Monitorowanie funkcji OT za pomocą urządzeń wirtualnych
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT i listę specyfikacji wymaganych, jeśli chcesz zainstalować oprogramowanie Microsoft Defender dla IoT na własnych urządzeniach wirtualnych.
Uwaga
Ten artykuł zawiera również informacje istotne dla lokalnych konsol zarządzania. Aby uzyskać więcej informacji, zobacz Air-gapped OT sensor management ścieżka wdrożenia.
Informacje o funkcjach hypervisor
Zwirtualizowany sprzęt używany do uruchamiania systemów operacyjnych gościa jest dostarczany przez hosty maszyn wirtualnych, nazywane również funkcjami hypervisor. Usługa Defender dla IoT obsługuje następujące oprogramowanie funkcji hypervisor:
- VMware ESXi (wersja 5.0 lub nowsza)
- Microsoft Hyper-V (konfiguracja maszyny wirtualnej w wersji 8.0 lub nowszej)
Więcej informacji:
- Czujnik OT jako urządzenie wirtualne z oprogramowaniem VMware ESXi
- Czujnik OT jako urządzenie wirtualne z funkcją Microsoft Hyper-V
- Lokalna konsola zarządzania jako urządzenie wirtualne z programem VMware ESXi
- Lokalna konsola zarządzania jako urządzenie wirtualne z funkcją Microsoft Hyper-V
Ważne
Inne typy funkcji hypervisor, takie jak hostowane funkcje hypervisor, mogą również uruchamiać usługę Defender dla IoT. Jednak ze względu na brak wyłącznej kontroli sprzętu i rezerwacji zasobów inne typy funkcji hypervisor nie są obsługiwane w środowiskach produkcyjnych. Na przykład: Parallels, Oracle VirtualBox i VMware Workstation lub Fusion
Zagadnienia dotyczące projektowania urządzenia wirtualnego
W tej sekcji opisano zagadnienia dotyczące składników urządzenia wirtualnego zarówno dla czujników OT, jak i lokalnych konsol monitorowania.
| Specyfikacja | Kwestie wymagające rozważenia |
|---|---|
| CPU | Przypisz dedykowane rdzenie procesora CPU (nazywane również przypinaniem) z co najmniej 2,4 GHz, które nie są przydzielane dynamicznie. Użycie procesora CPU będzie wysokie, ponieważ urządzenie stale rejestruje i analizuje ruch sieciowy. Wydajność procesora CPU ma kluczowe znaczenie dla przechwytywania i analizowania ruchu sieciowego, a każde spowolnienie może prowadzić do spadku pakietów i obniżenia wydajności. |
| Pamięć | Pamięć RAM powinna być przydzielana statycznie dla wymaganej pojemności, a nie dynamicznie. Spodziewaj się wysokiego wykorzystania pamięci RAM ze względu na stałe rejestrowanie i analizę ruchu sieciowego czujnika, |
| Interfejsy sieciowe | Mapowanie fizyczne zapewnia najlepszą wydajność, najmniejsze opóźnienie i wydajne użycie procesora CPU. Naszym zaleceniem jest fizyczne mapowania kart sieciowych na maszyny wirtualne za pomocą funkcji SR-IOV lub dedykowanej karty sieciowej. W wyniku wysokiego poziomu monitorowania ruchu spodziewaj się wysokiego wykorzystania sieci. Ustaw tryb promiscuous na przełączniku wirtualnym na Wartość Akceptuj, co umożliwia wszystkim ruchowi dotarcie do maszyny wirtualnej. Niektóre implementacje przełącznika wirtualnego mogą blokować niektóre protokoły, jeśli nie są poprawnie skonfigurowane. |
| Storage | Upewnij się, że przydzielisz wystarczającą liczbę operacji we/wy odczytu i zapisu oraz przepływność, aby dopasować wydajność urządzeń wymienionych w tym artykule. Należy oczekiwać dużego użycia magazynu ze względu na duże woluminy monitorowania ruchu. |
Wymagania dotyczące maszyny wirtualnej czujnika sieci OT
W poniższych tabelach wymieniono wymagania systemowe dotyczące czujników sieci OT na urządzeniach wirtualnych oraz wydajność mierzoną w naszych laboratoriach kwalifikacyjnych.
W przypadku wszystkich wdrożeń wyniki przepustowości maszyn wirtualnych mogą się różnić w zależności od dystrybucji protokołów i dostępnych zasobów sprzętowych, w tym modelu procesora CPU, przepustowości pamięci i liczby operacji we/wy na sekundę.
| Profil sprzętu | Wydajność/monitorowanie | Specyfikacje fizyczne |
|---|---|---|
| C5600 | Maksymalna przepustowość: 2,5 Gb/s Maksymalna liczba monitorowanych zasobów: 12 000 |
procesor wirtualny: 32 Pamięć: 32 GB Magazyn: 5,6 TB (600 operacji we/wy na sekundę) |
| E1800 | Maksymalna przepustowość: 800 Mb/s Maksymalna liczba monitorowanych zasobów: 10 000 |
Procesor wirtualny: 8 Pamięć: 32 GB Magazyn: 1,8 TB (300 operacji we/wy na sekundę) |
| E1000 | Maksymalna przepustowość: 800 Mb/s Maksymalna liczba monitorowanych zasobów: 10 000 |
Procesor wirtualny: 8 Pamięć: 32 GB Magazyn: 1 TB (300 operacji we/wy na sekundę) |
| E500 | Maksymalna przepustowość: 800 Mb/s Maksymalna liczba monitorowanych zasobów: 10 000 |
Procesor wirtualny: 8 Pamięć: 32 GB Magazyn: 500 GB (300 operacji we/wy na sekundę) |
| L500 | Maksymalna przepustowość: 160 Mb/s Maksymalna liczba monitorowanych zasobów: 1000 |
Procesor wirtualny: 4 Pamięć: 8 GB Magazyn: 500 GB (150 operacji we/wy na sekundę) |
| L100 | Maksymalna przepustowość: 100 Mb/s Maksymalna liczba monitorowanych zasobów: 800 |
Procesor wirtualny: 4 Pamięć: 8 GB Magazyn: 100 GB (150 operacji we/wy na sekundę) |
Uwaga
Nie ma potrzeby wstępnego instalowania systemu operacyjnego na maszynie wirtualnej, instalacja czujnika zawiera obraz systemu operacyjnego.
Wymagania dotyczące lokalnej maszyny wirtualnej konsoli zarządzania
Lokalna konsola zarządzania na urządzeniu wirtualnym jest obsługiwana w przypadku wdrożeń w przedsiębiorstwie z następującymi wymaganiami:
| Specyfikacja | Wymagania |
|---|---|
| Profil sprzętu | E1800 |
| Procesor wirtualny | 8 |
| Pamięć | 32 GB |
| Storage | 1,8 TB |
| Monitorowane czujniki | Do 300 |