Развертывание гибридного или воздушного управления датчиками OT
Microsoft Defender для Интернета вещей помогает организациям достичь и поддерживать соответствие своей среде OT, предоставляя комплексное решение для обнаружения угроз и управления, включая охват параллельных сетей. Defender для Интернета вещей поддерживает организации в промышленных, энергетических и служебных областях, а также организации соответствия требованиям, такие как NERC CIP или IEC62443.
Некоторые отрасли, такие как государственные организации, финансовые услуги, операторы ядерной энергии и промышленное производство, поддерживают сети с воздушным взглядом. Сети с отслеживанием воздуха физически отделены от других, незащищенных сетей, таких как корпоративные сети, гостевые сети или Интернет. Defender для Интернета вещей помогает этим организациям соблюдать глобальные стандарты обнаружения угроз и управления, сегментации сети и т. д.
Хотя цифровое преобразование помогло предприятиям оптимизировать свои операции и улучшить свои нижние линии, они часто сталкиваются с трением с воздушным взглядом сетей. Изоляция в сетевых сетях обеспечивает безопасность, но также усложняет цифровое преобразование. Например, архитектурные проекты, такие как "Нулевое доверие", которые включают использование многофакторной проверки подлинности, сложно применять в сетях с отслеживанием воздуха.
Сети с отслеживанием воздуха часто используются для хранения конфиденциальных данных или управления кибер-физическими системами, которые не подключены к какой-либо внешней сети, что делает их менее уязвимыми для кибератак. Однако сети с воздушным взглядом не являются полностью безопасными и по-прежнему могут быть нарушены. Поэтому необходимо отслеживать сетевые сети, отбрасываемые по воздуху, чтобы обнаруживать и реагировать на любые потенциальные угрозы.
В этой статье описывается архитектура развертывания гибридных и воздушных решений безопасности, включая проблемы и рекомендации по защите и мониторингу гибридных и воздушных сетей. Вместо сохранения всей инфраструктуры обслуживания Defender для Интернета вещей, содержащейся в закрытой архитектуре, рекомендуется интегрировать датчики Defender для Интернета вещей в существующую ИТ-инфраструктуру, включая локальные или удаленные ресурсы. Такой подход гарантирует, что операции безопасности выполняются гладко, эффективно и легко поддерживаются.
Рекомендации по выбору архитектуры
На следующем рисунке показан пример, высокоуровневая архитектура наших рекомендаций по мониторингу и обслуживанию систем Defender для Интернета вещей, где каждый датчик OT подключается к нескольким системам управления безопасностью в облаке или локальной среде.
В этом примере архитектуры три датчика подключаются к четырем маршрутизаторам в разных логических зонах в организации. Датчики находятся за брандмауэром и интегрируются с локальной, локальной ИТ-инфраструктурой, например локальными серверами резервного копирования, подключениями к удаленному доступу через SASE и переадресации оповещений в локальную систему управления безопасностью и информацией (SIEM).
На этом примере изображения обмен данными для оповещений, сообщений системного журнала и API отображается в сплошной черной строке. Локальная связь управления отображается в сплошной фиолетовой линии, а в облачной или гибридной системе управления отображается точечная черная линия.
Руководство по архитектуре Defender для Интернета вещей для гибридных и воздушных сетей помогает:
- Использование существующей организационной инфраструктуры для мониторинга датчиков OT и управления ими, что снижает потребность в дополнительном оборудовании или программном обеспечении.
- Используйте интеграции с стеком безопасности организации, которые становятся все более надежными и надежными , независимо от того, находитесь ли вы в облаке или в локальной среде.
- Совместная работа с группами глобальной безопасности путем аудита и управления доступом к облачным и локальным ресурсам, обеспечивая согласованную видимость и защиту в средах OT
- Повышение системы безопасности OT путем добавления облачных ресурсов, которые повышают и расширяют возможности существующих возможностей, таких как аналитика угроз, аналитика и автоматизация.
Шаги развертывания
Выполните следующие действия, чтобы развернуть систему Defender для Интернета вещей в локальной или гибридной среде:
Завершите развертывание каждого датчика сети OT в соответствии с планом, как описано в разделе "Развертывание Defender для Интернета вещей для мониторинга OT".
