringan
Protokol mana yang aktif pada jaringan yang dipantau?
Apakah VLAN dikonfigurasi dalam desain jaringan?
Apakah ada perutean di jaringan yang dipantau?
Apakah ada komunikasi serial dalam jaringan?
Di mana firewall terinstal di jaringan yang ingin Anda pantau?
Apakah ada lalu lintas antara jaringan kontrol industri (ICS) dan perusahaan, jaringan bisnis? Jika demikian, apakah lalu lintas ini dipantau?
Berapa jarak fisik antara sakelar Anda dan firewall perusahaan?
Apakah pemeliharaan sistem OT dilakukan dengan perangkat tetap atau sementara?
Beralih pertanyaan
Jika sakelar tidak dikelola, dapatkah Anda memantau lalu lintas dari sakelar tingkat yang lebih tinggi? Misalnya, jika arsitektur OT Anda menggunakan topologi cincin, hanya satu sakelar di cincin yang perlu dipantau.
Bisakah switch yang tidak dikelola diganti dengan switch terkelola, atau apakah penggunaan TAP jaringan merupakan opsi?
Dapatkah Anda memantau VLAN switch, atau apakah VLAN terlihat di sakelar lain yang dapat Anda pantau?
Jika Anda menyambungkan sensor jaringan ke sakelar, apakah sensor tersebut akan mencerminkan komunikasi antara HMI dan PLC?
Jika Anda ingin menyambungkan sensor jaringan ke sakelar, apakah ada ruang rak fisik yang tersedia di kabinet switch?
Berapa biaya/keuntungan memantau setiap sakelar?
Mengidentifikasi perangkat dan subnet yang ingin Anda pantau
Lalu lintas yang ingin Anda pantau dan cerminkan ke sensor jaringan Defender for IoT adalah lalu lintas yang paling menarik bagi Anda dari perspektif keamanan atau operasional.
Tinjau diagram jaringan OT Anda bersama dengan teknisi situs Anda untuk menentukan di mana Anda akan menemukan lalu lintas yang paling relevan untuk pemantauan. Kami menyarankan agar Anda bertemu dengan tim jaringan dan operasional untuk mengklarifikasi ekspektasi.
Bersama dengan tim Anda, buat tabel perangkat yang ingin Anda pantau dengan detail berikut:
| Spesifikasi | Deskripsi |
|---|---|
| Vendor | Vendor manufaktur perangkat |
| Nama perangkat | Nama yang bermakna untuk penggunaan dan referensi yang sedang berlangsung |
| Jenis | Jenis perangkat, seperti: Switch, Router, Firewall, Access Point, dan sebagainya |
| Lapisan jaringan | Perangkat yang ingin Anda pantau adalah perangkat L2 atau L3: - Perangkat L2 adalah perangkat dalam segmen IP - Perangkat L3 adalah perangkat di luar segmen IP Perangkat yang mendukung kedua lapisan dapat dianggap sebagai perangkat L3. |
| Melintasi VLAN | ID VLAN apa pun yang melintasi perangkat. Misalnya, verifikasi ID VLAN ini dengan memeriksa mode operasi pohon yang mencakup setiap VLAN untuk melihat apakah id tersebut melintasi port terkait. |
| Gateway untuk | VLAN yang perangkatnya bertindak sebagai gateway default. |
| Detail jaringan | Alamat IP, subnet, D-GW, dan host DNS perangkat |
| Protokol | Protokol yang digunakan pada perangkat. Bandingkan protokol Anda dengan daftar protokol Defender for IoT yang didukung secara langsung. |
| Pencerminan lalu lintas yang didukung | Tentukan jenis pencerminan lalu lintas apa yang didukung oleh setiap perangkat, seperti SPAN, RSPAN, ERSPAN, atau TAP. Gunakan informasi ini untuk memilih metode pencerminan lalu lintas untuk sensor OT Anda. |
| Dikelola oleh layanan mitra? | Jelaskan apakah layanan mitra, seperti Siemens, Rockwell, atau Emerson, mengelola perangkat. Jika relevan, jelaskan kebijakan manajemen. |
| Koneksi serial | Jika perangkat berkomunikasi melalui koneksi serial, tentukan protokol komunikasi serial. |
Merencanakan penyebaran multi-sensor
Jika Anda berencana untuk menyebarkan beberapa sensor jaringan, pertimbangkan juga rekomendasi berikut saat memutuskan tempat menempatkan sensor Anda:
Sakelar yang terhubung secara fisik: Untuk sakelar yang terhubung secara fisik oleh kabel Ethernet, pastikan untuk merencanakan setidaknya satu sensor untuk setiap 80 meter jarak antara sakelar.
Beberapa jaringan tanpa konektivitas fisik: Jika Anda memiliki beberapa jaringan tanpa konektivitas fisik di antaranya, rencanakan setidaknya satu sensor untuk setiap jaringan individu
Beralih dengan dukungan RSPAN: Jika Anda memiliki sakelar yang dapat menggunakan pencerminan lalu lintas RSPAN, rencanakan setidaknya satu sensor untuk setiap delapan sakelar, dengan port SPAN lokal. Rencanakan untuk menempatkan sensor yang cukup dekat dengan sakelar sehingga Anda dapat menghubungkannya dengan kabel.
Membuat daftar subnet
Buat daftar agregat subnet yang ingin Anda pantau, berdasarkan daftar perangkat yang ingin Anda pantau di seluruh jaringan Anda.
