你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署混合或空隙 OT 传感器管理
Microsoft Defender for IoT 通过提供全面的威胁检测和管理解决方案(包括跨并行网络覆盖)来帮助组织实现和维护其 OT 环境的合规性。 Defender for IoT 支持跨工业、能源和公用事业领域的组织,以及 NERC CIP 或IEC62443等合规性组织。
某些行业(如政府机构、金融服务、核电运营商和工业制造)维护空隙网络。 空中网络在物理上与其他不安全的网络(如企业网络、来宾网络或 Internet)分离。 Defender for IoT 可帮助这些组织遵守威胁检测和管理、网络分段等全球标准。
虽然数字化转型帮助企业简化运营并改善底线,但它们往往面临与空隙网络之间的摩擦。 空中网络中的隔离提供了安全性,但也使数字化转型复杂化。 例如,体系结构设计(如零信任(包括使用多重身份验证)很难跨空网应用。
空隙网络通常用于存储敏感数据或控制未连接到任何外部网络的网络物理系统,使它们不太容易受到网络攻击。 但是,空隙网络并不完全安全,仍可能遭到破坏。 因此,必须监视空隙网络来检测和响应任何潜在威胁。
本文介绍部署混合和空封安全解决方案的体系结构,包括保护和监视混合网络和空化网络的挑战和最佳做法。 建议将 Defender for IoT 传感器集成到现有的 IT 基础结构(包括站点或远程资源)中,而不是保留封闭体系结构中包含的所有 Defender for IoT 维护基础结构。 此方法可确保安全操作能够顺利、高效地运行,并且易于维护。
体系结构建议
下图显示了有关监视和维护 Defender for IoT 系统的建议的示例、高级体系结构,其中每个 OT 传感器都连接到云或本地的多个安全管理系统。
在此示例体系结构中,三个传感器连接到组织中不同逻辑区域中的四个路由器。 这些传感器位于防火墙后面,并与本地、本地 IT 基础结构(例如本地备份服务器、通过 SA 的远程访问连接标准版)集成,并将警报转发到本地安全事件和信息管理(SIEM)系统。
在此示例图像中,警报、syslog 消息和 API 的通信以纯黑线显示。 本地管理通信以纯紫色线显示,云/混合管理通信以虚线显示。
混合网络和空屏网络的 Defender for IoT 体系结构指南可帮助你:
- 使用现有的组织基础结构 监视和管理 OT 传感器,减少对其他硬件或软件的需求
- 无论是在云上还是本地,都使用越来越可靠且可靠的组织安全堆栈集成
- 通过审核和控制对云和本地资源的访问,确保跨 OT 环境保持一致的可见性和保护,与全球安全团队 协作
- 通过添加基于云的资源来增强和增强现有功能(例如威胁情报、分析和自动化)来提高 OT 安全系统
部署步骤
使用以下步骤在空封或混合环境中部署 Defender for IoT 系统:
根据计划完成部署每个 OT 网络传感器,如部署 Defender for IoT 进行 OT 监视中所述。
对于每个传感器,请执行以下步骤:
与合作伙伴 SIEM/syslog 服务器集成,包括设置电子邮件通知。 例如:
使用 Defender for IoT API 创建管理仪表板。 有关详细信息,请参阅 Defender for IoT API 参考。
将代理或链接的代理设置为管理环境。
使用 SNMP MIB 服务器或通过 CLI 设置运行状况监视 。 有关详细信息,请参阅:
配置对服务器管理接口(例如通过 iDRAC 或 iLO)的访问。
配置备份服务器,包括将备份保存到外部服务器的配置。 有关详细信息,请参阅 从传感器控制台备份和还原 OT 网络传感器。
从旧本地管理控制台转换
重要
2025 年 1 月 1 日之后,不支持或下载旧版本地管理控制台。 建议在此日期之前使用各种本地 API 和云 API 过渡到新体系结构。
我们的当前体系结构指南旨在比使用旧版本地管理控制台更高效、更安全、更可靠。 更新后的指南的组件较少,因此更易于维护和故障排除。 新体系结构中使用的智能传感器技术允许本地处理,减少对云资源的需求并提高性能。 更新后的指南将数据保留在自己的网络中,提供比云计算更好的安全性。
如果你是使用本地管理控制台管理 OT 传感器的现有客户,我们建议过渡到更新的体系结构指南。 下图显示了转换步骤到新建议的图形表示形式:
- 在旧配置中,所有传感器都连接到本地管理控制台。
- 在过渡期间,传感器将保持连接到本地管理控制台,同时可将任何传感器连接到云。
- 完全转换后,将删除到本地管理控制台的连接,尽可能保留云连接。 任何必须保持空隙的传感器都可以直接从传感器 UI 访问。
使用以下步骤转换体系结构:
对于每个 OT 传感器,请确定正在使用的旧集成以及当前为本地安全团队配置的权限。 例如,哪些备份系统已到位? 哪些用户组访问传感器数据?
根据需要将传感器连接到本地、Azure 和其他云资源。 例如,连接到本地 SIEM、代理服务器、备份存储和其他合作伙伴系统。 你可能有多个站点,并采用混合方法,其中只有特定站点完全空隙或使用数据二元隔离。
有关详细信息,请参阅空隙部署过程中链接的信息,以及以下云资源:
设置访问传感器的权限和更新过程,以匹配新的部署体系结构。
查看并验证所有安全用例和过程是否已转换为新体系结构。
转换完成后,解除本地管理控制台。
停用时间线
本地管理控制台停用包括以下详细信息:
- 2025 年 1 月 1 日之后发布的传感器版本将无法由本地管理控制台管理。
- 2024 年 1 月 1 日至 2025 年 1 月 1 日发布的传感器软件版本将继续支持本地管理控制台版本。
- 无法连接到云的空隙传感器可以直接通过传感器控制台、CLI 或 API 进行管理。
有关详细信息,请参阅 OT 监视软件版本。