하이브리드 또는 에어 갭 OT 센서 관리 배포
Microsoft Defender for IoT는 조직이 병렬 네트워크 전반의 적용 범위를 포함하여 위협 탐지 및 관리를 위한 포괄적인 솔루션을 제공하여 OT 환경의 규정 준수를 달성하고 유지할 수 있도록 지원합니다. Defender for IoT는 산업, 에너지 및 유틸리티 분야의 조직과 NERC CIP 또는 IEC62443 같은 규정 준수 조직을 지원합니다.
정부 기관, 금융 서비스, 원자력 사업자 및 산업 제조와 같은 특정 산업은 에어 갭 네트워크를 유지합니다. 에어 갭 네트워크는 엔터프라이즈 네트워크, 게스트 네트워크 또는 인터넷 등의 보안되지 않은 다른 네트워크와 물리적으로 분리됩니다. Defender for IoT는 이러한 조직이 위협 탐지 및 관리, 네트워크 세분화 등에 대한 글로벌 표준을 준수하는 데 도움이 됩니다.
디지털 변환은 기업이 운영을 간소화하고 수익을 개선하는 데 도움이 되지만, 에어 갭 네트워크와의 마찰이 자주 발생합니다. 에어 갭 네트워크의 격리는 보안을 제공하지만 디지털 변환을 복잡하게 만들기도 합니다. 예를 들어 다단계 인증 사용을 포함하는 제로 트러스트와 같은 아키텍처 디자인은 에어 갭 네트워크에 적용하기 어렵습니다.
에어 갭 네트워크는 중요한 데이터를 저장하거나 외부 네트워크에 연결되지 않은 사이버 물리적 시스템을 제어하는 데 자주 사용되므로 사이버 공격에 덜 취약합니다. 그러나 에어 갭 네트워크는 완전히 안전한 것이 아니며 여전히 위반이 발생할 수 있습니다. 따라서 잠재적인 위협을 감지하고 대응하기 위해 에어 갭 네트워크를 모니터링해야 합니다.
이 문서에서는 하이브리드 및 에어 갭 네트워크의 보안 및 모니터링을 위한 과제 및 모범 사례를 포함하여 하이브리드 및 에어 갭 보안 솔루션을 배포하는 아키텍처를 설명합니다. 닫힌 아키텍처에 포함된 모든 Defender for IoT 유지 관리 인프라를 유지하는 대신, Defender for IoT 센서를 현장 또는 원격 리소스를 비롯한 기존 IT 인프라에 통합하는 것이 좋습니다. 이 방법을 사용하면 보안 작업이 원활하고 효율적으로 실행되며 유지 관리가 용이합니다.
아키텍처 권장 사항
다음 이미지는 각 OT 센서가 클라우드 또는 온-프레미스의 여러 보안 관리 시스템에 연결되는 Defender for IoT 시스템 모니터링 및 유지 관리에 대한 권장 사항의 개괄적인 샘플 아키텍처를 보여 줍니다.
이 샘플 아키텍처에서는 3개의 센서가 조직 전체의 서로 다른 논리 영역에 있는 4개의 라우터에 연결됩니다. 센서는 방화벽 뒤에 있으며 로컬 백업 서버, SASE를 통한 원격 액세스 연결 및 경고를 온-프레미스 SIEM(보안 이벤트 및 정보 관리) 시스템에 전달하는 등의 로컬 온-프레미스 IT 인프라와 통합됩니다.
이 샘플 이미지에서는 경고, syslog 메시지 및 API에 대한 통신이 검은색 선으로 표시됩니다. 온-프레미스 관리 통신은 보라색 선으로 표시되고 클라우드/하이브리드 관리 통신은 검은색 점선으로 표시됩니다.
하이브리드 및 에어 갭 네트워크용 Defender for IoT 아키텍처 지침은 다음을 수행할 수 있도록 도와줍니다.
- 기존 조직 인프라를 사용하여 OT 센서를 모니터링하고 관리하여 추가 하드웨어 또는 소프트웨어의 필요성을 줄임
- 클라우드에 있든 온-프레미스에 있든 관계없이 점점 더 안정적이고 강력한 조직 보안 스택 통합을 사용
- 클라우드 및 온-프레미스 리소스에 대한 액세스 감사 및 제어를 통해 글로벌 보안 팀과 협업하여 OT 환경에서 일관된 가시성 및 보호를 보장
- 위협 인텔리전스, 분석 및 자동화와 같은 기존 기능을 향상시키고 권한을 부여하는 클라우드 기반 리소스를 추가하여 OT 보안 시스템을 강화
배포 단계
다음 단계를 사용하여 에어 갭 또는 하이브리드 환경에서 Defender for IoT 시스템을 배포합니다.
OT 모니터링을 위해 Defender for IoT 배포에 설명된 대로 플랜에 따라 각 OT 네트워크 센서 배포를 완료합니다.
각 센서에 대해 다음 단계를 수행합니다.
이메일 알림 설정을 포함하여 파트너 SIEM/syslog 서버와 통합합니다. 예시:
Defender for IoT API를 사용하여 관리 대시보드를 만듭니다. 자세한 내용은 Defender for IoT API 참조를 참조하세요.
