Defender for IoT e sua arquitetura de rede
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT.
Use o conteúdo abaixo para aprender sobre sua própria arquitetura de rede de tecnologia operacional (OT)/IoT e onde cada um dos elementos do sistema se enquadra em camadas de segmentação de rede OT.
Camadas de rede OT/IoT
A rede da sua organização consiste em vários tipos de dispositivos, que podem ser divididos nos seguintes grupos principais:
- Dispositivos de ponto final. Pode incluir vários subgrupos, como servidores, computadores, dispositivos IoT (Internet das Coisas) e assim por diante.
- Dispositivos de rede. Sirva a infraestrutura com serviços de rede e pode incluir comutadores de rede, firewalls, roteadores e pontos de acesso.
A maioria dos ambientes de rede são projetados com modelo hierárquico de três camadas. Por exemplo:
| Camada | Descrição |
|---|---|
| Acesso | A camada de acesso é onde a maioria dos pontos finais estará localizada. Esses pontos de extremidade são normalmente servidos por um gateway padrão e roteamento das camadas superiores e, muitas vezes, roteamento a partir da camada de distribuição. * Um gateway padrão é um serviço de rede ou entidade dentro da sub-rede local que é responsável pelo roteamento do tráfego fora da LAN, ou segmento IP. |
| Distribuição | A camada de distribuição é responsável por agregar várias camadas de acesso e fornecer comunicação para a camada principal com serviços como roteamento de VLAN, qualidade de serviço, políticas de rede e assim por diante. |
| Núcleo | A camada principal contém o farm de servidores principal da organização e fornece serviços de alta velocidade e baixa latência por meio da camada de distribuição. |
O modelo Purdue de arquitetura de rede
O Modelo de Referência Purdue para segmentação de rede de Sistema de Controle Industrial (ICS)/OT define mais seis camadas, com componentes específicos e controles de segurança relevantes para cada camada.
Cada tipo de dispositivo em sua rede OT cai em um nível específico do modelo Purdue, por exemplo, como mostrado na imagem a seguir:
A tabela a seguir descreve cada nível do modelo Purdue quando aplicado a dispositivos que você pode ter em sua rede:
| Name | Description |
|---|---|
| Nível 0: Célula e área | O nível 0 consiste em uma ampla variedade de sensores, atuadores e dispositivos envolvidos no processo básico de fabricação. Estes dispositivos desempenham as funções básicas do sistema de automação e controlo industrial, tais como: - Condução de um motor - Variáveis de medição - Definição de uma saída - Executar funções essenciais, como pintura, soldadura e dobra |
| Nível 1: Controlo do processo | O Nível 1 consiste em controladores incorporados que controlam e manipulam o processo de fabricação, cuja função principal é se comunicar com os dispositivos de Nível 0. Na fabricação discreta, esses dispositivos são controladores lógicos programáveis (PLCs) ou unidades de telemetria remota (RTUs). No processo de fabricação, o controlador básico é chamado de sistema de controle distribuído (DCS). |
| Nível 2: Supervisão | O nível 2 representa os sistemas e funções associados à supervisão do tempo de execução e operação de uma área de uma instalação de produção. Estes geralmente incluem o seguinte: - Interfaces de operador ou interfaces homem-máquina (IHM) - Alarmes ou sistemas de alerta - Historiador de processos e sistemas de gestão de lotes - Estações de trabalho da sala de controlo Estes sistemas comunicam com os CLP e RTUs de Nível 1. Em alguns casos, comunicam ou partilham dados com o site ou com os sistemas e aplicações empresariais (Nível 4 e Nível 5). Estes sistemas são baseados principalmente em equipamentos de computação padrão e sistemas operacionais (Unix ou Microsoft Windows). |
| Níveis 3 e 3.5: Rede de perímetro industrial e ao nível do local | O nível do local representa o mais alto nível de automação industrial e sistemas de controle. Os sistemas e aplicações que existem a este nível gerem funções de automação e controlo industrial em todo o local. Os níveis 0 a 3 são considerados críticos para as operações do local. Os sistemas e funções existentes a este nível podem incluir o seguinte: - Relatórios de produção (por exemplo, tempos de ciclo, índice de qualidade, manutenção preditiva) - Historiador de plantas - Programação detalhada da produção - Gestão de operações ao nível do site - Gestão de dispositivos e materiais - Servidor de lançamento de patches - Servidor de ficheiros - Domínio industrial, Ative Directory, terminal server Estes sistemas comunicam com a zona de produção e partilham dados com os sistemas e aplicações empresariais (Nível 4 e Nível 5). |
| Níveis 4 e 5: Redes empresariais e empresariais | Os níveis 4 e 5 representam o local ou a rede empresarial onde existem os sistemas e funções de TI centralizados. A organização de TI gerencia diretamente os serviços, sistemas e aplicativos nesses níveis. |
Colocar sensores OT na sua rede
Quando os sensores de rede do Defender for IoT estão conectados à sua infraestrutura de rede, eles recebem tráfego espelhado, como de portas SPAN (switch mirror) ou TAPs de rede. A porta de gerenciamento do sensor se conecta à rede de gerenciamento de negócios, corporativa ou sensor, como para gerenciamento de rede do portal do Azure.