Для каждого датчика выполните следующие действия.
Интеграция с серверами SIEM и syslog партнера, включая настройку Уведомления по электронной почте. Например:
Используйте API Defender для Интернета вещей для создания панелей мониторинга управления. Дополнительные сведения см . в справочнике по API Defender для Интернета вещей.
Настройте прокси-сервер или сетевые прокси-серверы в среде управления.
Настройте мониторинг работоспособности с помощью сервера SNMP MIB или интерфейса командной строки. Дополнительные сведения см. в разделе:
Настройте доступ к интерфейсу управления сервером, например через iDRAC или iLO.
Настройте сервер резервного копирования, включая конфигурации для сохранения резервного копирования на внешний сервер. Дополнительные сведения см. в статье "Резервное копирование и восстановление сетевых датчиков OT" из консоли датчиков.
Переход из устаревшей локальной консоль управления
Важно!
Устаревшие локальные консоль управления не будут поддерживаться или доступны для скачивания после 1 января 2025 г. Мы рекомендуем перейти на новую архитектуру с помощью полного спектра локальных и облачных API до этой даты.
Наше текущее руководство по архитектуре предназначено для повышения эффективности, безопасности и надежности, чем использование устаревших локальных консоль управления. Обновленное руководство содержит меньше компонентов, что упрощает обслуживание и устранение неполадок. Технология интеллектуального датчика, используемая в новой архитектуре, позволяет выполнять локальную обработку, уменьшая потребность в облачных ресурсах и повышая производительность. Обновленное руководство сохраняет данные в собственной сети, обеспечивая более высокую безопасность, чем облачные вычисления.
Если вы являетесь существующим клиентом, использующим локальный консоль управления для управления датчиками OT, рекомендуется перейти к обновленному руководству по архитектуре. На следующем рисунке показано графическое представление шагов перехода к новым рекомендациям:
- В устаревшей конфигурации все датчики подключены к локальной консоль управления.
- В течение переходного периода датчики остаются подключенными к локальному консоль управления при подключении любых датчиков к облаку.
- После полного перехода вы удалите подключение к локальной консоль управления, сохраняя облачные подключения по возможности. Все датчики, которые должны оставаться в воздухе, доступны непосредственно из пользовательского интерфейса датчика.
Чтобы перейти к архитектуре, выполните следующие действия.
Для каждого датчика OT определите устаревшие интеграции, используемые и разрешения, настроенные в настоящее время для локальных групп безопасности. Например, какие системы резервного копирования существуют? Какие группы пользователей получают доступ к данным датчика?
Подключение датчики в локальную среду, Azure и другие облачные ресурсы по мере необходимости для каждого сайта. Например, подключитесь к локальным SIEM, прокси-серверам, хранилищу резервных копий и другим партнерским системам. У вас может быть несколько сайтов и гибридный подход, где только определенные сайты хранятся полностью в виде воздуха или изолированы с помощью диодов данных.
Дополнительные сведения см. в описании, связанном с процедурой развертывания с отслеживанием воздуха, а также в следующих облачных ресурсах:
Настройте разрешения и процедуры обновления для доступа к датчикам для сопоставления новой архитектуры развертывания.
Проверьте и убедитесь, что все варианты использования и процедуры безопасности перешли на новую архитектуру.
После завершения перехода выведите из эксплуатации локальный консоль управления.
Временная шкала выхода на пенсию
Локальная консоль управления выхода на пенсию включает следующие сведения:
- Версии датчиков, выпущенные после 1 января 2025 г., не смогут управляться локальной консоль управления.
- Версии программного обеспечения датчика, выпущенные с 1 января 2024 г. по 1 января 2025 г., будут продолжать поддерживать локальный выпуск консоль управления.
- Датчики с отслеживанием воздуха, которые не могут подключаться к облаку, можно управлять непосредственно с помощью консоли датчика, интерфейса командной строки или API.
Дополнительные сведения см. в статье о версиях программного обеспечения для мониторинга OT.