Preparar uma implementação de site OT
Este artigo é um de uma série de artigos que descrevem o caminho de implementação da monitorização de OT com Microsoft Defender para IoT.
Para monitorizar totalmente a sua rede, precisará de visibilidade em todos os dispositivos de ponto final na sua rede. Microsoft Defender para IoT reflete o tráfego que se move através dos seus dispositivos de rede para sensores de rede do Defender para IoT. Os sensores de rede OT analisam os dados de tráfego, acionam alertas, geram recomendações e enviam dados para o Defender para IoT no Azure.
Este artigo ajuda-o a planear onde colocar sensores OT na sua rede para que o tráfego que pretende monitorizar seja espelhado conforme necessário e como preparar o seu site para a implementação do sensor.
Pré-requisitos
Antes de planear a monitorização de OT para um site específico, certifique-se de que planeou o seu sistema de monitorização OT global.
Este passo é realizado pelas suas equipas de arquitetura.
Saiba mais sobre a arquitetura de monitorização do Defender para IoT
Utilize os seguintes artigos para compreender melhor os componentes e a arquitetura na sua rede e no sistema Defender para IoT:
Criar um diagrama de rede
A rede de cada organização terá a sua própria complexidade. Crie um diagrama de mapa de rede que liste cuidadosamente todos os dispositivos na sua rede para que possa identificar o tráfego que pretende monitorizar.
Ao criar o diagrama de rede, utilize as seguintes perguntas para identificar e tomar notas sobre os diferentes elementos na sua rede e como comunicam.
Perguntas gerais
Quais são os seus objetivos gerais de monitorização?
Tem redes redundantes e existem áreas do mapa de rede que não precisam de monitorização e pode ignorar?
Onde estão os riscos operacionais e de segurança da sua rede?
Perguntas sobre a rede
Que protocolos estão ativos em redes monitorizadas?
As VLANs estão configuradas na estrutura da rede?
Existe algum encaminhamento nas redes monitorizadas?
Existe alguma comunicação em série na rede?
Onde estão instaladas as firewalls nas redes que pretende monitorizar?
Existe tráfego entre uma rede de controlo industrial (ICS) e uma rede empresarial e empresarial? Em caso afirmativo, este tráfego é monitorizado?
Qual é a distância física entre os comutadores e a firewall empresarial?
A manutenção do sistema OT é feita com dispositivos fixos ou transitórios?
Alternar perguntas
Se um comutador não for gerido de outra forma, pode monitorizar o tráfego a partir de um comutador de nível superior? Por exemplo, se a sua arquitetura de OT utilizar uma topologia de anel, apenas um comutador na cadência necessita de monitorização.
Os comutadores não geridos podem ser substituídos por comutadores geridos ou a utilização de TAPs de rede é uma opção?
Pode monitorizar a VLAN do comutador ou a VLAN está visível noutro comutador que pode monitorizar?
Se ligar um sensor de rede ao comutador, irá espelhar a comunicação entre o HMI e os PLCs?
Se quiser ligar um sensor de rede ao comutador, existe espaço em rack físico disponível no armário do comutador?
Qual é o custo/benefício da monitorização de cada comutador?
Identificar os dispositivos e sub-redes que pretende monitorizar
O tráfego que pretende monitorizar e espelhar para os sensores de rede do Defender para IoT é o tráfego mais interessante para si do ponto de vista de segurança ou operacional.
Reveja o diagrama de rede OT juntamente com os engenheiros do site para definir onde encontrará o tráfego mais relevante para monitorização. Recomendamos que se reúna com equipas operacionais e de rede para esclarecer as expetativas.
Em conjunto com a sua equipa, crie uma tabela de dispositivos que pretende monitorizar com os seguintes detalhes:
Especificação | Description |
---|---|
Fornecedor | O fornecedor de fabrico do dispositivo |
Nome do dispositivo | Um nome significativo para utilização e referência contínuas |
Tipo | O tipo de dispositivo, como: Comutador, Router, Firewall, Ponto de Acesso, etc. |
Camada de rede | Os dispositivos que pretende monitorizar são dispositivos L2 ou L3: - Os dispositivos L2 são dispositivos no segmento IP - Os dispositivos L3 são dispositivos fora do segmento IP Os dispositivos que suportam ambas as camadas podem ser considerados dispositivos L3. |
Atravessar VLANs | Os IDs de quaisquer VLANs que atravessam o dispositivo. Por exemplo, verifique estes IDs de VLAN ao verificar o modo de operação de árvore de expansão em cada VLAN para ver se atravessam uma porta associada. |
Gateway para | As VLANs para as quais o dispositivo atua como um gateway predefinido. |
Detalhes da rede | Endereço IP, sub-rede, D-GW e anfitrião DNS do dispositivo |
Protocolos | Protocolos utilizados no dispositivo. Compare os protocolos com a lista de protocolos suportados pelo Defender para IoT. |
Espelhamento de tráfego suportado | Defina que tipo de espelhamento de tráfego é suportado por cada dispositivo, como SPAN, RSPAN, ERSPAN ou TAP. Utilize estas informações para escolher métodos de espelhamento de tráfego para os sensores de OT. |
Gerido por serviços de parceiros? | Descreva se um serviço de parceiros, como a Siemens, Rockwell ou Emerson, gere o dispositivo. Se for relevante, descreva a política de gestão. |
Ligações em série | Se o dispositivo comunicar através de uma ligação de série, especifique o protocolo de comunicação em série. |
Planear uma implementação com vários sensores
Se estiver a planear implementar vários sensores de rede, considere também as seguintes recomendações ao decidir onde colocar os sensores:
Comutadores ligados fisicamente: para comutadores ligados fisicamente pelo cabo Ethernet, certifique-se de que planeia pelo menos um sensor para cada 80 metros de distância entre os comutadores.
