OT 사이트 배포 준비
이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링의 배포 경로를 설명하는 일련의 문서 중 하나입니다.
네트워크를 완벽하게 모니터링하려면 네트워크의 모든 엔드포인트 디바이스의 가시성이 필요합니다. Microsoft Defender for IoT는 네트워크 디바이스를 통해 Defender for IoT 네트워크 센서로 이동하는 트래픽을 미러링합니다. 그런 다음, OT 네트워크 센서는 트래픽 데이터를 분석하고, 경고를 트리거하고, 권장 사항을 생성하고, 데이터를 Azure의 Defender for IoT로 보냅니다.
이 문서는 모니터링하려는 트래픽이 필요에 따라 미러링되도록 네트워크에 OT 센서를 배치할 위치와 센서 배포를 위해 사이트를 준비하는 방법을 계획하는 데 도움이 됩니다.
필수 조건
특정 사이트에 대한 OT 모니터링을 계획하기 전에 전체 OT 모니터링 시스템을 계획했는지 확인합니다.
이 단계는 아키텍처 팀에서 수행합니다.
Defender for IoT의 모니터링 아키텍처에 대해 알아보기
다음 문서를 사용하여 네트워크 및 Defender for IoT 시스템의 구성 요소 및 아키텍처에 대해 자세히 알아봅니다.
네트워크 다이어그램 만들기
각 조직의 네트워크는 고유한 복잡성을 갖습니다. 모니터링하려는 트래픽을 식별할 수 있도록 네트워크의 모든 디바이스를 철저하게 나열하는 네트워크 맵 다이어그램을 만듭니다.
네트워크 다이어그램을 만드는 동안 다음 질문을 사용하여 네트워크의 다양한 요소와 요소 간의 통신 방법을 식별하고 메모합니다.
일반적인 질문
전반적인 모니터링 목표는 무엇인가요?
중복 네트워크가 있나요? 모니터링이 필요하지 않고 무시할 수 있는 네트워크 맵 영역이 있나요?
네트워크의 보안 및 운영 위험은 어디에 있나요?
네트워크 질문
모니터링되는 네트워크에서 어떤 프로토콜이 활성 상태인가요?
네트워크 디자인에서 VLAN이 구성되어 있나요?
모니터링되는 네트워크에 라우팅이 있나요?
네트워크에 직렬 통신이 있나요?
모니터링하려는 네트워크의 방화벽은 어디에 설치되어 있나요?
ICS(산업 제어) 네트워크와 엔터프라이즈, 비즈니스 네트워크 간에 트래픽이 있나요? 그렇다면 이 트래픽은 모니터링되나요?
스위치와 엔터프라이즈 방화벽 간의 실제 거리는 어떻게 되나요?
고정 디바이스 또는 임시 디바이스에서 OT 시스템 유지 관리는 수행되고 있나요?
스위치 질문
스위치가 관리되지 않는 경우 더 상위 수준의 스위치에서 트래픽을 모니터링할 수 있나요? 예를 들어 OT 아키텍처에서 링 토폴로지를 사용하는 경우 링의 스위치 하나만 모니터링해야 합니다.
관리되지 않는 스위치를 관리되는 스위치로 바꾸거나 네트워크 TAP를 옵션으로 사용할 수 있나요?
스위치의 VLAN을 모니터링할 수 있나요? 아니면 모니터링할 수 있는 다른 스위치에 VLAN이 표시되어 있나요?
네트워크 센서를 스위치에 연결하는 경우 HMI와 PLC 간의 통신이 미러링되나요?
네트워크 센서를 스위치에 연결하려는 경우 스위치의 캐비닛에서 사용할 수 있는 물리적 랙 공간이 있나요?
각 스위치 모니터링의 비용/혜택은 무엇인가요?
모니터링하려는 디바이스 및 서브넷 식별
Defender for IoT 네트워크 센서를 모니터링하고 미러링하려는 트래픽은 보안 또는 운영 측면에서 가장 흥미로운 트래픽입니다.
사이트 엔지니어와 함께 OT 네트워크 다이어그램을 검토하여 모니터링에 가장 관련성이 높은 트래픽을 찾을 수 있는 위치를 정의합니다. 기대치를 명확히 하기 위해 네트워크 팀과 운영 팀 모두를 만나는 것이 좋습니다.
팀과 함께 다음 세부 정보를 사용하여 모니터링할 디바이스 테이블을 만듭니다.
| 규격 | 설명 |
|---|---|
| 공급업체 | 디바이스의 제조 공급업체 |
| 디바이스 이름 | 지속적으로 사용하고 참조할 수 있는 의미 있는 이름 |
| Type | 디바이스 유형: 스위치, 라우터, 방화벽, 액세스 지점 등 |
| 네트워크 계층 | 모니터링하려는 디바이스는 L2 또는 L3 디바이스입니다. - L2 디바이스는 IP 세그먼트 내의 디바이스입니다. - L3 디바이스는 IP 세그먼트 외부의 디바이스입니다. 두 계층을 모두 지원하는 디바이스는 L3 디바이스로 간주될 수 있습니다. |
| VLAN 교차 | 디바이스를 교차하는 모든 VLAN의 ID입니다. 예를 들어 각 VLAN에서 스패닝 트리 작업 모드를 검사하여 이러한 VLAN ID가 연결된 포트를 통과하는지 확인합니다. |
| 게이트웨이: | 디바이스가 기본 게이트웨이 역할을 하는 VLAN입니다. |
| 네트워크 세부 정보 | 디바이스의 IP 주소, 서브넷, D-GW, DNS 호스트 |
| 프로토콜 | 디바이스에서 사용되는 프로토콜입니다. 기본적으로 지원되는 Defender for IoT의 프로토콜 목록과 프로토콜을 비교합니다. |
| 지원되는 트래픽 미러링 | SPAN, RSPAN, ERSPAN, TAP과 등 각 디바이스에서 지원되는 트래픽 미러링 종류를 정의합니다. 이 정보를 사용하여 OT 센서의 트래픽 미러링 방법을 선택합니다. |
| 파트너 서비스에서 관리하나요? | Siemens, Rockwell, Emerson 등의 파트너 서비스가 디바이스를 관리하는지 설명합니다. 해당되는 경우 관리 정책을 설명합니다. |
| 직렬 연결 | 디바이스가 직렬 연결을 통해 통신하는 경우 직렬 통신 프로토콜을 지정합니다. |
다중 센서 배포 계획
여러 네트워크 센서를 배포할 계획인 경우 센서 배치 위치를 결정할 때 다음 권장 사항도 고려합니다.
물리적으로 연결된 스위치: 이더넷 케이블로 물리적으로 연결된 스위치의 경우 스위치 사이의 거리 80m마다 하나 이상의 센서를 계획해야 합니다.
물리적으로 연결되지 않은 여러 네트워크: 여러 네트워크가 물리적으로 연결되어 있지 않은 경우 각 개별 네트워크마다 하나 이상의 센서를 계획해야 합니다.
RSPAN을 지원하는 스위치: RSPAN 트래픽 미러링을 사용할 수 있는 스위치가 있는 경우 로컬 SPAN 포트를 사용하여 8개의 스위치당 하나 이상의 센서를 계획합니다. 케이블로 연결할 수 있도록 센서를 스위치에 충분히 가깝게 배치할 계획입니다.
서브넷 목록 만들기
전체 네트워크에서 모니터링하려는 디바이스 목록을 기반으로 모니터링하려는 서브넷의 집계 목록을 만듭니다.
센서를 배포한 후에는 이 목록을 사용하여 나열된 서브넷이 자동으로 검색되는지 확인하고 필요에 따라 목록을 수동으로 업데이트합니다.
계획된 OT 센서 나열
Defender for IoT에 미러링하려는 트래픽을 이해한 후에는 온보딩하려는 모든 OT 센서의 전체 목록을 만듭니다.
각 센서에 대해 다음을 나열합니다.
센서가 클라우드 연결인지 또는 로컬 관리형 센서인지 여부
클라우드 연결 센서의 경우 사용할 클라우드 연결 방법입니다.
QoS(서비스 품질)에 필요한 대역폭을 고려하여 센서에 물리적 어플라이언스를 사용할지 또는 가상 어플라이언스를 사용할지 여부를 고려합니다. 자세한 내용은 필요한 어플라이언스를 참조하세요.
각 센서에 할당할 사이트 및 영역입니다.
동일한 사이트 또는 영역의 센서에서 수집된 데이터를 시스템의 다른 데이터에서 분할하여 함께 볼 수 있습니다. 동일한 사이트 또는 영역에서 함께 그룹화하여 보려는 센서 데이터가 있는 경우 그에 따라 센서 사이트 및 영역을 할당해야 합니다.
각 센서에 사용할 트래픽 미러링 방법
시간이 지남에 따라 네트워크가 더 많은 센서를 온보딩하거나 기존 센서 정의를 수정할 수 있습니다.
Important
IP 및 MAC 주소와 같이 각 센서가 검색할 것으로 예상되는 디바이스의 특성을 확인하는 것이 좋습니다. 동일한 논리적 디바이스 특성 집합을 사용하여 동일한 영역에서 검색된 디바이스는 자동으로 통합되고 동일한 디바이스로 식별됩니다.
예를 들어 여러 네트워크 및 반복되는 IP 주소를 사용하여 작업하는 경우 디바이스가 개별적이고 고유한 디바이스로 올바르게 식별되도록 각 센서를 다른 영역으로 계획해야 합니다.
자세한 내용은 되풀이 IP 범위에 대한 영역 분리를 참조하세요.
온-프레미스 어플라이언스 준비
가상 어플라이언스를 사용하는 경우 관련 리소스가 구성되어 있는지 확인합니다. 자세한 내용은 가상 어플라이언스로 OT 모니터링을 참조하세요.
물리적 어플라이언스를 사용하는 경우 필요한 하드웨어가 있는지 확인합니다. 미리 구성된 어플라이언스를 구입하거나 자체 어플라이언스에 소프트웨어를 설치할 계획입니다.
미리 구성된 어플라이언스를 구매하려면:
- Azure Portal에서 Defender for IoT로 이동합니다.
- 시작>센서>미리 구성된 어플라이언스 구매>문의를 선택합니다.
이 링크는 Defender for IoT 어플라이언스의 템플릿 요청이 포함된 hardware.sales@arrow.com에 대한 메일로 이어집니다.
자세한 내용은 필요한 어플라이언스를 참조하세요.
보조 하드웨어 준비
물리적 어플라이언스를 사용하는 경우 물리적 어플라이언스별로 다음과 같은 추가 하드웨어를 사용할 수 있는지 확인합니다.
- 모니터 및 키보드
- 랙 공간
- AC 전원
- 어플라이언스의 관리 포트를 네트워크 스위치에 연결하는 LAN 케이블
- 미러(SPAN) 포트 및 네트워크 터미널 액세스 지점(TAP)을 어플라이언스에 연결하기 위한 LAN 케이블
어플라이언스 네트워크 세부 정보 준비
어플라이언스가 준비되면 각 어플라이언스에 대한 다음 세부 정보 목록을 만듭니다.
- IP 주소
- 서브넷
- 기본 게이트웨이
- 호스트 이름
- DNS 서버(선택 사항), DNS 서버 IP 주소 및 호스트 이름
배포 워크스테이션 준비
Defender for IoT 배포 작업을 실행할 수 있는 워크스테이션을 준비합니다. 워크스테이션은 다음과 같은 요구 사항을 충족하는 Windows 또는 Mac 머신일 수 있습니다.
PuTTY와 같은 터미널 소프트웨어
센서 콘솔 및 Azure Portal에 연결하기 위해 지원되는 브라우저입니다. 자세한 내용은 Azure Portal 권장 브라우저를 참조하세요.
필수 인터페이스에 대한 액세스가 열려 있는 필수 방화벽 규칙이 구성되었습니다. 자세한 내용은 네트워킹 요구 사항을 참조하세요.
CA 서명 인증서 준비
프로덕션 배포에서는 CA 서명 인증서를 사용하는 것이 좋습니다.
온-프레미스 리소스에 대한 SSL/TLS 인증서 요구 사항을 이해해야 합니다. 초기 배포 중에 CA 서명 인증서를 배포하려면 인증서를 준비해야 합니다.
기본 제공 자체 서명된 인증서를 사용하여 배포하려는 경우 나중에 프로덕션 환경에서 CA 서명된 인증서를 배포하는 것이 좋습니다.
자세한 내용은 다음을 참조하세요.