Defender for IoT를 사용하여 OT 모니터링 시스템 계획
이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링의 배포 경로를 설명하는 일련의 문서 중 하나입니다.
아래 콘텐츠를 사용하여 모니터링하려는 사이트, 사용자 그룹 및 유형 등을 포함하여 Microsoft Defender for IoT를 사용하여 전체 OT 모니터링을 계획하는 방법을 알아봅니다.
필수 조건
OT 모니터링 배포 계획을 시작하기 전에 Azure 구독 및 OT 계획 온보딩 Defender for IoT가 있는지 확인합니다. 자세한 내용은 Microsoft Defender for IoT 평가판 시작을 참조하세요.
이 단계는 아키텍처 팀에서 수행합니다.
OT 사이트 및 영역 계획
OT 네트워크를 사용하는 경우 조직에서 네트워크에 연결된 리소스가 있는 모든 위치를 나열한 다음, 해당 위치를 사이트 및 영역으로 분할하는 것이 좋습니다.
각 물리적 위치에는 자체 사이트가 있을 수 있으며 영역으로 더 세분화됩니다. 각 센서가 네트워크의 특정 영역만 커버할 수 있도록 각 OT 네트워크 센서를 특정 사이트 및 영역에 연결합니다.
사이트 및 영역을 사용하면 제로 트러스트 원칙이 지원되며 추가 모니터링 및 보고 세분성을 제공합니다.
예를 들어 성장하는 회사가 파리, 라고스, 두바이 및 톈진에 공장과 사무실을 갖고 있는 경우 다음과 같이 네트워크를 분할할 수 있습니다.
| Site | 영역 |
|---|---|
| 파리 사무실 | - 1층(게스트) - 2층(판매) - 2층(Executive) |
| 라고스 사무실 | - 1층(사무실) - 1~2층(공장) |
| 두바이 사무실 | - 1층(컨벤션 센터) - 1층(판매) - 2층(사무실) |
| 톈진 사무실 | - 1층(사무실) - 1~2층(공장) |
자세한 사이트 및 영역을 계획하지 않으면 Defender for IoT는 여전히 기본 사이트 및 영역을 사용하여 모든 OT 센서에 할당합니다.
자세한 내용은 제로 트러스트 및 OT 네트워크를 참조하세요.
되풀이 IP 범위에 대한 영역 분리
각 영역은 여러 센서를 지원할 수 있으며 대규모로 Defender for IoT를 배포하는 경우 각 센서는 동일한 디바이스의 다양한 측면을 감지할 수 있습니다. Defender for IoT는 동일한 IP 및 MAC 주소와 같은 디바이스 특성의 동일한 논리적 조합으로 동일한 영역에서 검색된 디바이스를 자동으로 통합합니다.
여러 네트워크를 사용하고 되풀이 IP 주소 범위와 같은 유사한 특성을 가진 고유한 디바이스가 있는 경우 Defender for IoT가 디바이스를 구분하고 각 디바이스를 고유하게 식별할 수 있도록 각 센서를 별도의 영역에 할당합니다.
예를 들어 네트워크는 두 개의 Defender for IoT 사이트 및 영역에 논리적으로 할당된 6개의 네트워크 세그먼트를 사용하여 다음 이미지와 같이 표시될 수 있습니다. 이 이미지는 서로 다른 프로덕션 라인의 IP 주소가 동일한 두 개의 네트워크 세그먼트를 보여 줍니다.
이 경우 반복되는 IP 주소가 있는 세그먼트의 디바이스가 잘못 통합되지 않고 디바이스 인벤토리에서 별도의 고유한 디바이스로 식별되도록 사이트 2를 두 개의 별도 영역으로 분리하는 것이 좋습니다.
예시:
사용자 계획
조직에서 Defender for IoT를 사용할 사용자와 해당 사용 사례를 이해합니다. SOC(보안 운영 센터) 및 IT 담당자가 가장 일반적인 사용자이지만 Azure 또는 로컬 리소스의 리소스에 대한 읽기 액세스가 필요한 다른 사용자가 조직에 있을 수 있습니다.
Azure에서 사용자 할당은 Microsoft Entra ID 및 RBAC 역할을 기반으로 합니다. 네트워크를 여러 사이트로 분할하는 경우 사이트별로 적용할 권한을 결정합니다.
OT 네트워크 센서는 로컬 사용자와 Active Directory 동기화를 모두 지원합니다. Active Directory를 사용하는 경우 Active Directory 서버에 대한 액세스 세부 정보가 있는지 확인합니다.
자세한 내용은 다음을 참조하세요.
- Microsoft Defender for IoT 사용자 관리
- Defender for IoT에 대한 Azure 사용자 역할 및 권한
- Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할
OT 센서 및 관리 연결 계획
클라우드 연결 센서의 경우 필요한 프록시 종류와 같이 각 OT 센서를 Azure 클라우드의 Defender for IoT에 연결하는 방법을 결정합니다. 자세한 내용은 센서를 Azure에 연결하는 방법을 참조하세요.
에어 갭 또는 하이브리드 환경에서 작업 중이고 로컬로 관리되는 여러 OT 네트워크 센서가 있는 경우 온-프레미스 관리 콘솔을 배포하여 설정을 구성하고 중앙 위치에서 데이터를 볼 수 있습니다. 자세한 내용은 에어 갭이 있는 OT 센서 관리 배포 경로를 참조하세요.
온-프레미스 SSL/TLS 인증 계획
프로덕션 시스템에서 CA 서명 SSL/TLS 인증서를 사용하여 어플라이언스의 지속적인 보안을 보장하는 것이 좋습니다.
각 OT 센서에 사용할 인증서 및 CA(인증 기관), 인증서를 생성하는 데 사용할 도구 및 각 인증서에 포함할 특성을 계획합니다.
자세한 내용은 온-프레미스 리소스의 SSL/TLS 인증서 요구 사항을 참조하세요.