Distribuera hybrid- eller luftgapad HANTERING av OT-sensor

Microsoft Defender för IoT hjälper organisationer att uppnå och upprätthålla efterlevnaden av sin OT-miljö genom att tillhandahålla en omfattande lösning för hotidentifiering och hantering, inklusive täckning över parallella nätverk. Defender for IoT stöder organisationer inom industri-, energi- och verktygsfälten och efterlevnadsorganisationer som NERC CIP eller IEC62443.

Vissa branscher, till exempel statliga organisationer, finansiella tjänster, kärnkraftsoperatörer och industriell tillverkning, underhåller luftgapade nätverk. Luftgapade nätverk är fysiskt åtskilda från andra, osäkra nätverk som företagsnätverk, gästnätverk eller Internet. Defender för IoT hjälper dessa organisationer att följa globala standarder för hotidentifiering och hantering, nätverkssegmentering med mera.

Även om den digitala omvandlingen har hjälpt företag att effektivisera sin verksamhet och förbättra sina slutlinjer, möter de ofta friktion med luftgapade nätverk. Isoleringen i luftspäckade nätverk ger säkerhet men komplicerar också den digitala omvandlingen. Arkitekturdesign som Nolltillit, som omfattar användning av multifaktorautentisering, är till exempel svåra att använda i luftgapade nätverk.

Luftgapade nätverk används ofta för att lagra känsliga data eller kontrollera fysiska cybersystem som inte är anslutna till något externt nätverk, vilket gör dem mindre sårbara för cyberattacker. Luftspäckade nätverk är dock inte helt säkra och kan fortfarande brytas. Det är därför absolut nödvändigt att övervaka luftgapade nätverk för att identifiera och svara på eventuella hot.

Den här artikeln beskriver arkitekturen för att distribuera hybrid- och luftgapade säkerhetslösningar, inklusive utmaningar och bästa praxis för att skydda och övervaka hybrid- och luftgapade nätverk. I stället för att behålla alla Defender for IoT:s underhållsinfrastrukturer i en stängd arkitektur rekommenderar vi att du integrerar Dina Defender för IoT-sensorer i din befintliga IT-infrastruktur, inklusive lokala eller fjärranslutna resurser. Den här metoden säkerställer att dina säkerhetsåtgärder fungerar smidigt, effektivt och är enkla att underhålla.

Rekommendationer för arkitektur

Följande bild visar ett exempel på en arkitektur på hög nivå med våra rekommendationer för övervakning och underhåll av Defender för IoT-system, där varje OT-sensor ansluter till flera säkerhetshanteringssystem i molnet eller lokalt.

I den här exempelarkitekturen ansluter tre sensorer till fyra routrar i olika logiska zoner i organisationen. Sensorerna finns bakom en brandvägg och integreras med lokal lokal IT-infrastruktur, till exempel lokala säkerhetskopieringsservrar, fjärråtkomstanslutningar via SASE och vidarebefordra aviseringar till ett lokalt SIEM-system (Security Event and Information Management).

I den här exempelbilden visas kommunikation för aviseringar, syslog-meddelanden och API:er i en helsvart linje. Lokal hanteringskommunikation visas i en helt lila linje och kommunikationen mellan moln- och hybridhantering visas i en streckad svart linje.

Arkitekturvägledningen för Defender för IoT för hybridnätverk och luftgapade nätverk hjälper dig att:

• Använd din befintliga organisationsinfrastruktur för att övervaka och hantera dina OT-sensorer, vilket minskar behovet av ytterligare maskinvara eller programvara
• Använd organisationssäkerhetsstackintegreringar som blir allt mer tillförlitliga och robusta, oavsett om du befinner dig i molnet eller lokalt
• Samarbeta med dina globala säkerhetsteam genom att granska och kontrollera åtkomsten till molnresurser och lokala resurser, vilket säkerställer konsekvent synlighet och skydd i dina OT-miljöer
• Öka ditt OT-säkerhetssystem genom att lägga till molnbaserade resurser som förbättrar och ger dina befintliga funktioner, till exempel hotinformation, analys och automatisering

Instruktioner för distribution

Använd följande steg för att distribuera ett Defender for IoT-system i en luftgapad eller hybridmiljö:

1. Slutför distributionen av varje OT-nätverkssensor enligt din plan enligt beskrivningen i Distribuera Defender för IoT för OT-övervakning.