Várias redes sem conectividade física: se tiver várias redes sem qualquer conectividade física entre elas, planeie pelo menos um sensor para cada rede individual
Comutadores com suporte RSPAN: se tiver comutadores que podem utilizar o espelhamento de tráfego RSPAN, planeie pelo menos um sensor para cada oito comutadores, com uma porta SPAN local. Planeie colocar o sensor suficientemente perto dos interruptores para que possa ligá-los por cabo.
Criar uma lista de sub-redes
Crie uma lista agregada de sub-redes que pretende monitorizar, com base na lista de dispositivos que pretende monitorizar em toda a rede.
Depois de implementar os sensores, irá utilizar esta lista para verificar se as sub-redes listadas são detetadas automaticamente e atualizar manualmente a lista conforme necessário.
Listar os sensores de OT planeados
Depois de compreender o tráfego que pretende espelhar para o Defender para IoT, crie uma lista completa de todos os sensores de OT que irá integrar.
Para cada sensor, liste:
Se o sensor será um sensor ligado à cloud ou gerido localmente
Para sensores ligados à cloud, o método de ligação à cloud que vai utilizar.
Quer esteja a utilizar aplicações físicas ou virtuais para os sensores, tendo em conta a largura de banda necessária para a qualidade do serviço (QoS). Para obter mais informações, consulte De que aplicações preciso?
O site e a zona que irá atribuir a cada sensor.
Os dados ingeridos a partir de sensores no mesmo site ou zona podem ser visualizados em conjunto, segmentados a partir de outros dados no seu sistema. Se existirem dados de sensores que pretenda ver agrupados no mesmo site ou zona, certifique-se de que atribui sites de sensores e zonas em conformidade.
O método de espelhamento de tráfego que irá utilizar para cada sensor
À medida que a sua rede se expande a tempo, pode integrar mais sensores ou modificar as definições de sensores existentes.
Importante
Recomendamos que verifique as características dos dispositivos que espera que cada sensor detete, como endereços IP e MAC. Os dispositivos detetados na mesma zona com o mesmo conjunto lógico de características do dispositivo são automaticamente consolidados e identificados como o mesmo dispositivo.
Por exemplo, se estiver a trabalhar com várias redes e endereços IP periódicos, certifique-se de que planeia cada sensor com uma zona diferente para que os dispositivos sejam identificados corretamente como dispositivos separados e exclusivos.
Para obter mais informações, veja Separar zonas para intervalos de IP periódicos.
Preparar aplicações no local
Se estiver a utilizar aplicações virtuais, certifique-se de que tem os recursos relevantes configurados. Para obter mais informações, veja Monitorização de OT com aplicações virtuais.
Se estiver a utilizar aplicações físicas, certifique-se de que tem o hardware necessário. Pode comprar aplicações pré-configuradas ou planear instalar software nas suas próprias aplicações.
Para comprar aplicações pré-configuradas:
- Aceda ao Defender para IoT no portal do Azure.
- Selecione Introdução>Sensor>Comprar aplicação> pré-configuradaContacto.
A ligação abre um e-mail para hardware.sales@arrow.comcom um pedido de modelo para aplicações do Defender para IoT.
Para obter mais informações, consulte Que aplicações preciso?
Preparar hardware auxiliar
Se estiver a utilizar aplicações físicas, certifique-se de que tem o seguinte hardware adicional disponível para cada aplicação física:
- Um monitor e um teclado
- Espaço em rack
- Potência CA
- Um cabo LAN para ligar a porta de gestão da aplicação ao comutador de rede
- Cabos LAN para ligar portas espelhadas (SPAN) e pontos de acesso de terminal de rede (TAPs) à sua aplicação
Preparar detalhes da rede da aplicação
Quando tiver as suas aplicações prontas, faça uma lista dos seguintes detalhes para cada aplicação:
- Endereço IP
- Sub-rede
- Gateway predefinido
- Nome do anfitrião
- Servidor DNS (opcional), com o endereço IP do servidor DNS e o nome do anfitrião
Preparar uma estação de trabalho de implementação
Prepare uma estação de trabalho a partir da qual pode executar atividades de implementação do Defender para IoT. A estação de trabalho pode ser um computador Windows ou Mac, com os seguintes requisitos:
Software de terminal, como PuTTY
Um browser suportado para ligar às consolas do sensor e ao portal do Azure. Para obter mais informações, veja browsers recomendados para o portal do Azure.
Regras de firewall necessárias configuradas, com acesso aberto para interfaces necessárias. Para obter mais informações, veja Requisitos de rede.
Preparar certificados assinados pela AC
Recomendamos a utilização de certificados assinados pela AC em implementações de produção.
Certifique-se de que compreende os requisitos de certificado SSL/TLS para recursos no local. Se quiser implementar um certificado assinado pela AC durante a implementação inicial, certifique-se de que tem o certificado preparado.
Se decidir implementar com o certificado autoassinado incorporado, recomendamos que implemente um certificado assinado pela AC em ambientes de produção mais tarde.
Para obter mais informações, consulte: