Udostępnij za pośrednictwem


Przygotowywanie wdrożenia lokacji ot

Ten artykuł jest jednym z serii artykułów opisujących ścieżkę wdrażania monitorowania ot za pomocą Microsoft Defender dla IoT.

Diagram przedstawiający pasek postępu z wyróżnioną pozycją Planowanie i przygotowywanie.

Aby w pełni monitorować sieć, musisz mieć wgląd we wszystkie urządzenia punktu końcowego w sieci. Microsoft Defender dla IoT dubluje ruch przechodzący przez urządzenia sieciowe do czujników sieciowych usługi Defender for IoT. Czujniki sieciowe OT następnie analizują dane ruchu, wyzwalają alerty, generują rekomendacje i wysyłają dane do usługi Defender for IoT na platformie Azure.

Ten artykuł ułatwia zaplanowanie miejsca umieszczenia czujników OT w sieci w taki sposób, aby ruch, który chcesz monitorować, był dublowany zgodnie z potrzebami oraz jak przygotować lokację do wdrożenia czujników.

Wymagania wstępne

Przed zaplanowaniem monitorowania ot dla określonej lokacji upewnij się, że zaplanowano ogólny system monitorowania ot.

Ten krok jest wykonywany przez zespoły ds. architektury.

Dowiedz się więcej o architekturze monitorowania usługi Defender dla IoT

Skorzystaj z następujących artykułów, aby dowiedzieć się więcej na temat składników i architektury w sieci i systemie Defender for IoT:

Tworzenie diagramu sieciowego

Sieć każdej organizacji będzie mieć własną złożoność. Utwórz diagram mapy sieciowej, który dokładnie wyświetla listę wszystkich urządzeń w sieci, aby można było zidentyfikować ruch, który chcesz monitorować.

Podczas tworzenia diagramu sieciowego użyj następujących pytań, aby zidentyfikować i zanotować różne elementy w sieci oraz sposób ich komunikowania.

Pytania ogólne

  • Jakie są ogólne cele monitorowania?

  • Czy masz jakiekolwiek nadmiarowe sieci i czy istnieją obszary mapy sieci, które nie wymagają monitorowania i można je zignorować?

  • Gdzie znajdują się zagrożenia bezpieczeństwa i operacyjne sieci?

Pytania dotyczące sieci

  • Które protokoły są aktywne w monitorowanych sieciach?

  • Czy sieci VLAN są konfigurowane w projekcie sieci?

  • Czy istnieje routing w monitorowanych sieciach?

  • Czy w sieci istnieje jakakolwiek komunikacja szeregowa?

  • Gdzie są zainstalowane zapory w sieciach, które chcesz monitorować?

  • Czy istnieje ruch między siecią kontroli przemysłowej (ICS) a siecią biznesową przedsiębiorstwa? Jeśli tak, czy ten ruch jest monitorowany?

  • Jaka jest fizyczna odległość między przełącznikami a zaporą przedsiębiorstwa?

  • Czy konserwacja systemu OT jest wykonywana z urządzeniami stałymi lub przejściowymi?

Przełączanie pytań

  • Jeśli przełącznik jest niezarządzany, czy można monitorować ruch z przełącznika wyższego poziomu? Jeśli na przykład architektura OT używa topologii pierścienia, monitorowanie wymaga tylko jednego przełącznika w pierścieniu.

  • Czy przełączniki niezarządzane mogą zostać zastąpione przełącznikami zarządzanymi lub czy jest to opcja taps sieci?

  • Czy można monitorować sieć VLAN przełącznika lub czy sieć VLAN jest widoczna w innym przełączniku, który można monitorować?

  • Czy połączenie czujnika sieciowego z przełącznikiem spowoduje zdublowanie komunikacji między kontrolerami HMI i PLC?

  • Jeśli chcesz podłączyć czujnik sieciowy do przełącznika, czy w szafie przełącznika jest dostępna fizyczna przestrzeń stojaka?

  • Jaki jest koszt/korzyść z monitorowania każdego przełącznika?

Identyfikowanie urządzeń i podsieci, które chcesz monitorować

Ruch, który chcesz monitorować i dublować w czujnikach sieciowych usługi Defender dla IoT, jest najbardziej interesującym ruchem z punktu widzenia zabezpieczeń lub działania.

Przejrzyj diagram sieciowy OT wraz z inżynierami lokacji, aby określić, gdzie znajdziesz najbardziej odpowiedni ruch do monitorowania. Zalecamy spełnienie wymagań zarówno z zespołami sieciowymi, jak i operacyjnymi, aby wyjaśnić oczekiwania.

Razem z zespołem utwórz tabelę urządzeń, które chcesz monitorować, z następującymi szczegółami:

Specyfikacja Opis
Dostawca Dostawca produkcji urządzenia
Nazwa urządzenia Zrozumiała nazwa do ciągłego używania i odwołania
Typ Typ urządzenia, taki jak : Przełącznik, Router, Zapora, Punkt dostępu itd.
Warstwa sieci Urządzenia, które chcesz monitorować, to urządzenia L2 lub L3:
- Urządzenia L2 to urządzenia w segmencie IP
- Urządzenia L3 to urządzenia spoza segmentu IP

Urządzenia, które obsługują obie warstwy, można traktować jako urządzenia L3.
Przekraczanie sieci VLAN Identyfikatory dowolnych sieci VLAN, które przekraczają urządzenie. Na przykład zweryfikuj te identyfikatory sieci VLAN, sprawdzając tryb operacji drzewa obejmującego drzewa w każdej sieci VLAN, aby sprawdzić, czy przekraczają skojarzony port.
Brama dla Sieci VLAN, dla których urządzenie działa jako brama domyślna.
Szczegóły sieci Adres IP urządzenia, podsieć, brama D-GW i host DNS
Protokoły Protokoły używane na urządzeniu. Porównaj protokoły z listą obsługiwanych protokołów usługi Defender dla IoT.
Obsługiwane dublowanie ruchu Zdefiniuj, jakiego rodzaju dublowanie ruchu jest obsługiwane przez każde urządzenie, takie jak SPAN, RSPAN, ERSPAN lub TAP.

Te informacje służą do wybierania metod dublowania ruchu dla czujników OT.
Zarządzane przez usługi partnerskie? Opisz, czy usługa partnerska, taka jak Siemens, Rockwell lub Emerson, zarządza urządzeniem. W razie potrzeby opisz zasady zarządzania.
Połączenia szeregowe Jeśli urządzenie komunikuje się za pośrednictwem połączenia szeregowego, określ protokół komunikacji szeregowej.

Planowanie wdrożenia z wieloma czujnikami

Jeśli planujesz wdrożenie wielu czujników sieciowych, podczas podejmowania decyzji o miejscu umieszczenia czujników należy również wziąć pod uwagę następujące zalecenia:

  • Przełączniki połączone fizycznie: w przypadku przełączników podłączonych fizycznie za pomocą kabla Ethernet należy zaplanować co najmniej jeden czujnik dla każdego 80 metrów odległości między przełącznikami.

  • Wiele sieci bez łączności fizycznej: jeśli masz wiele sieci bez łączności fizycznej między nimi, zaplanuj co najmniej jeden czujnik dla każdej pojedynczej sieci

  • Przełączniki z obsługą RSPAN: jeśli masz przełączniki, które mogą używać dublowania ruchu RSPAN, zaplanuj co najmniej jeden czujnik dla każdego ośmiu przełączników z lokalnym portem SPAN. Zaplanuj umieszczenie czujnika wystarczająco blisko przełączników, aby można było podłączyć je za pomocą kabla.

Tworzenie listy podsieci

Utwórz zagregowaną listę podsieci, które chcesz monitorować, na podstawie listy urządzeń, które mają być monitorowane w całej sieci.

Po wdrożeniu czujników użyjesz tej listy, aby sprawdzić, czy wymienione podsieci są wykrywane automatycznie i ręcznie aktualizują listę zgodnie z potrzebami.

Wyświetlanie listy planowanych czujników OT

Po zrozumieniu ruchu, który chcesz dublować w usłudze Defender dla IoT, utwórz pełną listę wszystkich czujników OT, które będziesz dołączać.

Dla każdego czujnika lista:

W miarę rozwoju sieci można dołączyć więcej czujników lub zmodyfikować istniejące definicje czujników.

Ważne

Zalecamy sprawdzenie cech urządzeń, które mają być wykrywane przez każdy czujnik, na przykład adresy IP i MAC. Urządzenia wykryte w tej samej strefie z tym samym logicznym zestawem cech urządzeń są automatycznie konsolidowane i są identyfikowane jako to samo urządzenie.

Jeśli na przykład pracujesz z wieloma sieciami i cyklicznymi adresami IP, upewnij się, że każdy czujnik ma inną strefę, aby urządzenia zostały prawidłowo zidentyfikowane jako oddzielne i unikatowe urządzenia.

Aby uzyskać więcej informacji, zobacz Oddzielanie stref dla cyklicznych zakresów adresów IP.

Przygotowywanie urządzeń lokalnych

  • Jeśli używasz urządzeń wirtualnych, upewnij się, że masz skonfigurowane odpowiednie zasoby. Aby uzyskać więcej informacji, zobacz Monitorowanie ot za pomocą urządzeń wirtualnych.

  • Jeśli używasz urządzeń fizycznych, upewnij się, że masz wymagany sprzęt. Możesz kupić wstępnie skonfigurowane urządzenia lub zaplanować zainstalowanie oprogramowania na własnych urządzeniach.

    Aby kupić wstępnie skonfigurowane urządzenia:

    1. Przejdź do pozycji Defender for IoT w Azure Portal.
    2. Wybierz pozycję Wprowadzenie>Czujnik>Kup wstępnie skonfigurowane urządzenie>Kontakt.

    Link otwiera wiadomość e-mail hardware.sales@arrow.comz żądaniem szablonu dla urządzeń usługi Defender for IoT.

Aby uzyskać więcej informacji, zobacz Jakie urządzenia są potrzebne?

Przygotowywanie sprzętu pomocniczego

Jeśli używasz urządzeń fizycznych, upewnij się, że masz następujący dodatkowy sprzęt dostępny dla każdego urządzenia fizycznego:

  • Monitor i klawiatura
  • Miejsce w stojaku
  • Zasilanie prądem zasilającym
  • Kabel LAN umożliwiający połączenie portu zarządzania urządzenia z przełącznikiem sieciowym
  • Kable LAN do łączenia portów dublowania (SPAN) i punktów dostępu terminalu sieciowego (TAPs) do urządzenia

Przygotowywanie szczegółów sieci urządzenia

Gdy urządzenia są gotowe, utwórz listę następujących szczegółów dla każdego urządzenia:

  • Adres IP
  • Podsieć
  • Brama domyślna
  • Nazwa hosta
  • Serwer DNS (opcjonalnie) z adresem IP serwera DNS i nazwą hosta

Przygotowywanie stacji roboczej wdrożenia

Przygotuj stację roboczą, z której można uruchamiać działania wdrażania usługi Defender for IoT. Stacja robocza może być maszyną z systemem Windows lub Mac z następującymi wymaganiami:

  • Oprogramowanie terminalowe, takie jak PuTTY

  • Obsługiwana przeglądarka do nawiązywania połączenia z konsolami czujników i Azure Portal. Aby uzyskać więcej informacji, zobacz zalecane przeglądarki dla Azure Portal.

  • Skonfigurowane wymagane reguły zapory z otwartym dostępem dla wymaganych interfejsów. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące sieci.

Przygotowywanie certyfikatów podpisanych przez urząd certyfikacji

Zalecamy używanie certyfikatów podpisanych przez urząd certyfikacji we wdrożeniach produkcyjnych.

Upewnij się, że znasz wymagania dotyczące certyfikatu SSL/TLS dla zasobów lokalnych. Jeśli chcesz wdrożyć certyfikat z podpisem urzędu certyfikacji podczas początkowego wdrożenia, upewnij się, że certyfikat został przygotowany.

Jeśli zdecydujesz się wdrożyć za pomocą wbudowanego certyfikatu z podpisem własnym, zalecamy wdrożenie certyfikatu podpisanego przez urząd certyfikacji w środowiskach produkcyjnych później.

Aby uzyskać więcej informacji, zobacz:

Następne kroki