2. Utför följande steg för varje sensor:

   • Integrera med SIEM-/syslog-partnerservrar, inklusive att konfigurera e-postaviseringar. Till exempel:

     • Anslut Microsoft Defender för IoT med Microsoft Sentinel
     • Undersöka och identifiera hot för IoT-enheter
     • Vidarebefordra information om lokala OT-aviseringar

   • Använd Defender för IoT API för att skapa hanteringsinstrumentpaneler. Mer information finns i Referens för Defender för IoT API.

   • Konfigurera en proxy eller länkade proxyservrar till hanteringsmiljön.

   • Konfigurera hälsoövervakning med hjälp av en SNMP MIB-server eller via CLI. Mer information finns i:

     • Konfigurera SNMP MIB-hälsoövervakning på en OT-sensor
     • Defender för IoT CLI-användare och åtkomst

   • Konfigurera åtkomst till serverhanteringsgränssnittet, till exempel via iDRAC eller iLO.

   • Konfigurera en säkerhetskopieringsserver, inklusive konfigurationer för att spara säkerhetskopian på en extern server. Mer information finns i Säkerhetskopiera och återställa OT-nätverkssensorer från sensorkonsolen.

Övergång från en äldre lokal hanteringskonsol

Viktigt!

Den äldre lokala hanteringskonsolen stöds inte eller är inte tillgänglig för nedladdning efter den 1 januari 2025. Vi rekommenderar att du övergår till den nya arkitekturen med hela spektrumet av lokala API:er och moln-API:er före detta datum.

Vår nuvarande arkitekturvägledning är utformad för att vara mer effektiv, säker och tillförlitlig än att använda den äldre lokala hanteringskonsolen. Den uppdaterade vägledningen har färre komponenter, vilket gör det enklare att underhålla och felsöka. Den smarta sensorteknik som används i den nya arkitekturen möjliggör lokal bearbetning, vilket minskar behovet av molnresurser och förbättrar prestandan. Den uppdaterade vägledningen håller dina data inom ditt eget nätverk, vilket ger bättre säkerhet än molnbaserad databehandling.

Om du är en befintlig kund som använder en lokal hanteringskonsol för att hantera dina OT-sensorer rekommenderar vi att du övergår till den uppdaterade arkitekturvägledningen. Följande bild visar en grafisk representation av övergångsstegen till de nya rekommendationerna:

• I din äldre konfiguration är alla sensorer anslutna till den lokala hanteringskonsolen.
• Under övergångsperioden förblir dina sensorer anslutna till den lokala hanteringskonsolen medan du ansluter alla sensorer som är möjliga till molnet.
• Efter en fullständig övergång tar du bort anslutningen till den lokala hanteringskonsolen och behåller molnanslutningar där det är möjligt. Alla sensorer som måste förbli luftgapade är tillgängliga direkt från sensorgränssnittet.

Använd följande steg för att överföra arkitekturen:

1. För var och en av dina OT-sensorer identifierar du de äldre integreringar som används och de behörigheter som för närvarande har konfigurerats för lokala säkerhetsteam. Vilka säkerhetskopieringssystem finns till exempel på plats? Vilka användargrupper har åtkomst till sensordata?

2. Anslut dina sensorer till lokala resurser, Azure och andra molnresurser efter behov för varje plats. Du kan till exempel ansluta till en lokal SIEM, proxyservrar, lagring av säkerhetskopior och andra partnersystem. Du kan ha flera platser och använda en hybridmetod, där endast specifika platser hålls helt luftspgapade eller isolerade med hjälp av datadioder.

   Mer information finns i informationen som är länkad i den luftgapade distributionsproceduren samt följande molnresurser:

   • Etablera sensorer för molnhantering
   • Övervakning av OT-hot i företags-SOC:er
   • Skydda IoT-enheter i företaget

3. Konfigurera behörigheter och uppdateringsprocedurer för åtkomst till dina sensorer för att matcha den nya distributionsarkitekturen.

4. Granska och verifiera att alla säkerhetsanvändningsfall och procedurer har övergått till den nya arkitekturen.

5. När övergången är klar inaktiverar du den lokala hanteringskonsolen.

Tidslinje för pensionering

Den lokala hanteringskonsolens tillbakadragning innehåller följande information:

• Sensorversioner som släpptes efter den 1 januari 2025 kommer inte att kunna hanteras av en lokal hanteringskonsol.
• Sensorprogramversioner som släpptes mellan 1 januari 2024 och 1 januari 2025 kommer att fortsätta att stödja en lokal hanteringskonsolversion.
• Luftgapade sensorer som inte kan ansluta till molnet kan hanteras direkt via sensorkonsolen, CLI eller API:et.

Mer information finns i OT-övervakning av programvaruversioner.

Nästa steg

Underhålla OT-nätverkssensorer från sensorkonsolen