Por exemplo:
A imagem a seguir adiciona recursos do Defender for IoT à mesma rede descrita anteriormente, incluindo uma porta SPAN, um sensor de rede e o Defender for IoT no portal do Azure.
Para obter mais informações, consulte Exemplos de modelos de conectividade de rede OT.
Identificação de pontos de tráfego interessantes
Normalmente, pontos interessantes de uma perspetiva de segurança são as interfaces que se conectam entre a entidade de gateway padrão para o switch principal ou de distribuição.
Identificar essas interfaces como pontos interessantes garante que o tráfego que viaja de dentro do segmento IP para fora do segmento IP seja monitorado. Certifique-se também de considerar o tráfego perdido , que é o tráfego que originalmente estava destinado a sair do segmento, mas acaba permanecendo dentro do segmento. Para obter mais informações, consulte Fluxos de tráfego na rede.
Ao planejar uma implantação do Defender for IoT, recomendamos considerar os seguintes elementos em sua rede:
| Consideração | Descrição |
|---|---|
| Tipos de tráfego exclusivos dentro de um segmento | Considere especialmente os seguintes tipos de tráfego dentro de um segmento de rede: Tráfego de transmissão / multicast: tráfego enviado para qualquer entidade dentro da sub-rede. Com o IGMP (Internet Group Management Protocol), a espionagem é configurada na rede, mas não há garantia de que o tráfego de multicast seja encaminhado para qualquer entidade específica. O tráfego de difusão e multicast é normalmente enviado para todas as entidades na sub-rede IP local, incluindo a entidade de gateway padrão, e, portanto, também é coberto e monitorado. Tráfego Unicast: tráfego encaminhado diretamente para o destino, sem atravessar todos os pontos de extremidade da sub-rede, incluindo o gateway padrão. Monitore o tráfego de unicast com o Defender for IoT colocando sensores diretamente nos switches de acesso. |
| Monitore ambos os fluxos de tráfego | Ao transmitir tráfego para o Defender for IoT, alguns fornecedores e produtos permitem um fluxo de direção, o que pode causar uma lacuna em seus dados. É muito útil monitorar ambas as direções do tráfego para obter informações de conversação de rede sobre suas sub-redes e melhor precisão em geral. |
| Localizar o gateway padrão de uma sub-rede | Para cada sub-rede interessante, o ponto interessante será qualquer conexão com a entidade que atua como o gateway padrão para a sub-rede de rede. No entanto, em alguns casos, há tráfego dentro da sub-rede que não é monitorado pelo ponto interessante regular. O monitoramento desse tipo de tráfego, que não é monitorado pela implantação típica, é útil especialmente em sub-redes confidenciais. |
| Tráfego atípico | O monitoramento do tráfego que não é monitorado pela implantação típica pode exigir pontos de streaming extras e soluções de rede, como RSPAN, tappers de rede e assim por diante. Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT. |
Exemplo de diagrama de tráfego
O diagrama a seguir mostra uma rede de exemplo em um edifício de três andares, onde o primeiro e o segundo andares abrigam pontos finais e switches, e o terceiro andar abriga pontos finais e switches, mas também firewalls, switches principais, um servidor e roteadores.
O tráfego que viaja fora do segmento IP é mostrado por uma linha pontilhada azul.
O tráfego interessante está marcado em vermelho e indica os locais onde recomendamos colocar sensores de rede para transmitir esse tráfego interessante para o Defender for IoT.
Fluxos de tráfego na sua rede
Os dispositivos que acionam o tráfego de rede correspondem à máscara de sub-rede configurada e ao endereço IP com um endereço IP de destino para entender qual deve ser o destino do tráfego. O destino do tráfego será o gateway padrão ou outro lugar dentro do segmento IP. Este processo de correspondência também pode acionar um processo ARP para encontrar o endereço MAC para o endereço IP de destino.
Com base nos resultados do processo de correspondência, os dispositivos rastreiam seu tráfego de rede como tráfego dentro ou fora do segmento IP.
| Trânsito | Descrição | Exemplo |
|---|---|---|
| Tráfego fora do segmento IP | Quando o destino do tráfego não é encontrado dentro do intervalo da máscara de sub-rede, o dispositivo de ponto de extremidade envia o tráfego para o gateway padrão específico que é responsável pelo roteamento do fluxo de tráfego para outros segmentos relevantes. Qualquer tráfego que viaje fora de um segmento IP flui através de um gateway padrão para atravessar o segmento de rede, como um primeiro salto no caminho para seu destino. Nota: Colocar um sensor de rede OT do Defender for IoT neste ponto garante que todo o tráfego que viaja fora do segmento seja transmitido para o Defender for IoT, analisado e possa ser investigado. |
- Um PC é configurado com um endereço IP de e uma máscara de sub-rede de 10.52.2.201 255.255.255.0. - O PC dispara um fluxo de rede para um servidor web com um endereço IP de destino de 10.17.0.88. - O sistema operacional do PC calcula o endereço IP de destino com o intervalo de endereços IP no segmento para determinar se o tráfego deve ser enviado localmente, dentro do segmento, ou direto para a entidade de gateway padrão que pode encontrar a rota correta para o destino. - Com base nos resultados do cálculo, o sistema operacional descobre que, para o par IP e sub-rede ( 10.52.2.17 e 255.255.255.0), o intervalo de segmentos é 10.52.2.0 – 10.52.2.255. Os resultados significam que o servidor Web não está dentro do mesmo segmento IP que o PC, e o tráfego deve ser enviado para o gateway padrão. |
| Tráfego dentro do segmento IP | Se o dispositivo encontrar o endereço IP de destino dentro do intervalo de máscaras de sub-rede, o tráfego não atravessará o segmento IP e viajará dentro do segmento para encontrar o endereço MAC de destino. Esse tráfego requer uma resolução ARP, que dispara um pacote broadcast para encontrar o endereço MAC do endereço IP de destino. |
- Um PC é configurado com um endereço IP de e uma máscara de sub-rede de 10.52.2.17 255.255.255.0. - Este PC dispara um fluxo de rede para outro PC, com um endereço de destino de 10.52.2.131. - O sistema operacional do PC calcula o endereço IP de destino com o intervalo de endereços IP no segmento para determinar se o tráfego deve ser enviado localmente, dentro do segmento, ou direto para a entidade de gateway padrão que pode encontrar a rota correta para o destino. - Com base nos resultados do cálculo, o sistema operacional descobre que, para o par IP e sub-rede ( 10.52.2.17 e 255.255.255.0), o intervalo de segmentos é 10.52.2.0 – 10.52.2.255. Os resultados significam que o endereço IP de destino do PC está dentro do mesmo segmento que o próprio PC, e o tráfego deve ser enviado diretamente no segmento. |
Implementando a implantação do Defender for IoT com um gateway unidirecional
Se você estiver trabalhando com um gateway unidirecional, como Waterfall, Owl Cyber Defense ou Hirschmann, onde os dados passam por um diodo de dados em uma única direção, use um dos seguintes métodos para entender onde colocar seus sensores OT:
Coloque os sensores OT fora do perímetro da rede (Recomendado). Nesse cenário, o sensor recebe tráfego SPAN através do diodo, unidirecionalmente da rede para a porta de monitoramento do sensor. Recomendamos o uso desse método em grandes implantações. Por exemplo:
Coloque seus sensores OT dentro do perímetro da rede. Nesse cenário, o sensor envia alertas de syslog UDP para destinos fora do perímetro através do diodo de dados. Por exemplo:
Os sensores OT colocados dentro do perímetro da rede são arejados e devem ser gerenciados localmente. Eles não podem se conectar à nuvem ou ser gerenciados a partir do portal do Azure. Por exemplo, você precisará atualizar manualmente esses sensores com novos pacotes de inteligência contra ameaças.
Se estiver a trabalhar com uma rede unidirecional e precisar de sensores ligados à nuvem geridos a partir do portal do Azure, certifique-se de que coloca os sensores fora do perímetro da rede.