관리 환경에 프록시 또는 연결된 프록시를 설정합니다.
SNMP MIB 서버를 사용하거나 CLI를 통해 상태 모니터링을 설정합니다. 자세한 내용은 다음을 참조하세요.
iDRAC 또는 iLO를 통해 서버 관리 인터페이스에 대한 액세스를 구성합니다.
백업을 외부 서버에 저장하는 구성을 포함하여 백업 서버를 구성합니다. 자세한 내용은 센서 콘솔에서 OT 네트워크 센서 백업 및 복원을 참조하세요.
레거시 온-프레미스 관리 콘솔에서 전환
Important
레거시 온-프레미스 관리 콘솔은 2025년 1월 1일 이후에는 지원되지 않으며 다운로드할 수 없습니다. 이 날짜 이전에 온-프레미스 및 클라우드 API의 전체 스펙트럼을 사용하여 새 아키텍처로 전환하는 것이 좋습니다.
현재 아키텍처 지침은 레거시 온-프레미스 관리 콘솔을 사용하는 것보다 더 효율적이고 안전하며 신뢰할 수 있도록 설계되었습니다. 업데이트된 지침에는 구성 요소가 적어 유지 관리 및 문제 해결이 더 쉬워집니다. 새 아키텍처에 사용되는 스마트 센서 기술을 통해 온-프레미스 처리가 가능하여 클라우드 리소스의 필요성이 줄어들고 성능이 향상됩니다. 업데이트된 지침은 사용자 고유의 네트워크 내에서 데이터를 유지하여 클라우드 컴퓨팅보다 더 나은 보안을 제공합니다.
온-프레미스 관리 콘솔을 사용하여 OT 센서를 관리하는 기존 고객인 경우 업데이트된 아키텍처 지침으로 전환하는 것이 좋습니다. 다음 이미지는 새 권장 사항으로의 전환 단계를 그래픽으로 표현한 것입니다.
- 레거시 구성에서 모든 센서는 온-프레미스 관리 콘솔에 연결되어 있습니다.
- 전환 기간 동안에는 가능한 모든 센서를 클라우드에 연결하는 동안 센서가 온-프레미스 관리 콘솔에 연결된 상태로 유지됩니다.
- 완전히 전환한 후에는 온-프레미스 관리 콘솔에 대한 연결을 제거하여 가능한 경우 클라우드 연결을 유지합니다. 에어 갭을 유지해야 하는 모든 센서는 센서 UI에서 직접 액세스할 수 있습니다.
다음 단계를 사용하여 아키텍처를 전환합니다.
각 OT 센서에 대해 사용 중인 레거시 통합 및 현재 온-프레미스 보안 팀에 대해 구성된 권한을 식별합니다. 예를 들어 어떤 백업 시스템이 마련되어 있나요? 어떤 사용자 그룹이 센서 데이터에 액세스하나요?
각 사이트에 필요한 대로 센서를 온-프레미스, Azure 및 기타 클라우드 리소스에 연결합니다. 예를 들어 온-프레미스 SIEM, 프록시 서버, 백업 스토리지 및 기타 파트너 시스템에 연결합니다. 여러 사이트가 있고 특정 사이트만 데이터 다이오드를 사용하여 완전한 에어 갭 또는 격리된 상태로 유지되는 하이브리드 접근 방식을 채택할 수 있습니다.
자세한 내용은 에어 갭 배포 절차의 연결된 정보와 다음 클라우드 리소스를 참조하세요.
새 배포 아키텍처와 일치하도록 센서에 액세스하기 위한 사용 권한 및 업데이트 절차를 설정합니다.
모든 보안 사용 사례 및 절차가 새 아키텍처로 전환되었는지 검토하고 유효성을 검사합니다.
전환이 완료되면 온-프레미스 관리 콘솔의 서비스를 해제합니다.
Central Manager의 사용 중지 타임라인
온-프레미스 관리 콘솔 다음 업데이트/변경으로 2025년 1월 1일에 사용 중지됩니다.
- 2025년 1월 1일 이후에 릴리스된 센서 버전은 온-프레미스 관리 콘솔 관리되지 않습니다.
- 에어 갭 센서 지원은 온-프레미스 관리 콘솔 지원에 대한 이러한 변경의 영향을 받지 않습니다. 계속해서 공극 배치를 지원하고 클라우드로의 전환을 지원합니다. 센서는 전체 사용자 인터페이스를 유지하므로 "꺼진" 시나리오에서 사용할 수 있으며 중단 시 네트워크를 계속 분석하고 보호할 수 있습니다.
- 클라우드에 연결할 수 없는 에어 갭 센서는 센서 콘솔 GUI, CLI 또는 API를 통해 직접 관리할 수 있습니다.
- 2024년 1월 1일부터 2025년 1월 1일까지 릴리스된 센서 소프트웨어 버전은 여전히 온-프레미스 관리 콘솔 지원합니다.
자세한 내용은 OT 모니터링 소프트웨어 버전을 참조하세요.