OT サイト デプロイを準備する
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。
ネットワークを完全に監視するには、ネットワーク内のすべてのエンドポイント デバイスを可視化する必要があります。 Microsoft Defender for IoT は、ネットワーク デバイスを通過するトラフィックを Defender for IoT ネットワーク センサーにミラーリングします。 OT ネットワーク センサーは、トラフィック データを分析し、アラートをトリガーし、推奨事項を生成し、Azure の Defender for IoT にデータを送信します。
この記事は、監視するトラフィックが必要に応じてミラーリングされるように、OT センサーをネットワーク内のどこに配置するか、およびセンサーのデプロイのためにサイトを準備する方法を計画するのに役立ちます。
前提条件
特定のサイトの OT 監視を計画する前に、OT 監視システム全体を計画していることを確認してください。
この手順は、アーキテクチャ チームによって実行されます。
Defender for IoT の監視アーキテクチャを確認する
ネットワークと Defender for IoT システムのコンポーネントとアーキテクチャの詳細については、次の記事を参照してください。
ネットワーク図を作成する
各組織のネットワークには、独自の複雑さがあります。 監視するトラフィックを識別できるように、ネットワーク内のすべてのデバイスを完全に一覧表示するネットワーク マップ図を作成します。
ネットワーク図を作成する際は、次の質問を使用して、ネットワーク内のさまざまな要素とそれらの通信方法を特定し、メモを取ってください。
一般的な質問
全体的な監視目的は何ですか?
冗長ネットワークはありますか? また、ネットワーク マップに監視が不要で無視できる領域はありますか?
ネットワークのセキュリティと運用上のリスクはどこにありますか?
ネットワークに関する質問
監視対象のネットワークではどのプロトコルがアクティブですか?
ネットワーク設計で VLAN は構成されていますか?
監視対象のネットワークにルーティングはありますか?
ネットワークにシリアル通信はありますか?
ファイアウォールは監視するネットワークのどこにインストールされていますか?
産業用制御 (ICS) ネットワークとエンタープライズ、ビジネス ネットワークの間にトラフィックはありますか? その場合、このトラフィックは監視されますか?
スイッチとエンタープライズ ファイアウォールの間の物理的な距離はどれくらいですか?
OT システムのメンテナンスは、固定または一時的なデバイスで行われますか?
質問を切り替える
スイッチが管理されていない場合、上位レベルのスイッチからのトラフィックを監視できますか? たとえば、OT アーキテクチャでリング トポロジが使用されている場合、リング内の 1 つのスイッチのみが監視を必要とします。
管理されていないスイッチをマネージド スイッチに交換することはできますか? それとも、ネットワーク TAP の使用はオプションですか?
スイッチの VLAN を監視できますか、または監視できる別のスイッチに VLAN が表示されていますか?
ネットワーク センサーをスイッチに接続すると、HMI と PLC の間の通信がミラーリングされますか?
ネットワーク センサーをスイッチに接続する場合、スイッチのキャビネットに物理的なラック スペースはありますか?
各スイッチを監視する場合のコスト/メリットは何ですか?
監視するデバイスとサブネットを特定する
監視して Defender for IoT ネットワーク センサーにミラーリングするトラフィックは、セキュリティまたは運用の観点から最も興味深いトラフィックです。
サイト エンジニアと共に OT ネットワーク図を確認して、最も監視の意味があるトラフィックを得られる箇所を定義します。 期待を明確にするために、ネットワーク チームと運用チームの両方の意見も聞くことをお勧めします。
チームと一緒に、次の詳細を使用して、監視するデバイスのテーブルを作成します。
仕様 | 説明 |
---|---|
ベンダー名 | デバイスの製造ベンダー |
デバイス名 | 継続的な使用と参照のためのわかりやすい名前 |
Type | デバイスの種類 (スイッチ、ルーター、ファイアウォール、アクセス ポイントなど) |
ネットワーク層 | 監視するデバイスは、L2 または L3 デバイスです。 - L2 デバイス は IP セグメント内のデバイスです - L3 デバイス は IP セグメント外のデバイスです 両方のレイヤーをサポートするデバイスは、L3 デバイスと見なすことができます。 |
VLAN の交差 | デバイスを交差する VLAN の ID。 たとえば、各 VLAN のスパニング ツリー操作モードを調べて、これらの VLAN ID が関連付けられたポートを通過するかどうかを確認します。 |
ゲートウェイ | デバイスでデフォルト ゲートウェイとして機能する VLAN。 |
ネットワークの詳細 | デバイスの IP アドレス、サブネット、D-GW、DNS ホスト |
プロトコル | デバイスで使用されるプロトコル。 既定でサポートされている Defender for IoT のプロトコルの一覧とプロトコルを比較します。 |
サポートされているトラフィック ミラーリング | SPAN、RSPAN、ERSPAN、TAP など、各デバイスでサポートされるトラフィック ミラーリングの種類を定義します。 この情報を使用して、OT センサーのトラフィック ミラーリング方法を選択します。 |
パートナー サービスによって管理されますか? | デバイスを管理するパートナー サービス (Siemens、Rockwell、Emerson など) について説明します。 関連する場合は、管理ポリシーについて説明します。 |
シリアル接続 | デバイスがシリアル接続経由で通信する場合は、シリアル通信プロトコルを指定します。 |
ネットワーク内のデバイスを計算する
適切なサイズで Defender for IoT ライセンスを購入できるように、各サイト内のデバイスの数を計算します。
各サイト内のデバイスの数を計算するには:
サイト内のデバイスの総数を収集して、それらを合算します。
次のデバイスのうち、Defender for IoT によって個別のデバイスと識別されないものをすべて削除します。
- パブリック インターネット IP アドレス
- マルチキャスト グループ
- ブロードキャスト グループ
- 非アクティブなデバイス: 60 日を超える期間、ネットワーク アクティビティが検出されていないデバイス
詳細については、Defender for IoT で監視されるデバイスに関するページを参照してください。
マルチセンサー デプロイを計画する
複数のネットワーク センサーのデプロイを計画している場合は、センサーの配置場所を決定する際に、次の推奨事項も考慮してください。
物理的に接続されたスイッチ: イーサネット ケーブルで物理的に接続されているスイッチの場合は、スイッチ間の距離 80 m ごとに少なくとも 1 つのセンサーを計画してください。
物理的な接続性のない複数のネットワーク: 複数のネットワーク間に物理的な接続性がない場合は、個々のネットワークごとに少なくとも 1 つのセンサーを計画してください
RSPAN をサポートするスイッチ: RSPAN トラフィック ミラーリングを使用できるスイッチがある場合は、ローカル SPAN ポートを備えた 8 台のスイッチごとに少なくとも 1 つのセンサーを計画します。 ケーブルでスイッチを接続できるように、センサーをスイッチの十分近くに配置するように計画してください。
サブネットの一覧を作成する
ネットワーク全体で監視するデバイスのリストに基づいて、監視するサブネットの集計リストを作成します。
センサーをデプロイした後、このリストを使用して、リストされたサブネットが自動的に検出されることを確認し、必要に応じてリストを手動で更新します。
予定されている OT センサーを一覧表示する
Defender for IoT にミラーするトラフィックが分かったら、オンボードするすべての OT センサーの完全な一覧を作成します。
センサーごとに、次の一覧を表示します。
クラウド接続センサーの場合、使用するクラウド接続方法。
サービス品質 (QoS) に必要な帯域幅を考慮して、センサーに物理または仮想アプライアンスを使用するかどうか。 詳細については、「必要なアプライアンス」を参照してください。
各センサーに割り当てるサイトとゾーン。
同じサイトまたはゾーン内のセンサーから取り込まれたデータはまとめて表示でき、システム内の他のデータとは分けて表示されます。 同じサイトまたはゾーンにグループ化して表示したいセンサー データがある場合は、適宜、センサー サイトとゾーンを割り当てるようにしてください。
各センサーに使用するトラフィック ミラーリング方法
ネットワークの拡張に合わせて、より多くのセンサーをオンボードしたり、既存のセンサー定義を変更したりすることができます。
重要
IP アドレスや MAC アドレスなど、各センサーで検出されるデバイスの特性を確認することをお勧めします。 同じ論理セットのデバイス特性を持つ同じゾーンで検出されたデバイスは、自動的に統合され、同じデバイスとして識別されます。
たとえば、複数のネットワークと繰り返しの IP アドレスを使用している場合は、デバイスが個別の一意のデバイスとして正しく識別されるように、各センサーを異なるゾーンで計画してください。
詳細については、繰り返しの IP 範囲のゾーンの分離に関するページを参照してください。
オンプレミスのアプライアンスを準備する
仮想アプライアンスを使用している場合は、関連するリソースが構成されていることを確認します。 詳細については、「仮想アプライアンスによる OT 監視」を参照してください。
物理アプライアンスを使用している場合は、必要なハードウェアがあることを確認します。 事前構成済みのアプライアンスを購入することも、独自のアプライアンスにソフトウェアをインストールすることを計画することもできます。
事前構成済みのアプライアンスを購入するには:
- Azure portal で [Defender for IoT] にアクセスします。
- [作業の開始]>[センサー]>[事前構成済みのアプライアンスを購入]>[連絡先] を選択します。
このリンクにより、Defender for IoT アプライアンスのテンプレート要求を含む hardware.sales@arrow.com への電子メールが開きます。
詳細については、「必要なアプライアンス」を参照してください。
補助ハードウェアを準備する
物理アプライアンスを使用している場合は、物理アプライアンスごとに次の追加ハードウェアを使用できることを確認します。
- モニターとキーボード
- ラック スペース
- AC 電源
- アプライアンスの管理ポートをネットワーク スイッチに接続するための LAN ケーブル
- ミラー (SPAN) ポートとネットワーク ターミナル アクセス ポイント (TAP) をアプライアンスに接続するための LAN ケーブル
アプライアンス ネットワークの詳細を準備する
アプライアンスの準備ができたら、アプライアンスごとに次の詳細の一覧を作成します。
- IP アドレス
- Subnet
- デフォルト ゲートウェイ
- ホスト名
- DNS サーバー (省略可能)、DNS サーバーの IP アドレスとホスト名
デプロイ ワークステーションを準備する
Defender for IoT デプロイ アクティビティを実行できるワークステーションを準備します。 ワークステーションには、次の要件を満たす Windows または Mac コンピューターを使用できます。
ターミナル ソフトウェア (PuTTY など)
センサー コンソールと Azure portal に接続するためにサポートされているブラウザー。 詳細については、Azure portal で推奨されるブラウザーに関するページを参照してください。
必要なファイアウォール規則が構成され、必要なインターフェイスに対してアクセスが開かれます。 詳細については、「ネットワークの要件」を参照してください。
CA 署名証明書を準備する
運用環境デプロイでは、CA 署名証明書を使用することをお勧めします。
オンプレミス リソースの SSL/TLS 証明書の要件を理解していることを確認してください。 初期デプロイ中に CA 署名証明書をデプロイする場合は、必ず証明書を準備しておいてください。
組み込みの自己署名証明書を使用してデプロイする場合でも、後で運用環境に CA 署名証明書をデプロイすることをお勧めします。
詳細については、次を参照してください。