Planeamiento del sistema de supervisión de OT con Defender para IoT
Este artículo forma parte de una serie de artículos que describen la ruta de acceso de implementación para la supervisión de OT con Microsoft Defender para IoT.
Use el contenido siguiente para aprender a planear la supervisión general de OT con Microsoft Defender para IoT, incluidos los sitios que va a supervisar, los grupos de usuarios y los tipos, etc.
Requisitos previos
Antes de empezar a planear la implementación de supervisión de OT, asegúrese de que tiene una suscripción de Azure y un plan de OT incorporado para Defender para IoT. Para obtener más información, consulte la página de Prueba de Microsoft Defender para IoT.
Los equipos de arquitectura realizan este paso.
Planeamiento de sitios y zonas de OT
Al trabajar con redes de OT, se recomienda enumerar todas las ubicaciones en las que su organización tiene recursos conectados a una red y, a continuación, segmentar esas ubicaciones en sitios y zonas.
Cada ubicación física puede tener su propio sitio, que se segmenta aún más en zonas. Asociará cada sensor de red de OT con un sitio y una zona específicos, de modo que cada sensor cubra solo un área específica de la red.
El uso de sitios y zonas admite los principios de Confianza cero y proporciona granularidad adicional de supervisión e informes.
Por ejemplo, si tu empresa en crecimiento tiene fábricas y oficinas en París, Lagos, Dubai y Tianjin, puedes segmentar la red de la siguiente manera:
| Sitio | Zones |
|---|---|
| Oficina de París | - Planta baja (invitados) - Planta 1 (ventas) - Planta 2 (ejecutivo) |
| Oficina de Lagos | - Planta baja (oficinas) - Plantas 1-2 (fábrica) |
| Oficina de Dubái | - Planta baja (centro de convenciones) - Planta 1 (ventas) - Planta 2 (oficinas) |
| Oficina de Tianjin | - Planta baja (oficinas) - Plantas 1-2 (fábrica) |
Si no planea sitios y zonas detallados, Defender para IoT sigue usando un sitio y una zona predeterminados para asignarlos a todos los sensores de OT.
Para más información, consulte Confianza cero y las redes de OT.
Separación de zonas para intervalos IP periódicos
Cada zona puede admitir varios sensores y, si va a implementar Defender para IoT a escala, cada sensor podría detectar diferentes aspectos del mismo dispositivo. Defender para IoT consolida automáticamente los dispositivos detectados en la misma zona, con la misma combinación lógica de características del dispositivo, como la misma dirección IP y MAC.
Si está trabajando con varias redes y tiene dispositivos únicos con características similares, como intervalos de direcciones IP periódicos, asigne cada sensor a una zona independiente para que Defender para IoT sepa diferenciar entre los dispositivos e identifica cada dispositivo de forma única.
Por ejemplo, la red podría parecerse a la siguiente imagen, con seis segmentos de red asignados lógicamente entre dos sitios y zonas de Defender para IoT. Tenga en cuenta que esta imagen muestra dos segmentos de red con las mismas direcciones IP de diferentes líneas de producción.
En este caso, se recomienda separar el sitio 2 en dos zonas independientes, de modo que los dispositivos de los segmentos con direcciones IP periódicas no se consolidan incorrectamente y se identifican como dispositivos independientes y únicos en el inventario de dispositivos.
Por ejemplo:
Planear los usuarios
Comprenda quién usará Defender para IoT en su organización y cuáles son sus casos de uso. Aunque el centro de operaciones de seguridad (SOC) y el personal de TI serán los usuarios más comunes, es posible que tenga otros usuarios de su organización que necesiten acceso de lectura a los recursos de Azure o en recursos locales.
En Azure, las asignaciones de usuarios se basan en sus roles de Microsoft Entra ID y RBAC. Si va a segmentar la red en varios sitios, decida qué permisos desea aplicar por sitio.
Los sensores de red de OT admiten tanto usuarios locales como sincronizaciones de Active Directory. Si va a usar Active Directory, asegúrese de que tiene los detalles de acceso para el servidor de Active Directory.
Para más información, consulte:
- Administración de usuarios de Microsoft Defender para IoT
- Roles y permisos de usuario de Azure en Defender para IoT
- Usuarios y roles locales para la supervisión de OT con Defender para IoT
Planeamiento de conexiones de administración y sensor de OT
En el caso de los sensores conectados a la nube, determine cómo conectará cada sensor de OT a Defender para IoT en la nube de Azure, como qué tipo de proxy podría necesitar. Para obtener más información, consulte Métodos para conectar sensores a Azure.
Si está trabajando en un entorno híbrido o con aire y tendrá varios sensores de red de OT administrados localmente, es posible que quiera planear la implementación de una consola de administración local para configurar las opciones y ver los datos desde una ubicación central. Para más información, consulta la Ruta de implementación de la administración de dispositivos de OT con disponibilidad inalámbrica.
Planeamiento de certificaciones SSL/TLS locales
Se recomienda usar un certificado SSL/TLS firmado por ca con el sistema de producción para garantizar la seguridad continua de los dispositivos.
Planee qué certificados y qué entidad de certificación (CA) usará para cada sensor de OT, qué herramientas usará para generar los certificados y qué atributos incluirá en cada certificado.
Para más información, consulte Requisitos de certificados SSL/TLS para recursos locales.