Setelah menyebarkan sensor, Anda akan menggunakan daftar ini untuk memverifikasi bahwa subnet yang tercantum terdeteksi secara otomatis, dan memperbarui daftar secara manual sesuai kebutuhan.
Mencantumkan sensor OT yang Anda rencanakan
Setelah Anda memahami lalu lintas yang ingin Anda cerminkan ke Defender for IoT, buat daftar lengkap semua sensor OT yang akan Anda onboarding.
Untuk setiap sensor, cantumkan:
Apakah sensor akan menjadi sensor yang terhubung ke cloud atau dikelola secara lokal
Untuk sensor yang terhubung ke cloud, metode koneksi cloud yang akan Anda gunakan.
Apakah Anda akan menggunakan appliance fisik atau virtual untuk sensor Anda, mengingat bandwidth yang Anda butuhkan untuk kualitas layanan (QoS). Untuk informasi selengkapnya, lihat Appliance mana yang saya butuhkan?
Situs dan zona yang akan Anda tetapkan ke setiap sensor.
Data yang diserap dari sensor di situs atau zona yang sama dapat dilihat bersama- sama, disegmentasi dari data lain di sistem Anda. Jika ada data sensor yang ingin Anda lihat dikelompokkan bersama di situs atau zona yang sama, pastikan untuk menetapkan situs sensor dan zona yang sesuai.
Metode pencerminan lalu lintas yang akan Anda gunakan untuk setiap sensor
Saat jaringan meluas tepat waktu, Anda dapat melakukan onboard lebih banyak sensor, atau memodifikasi definisi sensor yang ada.
Penting
Sebaiknya periksa karakteristik perangkat yang Anda harapkan untuk dideteksi setiap sensor, seperti alamat IP dan MAC. Perangkat yang terdeteksi di zona yang sama dengan serangkaian karakteristik perangkat logis yang sama secara otomatis dikonsolidasikan dan diidentifikasi sebagai perangkat yang sama.
Misalnya, jika Anda bekerja dengan beberapa jaringan dan alamat IP berulang, pastikan Anda merencanakan setiap sensor dengan zona yang berbeda sehingga perangkat diidentifikasi dengan benar sebagai perangkat terpisah dan unik.
Untuk informasi selengkapnya, lihat Memisahkan zona untuk rentang IP berulang.
Menyiapkan appliance lokal
Jika Anda menggunakan appliance virtual, pastikan Anda memiliki sumber daya yang relevan yang dikonfigurasi. Untuk informasi selengkapnya, lihat Pemantauan OT dengan appliance virtual.
Jika Anda menggunakan appliance fisik, pastikan Anda memiliki perangkat keras yang diperlukan. Anda dapat membeli appliance yang telah dikonfigurasi sebelumnya, atau berencana untuk menginstal perangkat lunak di appliance Anda sendiri.
Untuk membeli appliance yang telah dikonfigurasi sebelumnya:
- Buka Defender untuk IoT di portal Microsoft Azure.
- Pilih Memulai>Sensor> BeliKontak appliance >yang telah dikonfigurasisebelumnya.
Tautan membuka email ke hardware.sales@arrow.comdengan permintaan templat untuk appliance Defender for IoT.
Untuk informasi selengkapnya, lihat Appliance mana yang saya butuhkan?
Menyiapkan perangkat keras tambahan
Jika Anda menggunakan appliance fisik, pastikan Anda memiliki perangkat keras tambahan berikut yang tersedia untuk setiap appliance fisik:
- Monitor dan keyboard
- Ruang rak
- Daya AC
- Kabel LAN untuk menghubungkan port manajemen appliance ke sakelar jaringan
- Kabel LAN untuk menyambungkan port cermin (SPAN) dan titik akses terminal jaringan (TAP) ke appliance Anda
Menyiapkan detail jaringan appliance
Saat Anda menyiapkan appliance, buat daftar detail berikut untuk setiap appliance:
- Alamat IP
- Subnet
- Gateway default
- Nama Host
- Server DNS (opsional), dengan alamat IP server DNS dan nama host
Menyiapkan stasiun kerja penyebaran
Siapkan stasiun kerja tempat Anda dapat menjalankan aktivitas penyebaran Defender for IoT. Stasiun kerja dapat berupa komputer Windows atau Mac, dengan persyaratan berikut:
Perangkat lunak terminal, seperti PuTTY
Browser yang didukung untuk menyambungkan ke konsol sensor dan portal Azure. Untuk informasi selengkapnya, lihat browser yang direkomendasikan untuk portal Azure.
Aturan firewall yang diperlukan dikonfigurasi, dengan akses terbuka untuk antarmuka yang diperlukan. Untuk informasi selengkapnya, lihat Persyaratan jaringan.
Menyiapkan sertifikat yang ditandatangani CA
Sebaiknya gunakan sertifikat yang ditandatangani CA dalam penyebaran produksi.
Pastikan Anda memahami persyaratan sertifikat SSL/TLS untuk sumber daya lokal. Jika Anda ingin menyebarkan sertifikat yang ditandatangani CA selama penyebaran awal, pastikan sertifikat disiapkan.
Jika Anda memutuskan untuk menyebarkan dengan sertifikat bawaan yang ditandatangani sendiri, kami sarankan Anda menyebarkan sertifikat yang ditandatangani CA di lingkungan produksi nanti.
Untuk informasi selengkapnya, lihat: