Preparare una distribuzione del sito OT
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.
Per monitorare completamente la rete, sarà necessaria visibilità su tutti i dispositivi endpoint nella rete. Microsoft Defender per IoT rispecchia il traffico che passa attraverso i dispositivi di rete a Defender per i sensori di rete IoT. I sensori di rete OT analizzano quindi i dati del traffico, attivano avvisi, generano raccomandazioni e inviano dati a Defender per IoT in Azure.
Questo articolo consente di pianificare dove inserire sensori OT nella rete in modo che il traffico da monitorare sia mirrorato in base alle esigenze e come preparare il sito per la distribuzione del sensore.
Prerequisiti
Prima di pianificare il monitoraggio OT per un sito specifico, assicurarsi di aver pianificato il sistema di monitoraggio OT complessivo.
Questo passaggio viene eseguito dai team dell'architettura.
Informazioni sull'architettura di monitoraggio di Defender per IoT
Usare gli articoli seguenti per altre informazioni sui componenti e sull'architettura nel sistema network e Defender per IoT:
Creare un diagramma di rete
Ogni rete dell'organizzazione avrà una propria complessità. Creare un diagramma mappa di rete che elenca accuratamente tutti i dispositivi nella rete in modo che sia possibile identificare il traffico da monitorare.
Durante la creazione del diagramma di rete, usare le domande seguenti per identificare e prendere note sui diversi elementi della rete e su come comunicano.
Domande generali
Quali sono gli obiettivi di monitoraggio generali?
Sono presenti reti ridondanti e sono presenti aree della mappa di rete che non necessitano di monitoraggio e che è possibile ignorare?
Dove sono i rischi operativi e di sicurezza della rete?
Domande sulla rete
Quali protocolli sono attivi nelle reti monitorate?
Le reti virtuali sono configurate nella progettazione di rete?
Esiste un routing nelle reti monitorate?
Esiste una comunicazione seriale nella rete?
Dove sono installati i firewall nelle reti da monitorare?
C'è traffico tra una rete di controllo industriale (ICS) e una rete aziendale, aziendale? In tal caso, questo traffico è monitorato?
Qual è la distanza fisica tra i commutatori e il firewall aziendale?
La manutenzione del sistema OT viene eseguita con dispositivi fissi o temporanei?
Domande di cambio
Se un commutatore non viene gestito, è possibile monitorare il traffico da un commutatore di livello superiore? Ad esempio, se l'architettura OT usa una topologia anello, un solo commutatore nell'anello richiede il monitoraggio.
Le opzioni non gestite possono essere sostituite con commutatori gestiti oppure l'uso di TAP di rete è un'opzione?
È possibile monitorare la VLAN del commutatore oppure è visibile in un altro commutatore che è possibile monitorare?
Se si connette un sensore di rete al commutatore, il mirroring della comunicazione tra HMI e PLC?
Se si vuole connettere un sensore di rete al commutatore, è disponibile spazio rack fisico nel gabinetto del commutatore?
Qual è il costo/vantaggio del monitoraggio di ogni commutatore?
Identificare i dispositivi e le subnet da monitorare
Il traffico che si vuole monitorare e eseguire il mirroring a Defender per i sensori di rete IoT è il traffico più interessante da un punto di vista di sicurezza o operativo.
Esaminare il diagramma di rete OT insieme ai tecnici del sito per definire dove si troverà il traffico più pertinente per il monitoraggio. È consigliabile incontrare sia i team di rete che operativi per chiarire le aspettative.
Insieme al team, creare una tabella di dispositivi da monitorare con i dettagli seguenti:
| Specifiche | Descrizione |
|---|---|
| Fornitore | Fornitore di produzione del dispositivo |
| Nome dispositivo | Nome significativo per l'uso e il riferimento in corso |
| Tipo | Tipo di dispositivo, ad esempio: Switch, Router, Firewall, Access Point e così via |
| Livello di rete | I dispositivi da monitorare sono dispositivi L2 o L3: - I dispositivi L2 sono dispositivi all'interno del segmento IP - I dispositivi L3 sono dispositivi esterni al segmento IP I dispositivi che supportano entrambi i livelli possono essere considerati come dispositivi L3. |
| Attraversamento delle reti virtuali | ID di qualsiasi VLAN che attraversa il dispositivo. Ad esempio, verificare questi ID VLAN controllando la modalità di operazione dell'albero che si estende su ogni VLAN per verificare se superano una porta associata. |
| Gateway per | Le VLAN per cui il dispositivo funge da gateway predefinito. |
| Dettagli di rete | Indirizzo IP del dispositivo, subnet, D-GW e host DNS |
| Protocolli | Protocolli usati nel dispositivo. Confrontare i protocolli con l'elenco dei protocolli supportati per Defender per IoT. |
| Mirroring del traffico supportato | Definire il tipo di mirroring del traffico supportato da ogni dispositivo, ad esempio SPAN, RSPAN, ERSPAN o TAP. Usare queste informazioni per scegliere i metodi di mirroring del traffico per i sensori OT. |
| Gestito dai servizi partner? | Descrivere se un servizio partner, ad esempio Siemens, Rockwell o Emerson, gestisce il dispositivo. Se pertinente, descrivere i criteri di gestione. |
| Connessioni seriali | Se il dispositivo comunica tramite una connessione seriale, specificare il protocollo di comunicazione seriale. |
Pianificare una distribuzione multi-sensore
Se si prevede di distribuire più sensori di rete, prendere in considerazione anche i consigli seguenti quando si decide dove posizionare i sensori:
Commutatori connessi fisicamente: per i commutatori connessi fisicamente tramite cavo Ethernet, assicurarsi di pianificare almeno un sensore per ogni 80 metri di distanza tra i commutatori.
Più reti senza connettività fisica: se si dispone di più reti senza connettività fisica tra di esse, pianificare almeno un sensore per ogni singola rete
Commutatori con supporto RSPAN: se si dispone di commutatori che possono usare il mirroring del traffico RSPAN, pianificare almeno un sensore per ogni otto commutatori, con una porta SPAN locale. Pianificare di posizionare il sensore abbastanza vicino ai commutatori in modo che sia possibile connetterli tramite cavo.
Creare un elenco di subnet
Creare un elenco aggregato di subnet da monitorare, in base all'elenco di dispositivi da monitorare nell'intera rete.
Dopo aver distribuito i sensori, si userà questo elenco per verificare che le subnet elencate vengano rilevate automaticamente e aggiornare manualmente l'elenco in base alle esigenze.
Elencare i sensori OT pianificati
Dopo aver compreso il traffico che si vuole eseguire il mirroring in Defender per IoT, creare un elenco completo di tutti i sensori OT che si sta esegue l'onboarding.
Per ogni sensore, elencare:
Se il sensore sarà un sensore connesso al cloud o gestito in locale
Per i sensori connessi al cloud, si userà il metodo di connessione cloud .
Se si useranno appliance fisiche o virtuali per i sensori, considerando la larghezza di banda necessaria per la qualità del servizio (QoS). Per altre informazioni, vedere Quali appliance sono necessarie?
Il sito e la zona da assegnare a ogni sensore.
I dati inseriti dai sensori nello stesso sito o zona possono essere visualizzati insieme, segmentati da altri dati nel sistema. Se sono presenti dati del sensore che si desidera visualizzare raggruppati nello stesso sito o zona, assicurarsi di assegnare di conseguenza i siti e le zone del sensore.
Il metodo di mirroring del traffico che si userà per ogni sensore
Man mano che la rete si espande in tempo, è possibile eseguire l'onboarding di più sensori o modificare le definizioni dei sensori esistenti.
Importante
È consigliabile controllare le caratteristiche dei dispositivi che si prevede che ogni sensore rilevi, ad esempio indirizzi IP e MAC. I dispositivi rilevati nella stessa zona con lo stesso set logico di caratteristiche del dispositivo vengono consolidati automaticamente e vengono identificati come lo stesso dispositivo.
Ad esempio, se si usano più reti e indirizzi IP ricorrenti, assicurarsi di pianificare ogni sensore con una zona diversa in modo che i dispositivi vengano identificati correttamente come dispositivi separati e univoci.
Per altre informazioni, vedere Separazione delle zone per intervalli IP ricorrenti.
Preparare le appliance locali
Se si usano appliance virtuali, assicurarsi di avere le risorse pertinenti configurate. Per altre informazioni, vedere Monitoraggio OT con appliance virtuali.
Se si usano appliance fisiche, assicurarsi di avere l'hardware richiesto. È possibile acquistare appliance preconfigurato o pianificare l'installazione di software nelle proprie appliance.
Per acquistare appliance preconfigurato:
- Passare a Defender per IoT nella portale di Azure.
- Selezionare Introduzione a>Sensor>Buy preconfigured appliance>Contact.
Il collegamento apre un messaggio di posta elettronica con hardware.sales@arrow.comuna richiesta di modello per appliance IoT defender.
Per altre informazioni, vedere Quali appliance sono necessarie?
Preparare l'hardware ausiliario
Se si usano appliance fisiche, assicurarsi di disporre degli hardware aggiuntivi seguenti disponibili per ogni appliance fisica:
- Monitoraggio e tastiera
- Spazio nel rack
- Alimentazione AC
- Cavo LAN per connettere la porta di gestione dell'appliance al commutatore di rete
- Cavi LAN per connettere porte mirror (SPAN) e punti di accesso del terminale di rete (TAP) all'appliance
Preparare i dettagli della rete dell'appliance
Quando si dispone di appliance pronte, creare un elenco dei dettagli seguenti per ogni appliance:
- Indirizzo IP
- Subnet
- Gateway predefinito
- Nome host
- Server DNS (facoltativo), con l'indirizzo IP del server DNS e il nome host
Preparare una workstation di distribuzione
Preparare una workstation da cui è possibile eseguire Defender per le attività di distribuzione IoT. La workstation può essere un computer Windows o Mac, con i requisiti seguenti:
Software del terminale, ad esempio PuTTY
Browser supportato per la connessione alle console del sensore e alla portale di Azure. Per altre informazioni, vedere Browser consigliati per il portale di Azure.
Regole del firewall necessarie configurate, con accesso aperto per le interfacce necessarie. Per altre informazioni, vedere Requisiti di rete.
Preparare i certificati firmati dalla CA
È consigliabile usare i certificati firmati dalla CA nelle distribuzioni di produzione.
Assicurarsi di comprendere i requisiti dei certificati SSL/TLS per le risorse locali. Se si vuole distribuire un certificato con firma CA durante la distribuzione iniziale, assicurarsi di aver preparato il certificato.
Se si decide di distribuire con il certificato autofirmato predefinito, è consigliabile distribuire un certificato con firma CA negli ambienti di produzione più avanti.
Per altre informazioni, vedere: