Подготовка развертывания сайта OT
Эта статья входит в серию статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.
Для полного мониторинга сети вам потребуется видимость на всех устройствах конечных точек в сети. Microsoft Defender для Интернета вещей отражает трафик, который перемещается через сетевые устройства на сетевые датчики Defender для Интернета вещей. Затем сетевые датчики OT анализируют данные трафика, активируют оповещения, создают рекомендации и отправляют данные в Defender для Интернета вещей в Azure.
Эта статья поможет вам спланировать размещение датчиков OT в сети, чтобы трафик, который вы хотите отслеживать, зеркально отображался по мере необходимости, и как подготовить сайт к развертыванию датчика.
Предварительные требования
Перед планированием мониторинга OT для определенного сайта убедитесь, что вы запланировали общую систему мониторинга OT.
Этот шаг выполняется командами по архитектуре.
Сведения об архитектуре мониторинга Defender для Интернета вещей
Дополнительные сведения о компонентах и архитектуре в сети и системе Defender для Интернета вещей см. в следующих статьях:
Создание схемы сети
Сеть каждой организации будет иметь собственную сложность. Создайте схему сетевой карты, которая содержит подробный список всех устройств в сети, чтобы можно было определить трафик, который требуется отслеживать.
При создании сетевой схемы используйте следующие вопросы, чтобы определить различные элементы в сети и как они взаимодействуют, и сделать заметки о них.
Общие вопросы
Каковы общие цели мониторинга?
Есть ли у вас избыточные сети и есть ли области карты сети, которые не нуждаются в мониторинге, и вы можете игнорировать?
Каковы риски безопасности и эксплуатации вашей сети?
Вопросы о сети
Какие протоколы активны в отслеживаемых сетях?
Настроены ли виртуальные ЛС в структуре сети?
Существует ли маршрутизация в отслеживаемых сетях?
Есть ли в сети последовательный обмен данными?
Где установлены брандмауэры в сетях, которые вы хотите отслеживать?
Существует ли трафик между сетью промышленного управления (ICS) и корпоративной бизнес-сетью? Если да, отслеживается ли этот трафик?
Каково физическое расстояние между коммутаторами и брандмауэром предприятия?
Выполняется ли обслуживание системы OT с фиксированными или временными устройствами?
Переключение вопросов
Если переключатель в противном случае неуправляем, можно ли отслеживать трафик от коммутатора более высокого уровня? Например, если в архитектуре OT используется кольцевая топология, мониторинг требуется только одному коммутатору в кольце.
Можно ли заменить неуправляемые коммутаторы управляемыми или допускается вариант использования сетевых TAP?
Можно ли отслеживать виртуальную локальную сеть коммутатора или она отображается в другом коммутаторе, который можно отслеживать?
Если подключить сетевой датчик к коммутатору, будет ли он зеркало обмен данными между HMI и PLCs?
Если вы хотите подключить сетевой датчик к коммутатору, есть ли физическое место в стойке в шкафу коммутатора?
Каковы затраты и преимущества мониторинга каждого коммутатора?
Определение устройств и подсетей, которые требуется отслеживать
Трафик, который вы хотите отслеживать и зеркало сетевым датчикам Defender для Интернета вещей, является наиболее интересным для вас с точки зрения безопасности или эксплуатации.
Просмотрите схему сети OT вместе с инженерами сайта, чтобы определить, где вы найдете наиболее релевантный трафик для мониторинга. Мы рекомендуем встретиться с сетевыми и операционными группами, чтобы прояснить ожидания.
Вместе со своей командой создайте таблицу устройств, которые вы хотите отслеживать, со следующими сведениями:
| Спецификация | Описание |
|---|---|
| поставщик | Поставщик производства устройства |
| Имя устройства | Понятное имя для текущего использования и ссылки |
| Тип | Тип устройства, например Коммутатор, Маршрутизатор, Брандмауэр, Точка доступа и т. д. |
| Сетевой уровень | Устройства, которые вы хотите отслеживать, — это устройства L2 или L3: - Устройства L2 — это устройства в ip-сегменте. - Устройства L3 — это устройства за пределами ip-сегмента Устройства, поддерживающие оба уровня, можно рассматривать как устройства уровня 3. |
| Пересечение виртуальных локальных сетей | Идентификаторы всех виртуальных локальных сетей, которые пересекают устройство. Например, проверьте эти идентификаторы виртуальных ЛС, проверив режим работы с деревом охвата в каждой виртуальной локальной сети, чтобы узнать, пересекают ли они связанный порт. |
| Шлюз для | Виртуальные локальные сети, для которых устройство выступает в качестве шлюза по умолчанию. |
| Сведения о сети | IP-адрес, подсеть, D-GW и узел DNS устройства |
| Протоколы | Протоколы, используемые на устройстве. Сравните свои протоколы со списком поддерживаемых в Defender для Интернета вещей протоколов. |
| Поддерживаемая зеркальное отображение трафика | Определите, какой тип зеркального отображения трафика поддерживается каждым устройством, например SPAN, RSPAN, ERSPAN или TAP. Используйте эти сведения, чтобы выбрать методы зеркального отображения трафика для датчиков OT. |
| Управляется партнерскими службами? | Укажите, управляет ли устройством служба партнера, например Сименс, Роквелл или Эмерсон. При необходимости опишите политику управления. |
| Последовательные подключения | Если устройство обменивается данными через последовательное подключение, укажите протокол последовательной связи. |
Планирование развертывания с несколькими датчиками
Если вы планируете развернуть несколько сетевых датчиков, примите во внимание следующие рекомендации при выборе места размещения датчиков.
Физически подключенные коммутаторы. Для коммутаторов, физически подключенных с помощью кабеля Ethernet, обязательно запланируйте по крайней мере один датчик на каждые 80 метров расстояния между коммутаторами.
Несколько сетей без физического подключения. При наличии нескольких сетей без физического подключения между ними запланируйте хотя бы один датчик для каждой отдельной сети.
Коммутаторы с поддержкой RSPAN. Если у вас есть коммутаторы, которые могут использовать зеркальное отображение трафика RSPAN, запланируйте по крайней мере один датчик для каждых восьми коммутаторов с локальным портом SPAN. Запланируйте размещение датчика достаточно близко к коммутаторам, чтобы их можно было подключить по кабелю.
Создание списка подсетей
Создайте агрегированный список подсетей, которые необходимо отслеживать, на основе списка устройств, которые вы хотите отслеживать во всей сети.
После развертывания датчиков вы будете использовать этот список, чтобы убедиться, что перечисленные подсети обнаруживаются автоматически, и вручную обновить список при необходимости.
Вывод списка запланированных датчиков OT
После понимания трафика, который вы хотите зеркало в Defender для Интернета вещей, создайте полный список всех датчиков OT, которые вы будете использовать.
Список для каждого датчика:
Будет ли датчик подключенным к облаку или локально управляемым датчиком
Для подключенных к облаку датчиков — это метод подключения к облаку , который вы будете использовать.
Будете ли вы использовать физические или виртуальные устройства для датчиков с учетом пропускной способности, необходимой для качества обслуживания (QoS). Дополнительные сведения см. в разделе Какие требуются устройства?
Сайт и зона, которые вы будете назначать каждому датчику.
Данные, полученные с датчиков на одном сайте или в одной зоне, можно просматривать вместе, сегментируя их от других данных в вашей системе. Если вы хотите просмотреть данные датчиков, сгруппированные по одному сайту или зоне, обязательно назначьте сайты и зоны датчиков соответствующим образом.
Метод зеркального отображения трафика, который будет использоваться для каждого датчика
По мере расширения сети вы можете подключить дополнительные датчики или изменить существующие определения датчиков.
Важно!
Рекомендуется проверить характеристики устройств, которые должны обнаруживать каждый датчик, например IP-адреса и MAC-адреса. Устройства, обнаруженные в одной зоне с одинаковым логическим набором характеристик устройств, автоматически консолидируются и определяются как одно и то же устройство.
Например, если вы работаете с несколькими сетями и повторяющимися IP-адресами, убедитесь, что для каждого датчика настроена другая зона, чтобы устройства правильно идентифицировались как отдельные уникальные устройства.
Дополнительные сведения см. в разделе Разделение зон для повторяющихся диапазонов IP-адресов.
Подготовка локальных устройств
Если вы используете виртуальные устройства, убедитесь, что у вас настроены соответствующие ресурсы. Дополнительные сведения см. в разделе Мониторинг OT с помощью виртуальных устройств.
Если вы используете физические устройства, убедитесь, что у вас есть необходимое оборудование. Вы можете приобрести предварительно настроенные устройства или запланировать установку программного обеспечения на собственных устройствах.
Чтобы приобрести предварительно настроенные устройства, выполните приведенные далее действия.
- Для Defender для Интернета вещей на портале Azure
- Выберите Приступая к работе>Датчик>Купить предварительно настроенный (модуль)>Запустить.
Ссылка открывает сообщение электронной почты hardware.sales@arrow.comс запросом шаблона для устройств Defender для Интернета вещей.
Дополнительные сведения см. в разделе Какие требуются устройства?
Подготовка вспомогательного оборудования
Если вы используете физические устройства, убедитесь, что для каждого физического (модуль) доступно следующее дополнительное оборудование:
- Монитор и клавиатура
- Место, занимаемое в стойке
- Питание переменного тока
- Кабель локальной сети для подключения порта управления (модуль) к сетевому коммутатору
- Кабели локальной сети для подключения портов зеркало (SPAN) и точек доступа к сетевым терминалам (TAP) к (модуль)
Подготовка сведений о сети (модуль)
Когда устройства будут готовы, составьте список следующих сведений для каждого (модуль):
- IP-адрес
- Подсеть
- Шлюз по умолчанию
- Имя узла
- DNS-сервер (необязательно) с IP-адресом DNS-сервера и именем узла
Подготовка рабочей станции развертывания
Подготовьте рабочую станцию, с которой можно запускать действия развертывания Defender для Интернета вещей. Рабочей станцией может быть компьютер Windows или Mac со следующими требованиями:
Программное обеспечение терминала, например PuTTY
Поддерживаемый браузер для подключения к консолям датчиков и портал Azure. Дополнительные сведения см. в рекомендуемых браузерах для портала Azure.
Необходимые правила брандмауэра настроены с открытым доступом для необходимых интерфейсов. Подробнее см. в статье "Сетевые требования".
Подготовка сертификатов, подписанных ЦС
Мы рекомендуем использовать сертификаты, подписанные ЦС, в рабочих развертываниях.
Убедитесь, что вы понимаете требования к сертификатам SSL/TLS для локальных ресурсов. Если вы хотите развернуть сертификат, подписанный ЦС, во время первоначального развертывания убедитесь, что сертификат подготовлен.
Если вы решили выполнить развертывание с помощью встроенного самозаверяющего сертификата, мы рекомендуем позже развернуть сертификат, подписанный ЦС, в рабочих средах.
Дополнительные сведения см. в разделе: