Monitoraggio OT con appliance virtuali
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT ed elenca le specifiche necessarie se si vuole installare il software Microsoft Defender per IoT nelle proprie appliance virtuali.
Nota
Questo articolo include anche informazioni rilevanti per le console di gestione locali. Per altre informazioni, vedere il percorso di distribuzione della gestione dei sensori OT con gapped air.
Informazioni sugli hypervisor
L'hardware virtualizzato usato per eseguire i sistemi operativi guest viene fornito dagli host di macchine virtuali, noti anche come hypervisor. Defender per IoT supporta il software hypervisor seguente:
- VMware ESXi (versione 5.0 e successive)
- Microsoft Hyper-V (configurazione della macchina virtuale versione 8.0 e successive)
Altre informazioni:
- Sensore OT come appliance virtuale con VMware ESXi
- Sensore OT come appliance virtuale con Microsoft Hyper-V
- Console di gestione locale come appliance virtuale con VMware ESXi
- Console di gestione locale come appliance virtuale con Microsoft Hyper-V
Importante
Altri tipi di hypervisor, ad esempio gli hypervisor ospitati, possono anche eseguire Defender per IoT. Tuttavia, a causa della mancanza di controllo hardware esclusivo e di prenotazione delle risorse, altri tipi di hypervisor non sono supportati per gli ambienti di produzione. Ad esempio: Parallels, Oracle VirtualBox e VMware Workstation o Fusion
Considerazioni sulla progettazione dell'appliance virtuale
In questa sezione vengono illustrate le considerazioni relative ai componenti dell'appliance virtuale, sia per i sensori OT che per le console di monitoraggio locali.
| Specifica | Considerazioni |
|---|---|
| CPU | Assegnare core CPU dedicati (noti anche come pinning) con almeno 2,4 GHz, che non vengono allocati dinamicamente. L'utilizzo della CPU sarà elevato perché l'appliance registra continuamente e analizza il traffico di rete. Le prestazioni della CPU sono fondamentali per l'acquisizione e l'analisi del traffico di rete e qualsiasi rallentamento potrebbe causare cali di pacchetti e riduzione delle prestazioni. |
| Memory | La RAM deve essere allocata in modo statico per la capacità richiesta, non in modo dinamico. Prevedere un utilizzo elevato della RAM a causa della costante registrazione e analisi del traffico di rete del sensore, |
| Interfacce di rete | Il mapping fisico offre prestazioni ottimali, latenza più bassa e un utilizzo efficiente della CPU. È consigliabile eseguire fisicamente il mapping delle schede di interfaccia di rete alle macchine virtuali con SR-IOV o una scheda di interfaccia di rete dedicata. In seguito a livelli elevati di monitoraggio del traffico, prevedere un utilizzo elevato della rete. Impostare la modalità promiscua nel vSwitch su Accept, che consente a tutto il traffico di raggiungere la macchina virtuale. Alcune implementazioni di vSwitch possono bloccare determinati protocolli se non sono configurati correttamente. |
| Storage | Assicurarsi di allocare sufficienti operazioni di I/O e scrittura e velocità effettiva per soddisfare le prestazioni delle appliance elencate in questo articolo. È consigliabile prevedere un utilizzo elevato dello spazio di archiviazione dovuto ai volumi di monitoraggio del traffico di grandi dimensioni. |
Requisiti della macchina virtuale del sensore di rete OT
Le tabelle seguenti elencano i requisiti di sistema per i sensori di rete OT nelle appliance virtuali e le prestazioni misurate nei laboratori di qualificazione.
Per tutte le distribuzioni, i risultati della larghezza di banda per le macchine virtuali possono variare, a seconda della distribuzione dei protocolli e delle risorse hardware effettive disponibili, tra cui il modello cpu, la larghezza di banda della memoria e le operazioni di I/O al secondo.
| Profilo hardware | Prestazioni/Monitoraggio | Specifiche fisiche |
|---|---|---|
| C5600 | Larghezza di banda massima: 2,5 GB/sec Numero massimo di asset monitorati: 12.000 |
vCPU: 32 Memoria: 32 GB Archiviazione: 5,6 TB (600 operazioni di I/O al secondo) |
| E1800 | Larghezza di banda massima: 800 MB/sec Numero massimo di asset monitorati: 10.000 |
vCPU: 8 Memoria: 32 GB Archiviazione: 1,8 TB (300 operazioni di I/O al secondo) |
| E1000 | Larghezza di banda massima: 800 MB/sec Numero massimo di asset monitorati: 10.000 |
vCPU: 8 Memoria: 32 GB Archiviazione: 1 TB (300 operazioni di I/O al secondo) |
| E500 | Larghezza di banda massima: 800 MB/sec Numero massimo di asset monitorati: 10.000 |
vCPU: 8 Memoria: 32 GB Archiviazione: 500 GB (300 operazioni di I/O al secondo) |
| L500 | Larghezza di banda massima: 160 MB/sec Numero massimo di asset monitorati: 1.000 |
vCPU: 4 Memoria: 8 GB Archiviazione: 500 GB (150 operazioni di I/O al secondo) |
| L100 | Larghezza di banda massima: 100 MB/sec Numero massimo di asset monitorati: 800 |
vCPU: 4 Memoria: 8 GB Archiviazione: 100 GB (150 operazioni di I/O al secondo) |
Nota
Non è necessario preinstallare un sistema operativo nella macchina virtuale, l'installazione del sensore include l'immagine del sistema operativo.
Requisiti della macchina virtuale della console di gestione locale
Una console di gestione locale in un'appliance virtuale è supportata per le distribuzioni aziendali con i requisiti seguenti:
| Specifica | Requisiti |
|---|---|
| Profilo hardware | E1800 |
| vCPU | 8 |
| Memoria | 32 GB |
| Storage | 1,8 TB |
| Sensori monitorati | Fino a 300 |