Развертывание гибридного или воздушного управления датчиками OT

Microsoft Defender для Интернета вещей помогает организациям достичь и поддерживать соответствие своей среде OT, предоставляя комплексное решение для обнаружения угроз и управления, включая охват параллельных сетей. Defender для Интернета вещей поддерживает организации в промышленных, энергетических и служебных областях, а также организации соответствия требованиям, такие как NERC CIP или IEC62443.

Некоторые отрасли, такие как государственные организации, финансовые услуги, операторы ядерной энергии и промышленное производство, поддерживают сети с воздушным взглядом. Сети с отслеживанием воздуха физически отделены от других, незащищенных сетей, таких как корпоративные сети, гостевые сети или Интернет. Defender для Интернета вещей помогает этим организациям соблюдать глобальные стандарты обнаружения угроз и управления, сегментации сети и т. д.

Хотя цифровое преобразование помогло предприятиям оптимизировать свои операции и улучшить свои нижние линии, они часто сталкиваются с трением с воздушным взглядом сетей. Изоляция в сетевых сетях обеспечивает безопасность, но также усложняет цифровое преобразование. Например, архитектурные проекты, такие как "Нулевое доверие", которые включают использование многофакторной проверки подлинности, сложно применять в сетях с отслеживанием воздуха.

Сети с отслеживанием воздуха часто используются для хранения конфиденциальных данных или управления кибер-физическими системами, которые не подключены к какой-либо внешней сети, что делает их менее уязвимыми для кибератак. Однако сети с воздушным взглядом не являются полностью безопасными и по-прежнему могут быть нарушены. Поэтому необходимо отслеживать сетевые сети, отбрасываемые по воздуху, чтобы обнаруживать и реагировать на любые потенциальные угрозы.

В этой статье описывается архитектура развертывания гибридных и воздушных решений безопасности, включая проблемы и рекомендации по защите и мониторингу гибридных и воздушных сетей. Вместо сохранения всей инфраструктуры обслуживания Defender для Интернета вещей, содержащейся в закрытой архитектуре, рекомендуется интегрировать датчики Defender для Интернета вещей в существующую ИТ-инфраструктуру, включая локальные или удаленные ресурсы. Такой подход гарантирует, что операции безопасности выполняются гладко, эффективно и легко поддерживаются.

Рекомендации по выбору архитектуры

На следующем рисунке показан пример, высокоуровневая архитектура наших рекомендаций по мониторингу и обслуживанию систем Defender для Интернета вещей, где каждый датчик OT подключается к нескольким системам управления безопасностью в облаке или локальной среде.

В этом примере архитектуры три датчика подключаются к четырем маршрутизаторам в разных логических зонах в организации. Датчики находятся за брандмауэром и интегрируются с локальной, локальной ИТ-инфраструктурой, например локальными серверами резервного копирования, подключениями к удаленному доступу через SASE и переадресации оповещений в локальную систему управления безопасностью и информацией (SIEM).

На этом примере изображения обмен данными для оповещений, сообщений системного журнала и API отображается в сплошной черной строке. Локальная связь управления отображается в сплошной фиолетовой линии, а в облачной или гибридной системе управления отображается точечная черная линия.

Руководство по архитектуре Defender для Интернета вещей для гибридных и воздушных сетей помогает:

• Использование существующей организационной инфраструктуры для мониторинга датчиков OT и управления ими, что снижает потребность в дополнительном оборудовании или программном обеспечении.
• Используйте интеграции с стеком безопасности организации, которые становятся все более надежными и надежными , независимо от того, находитесь ли вы в облаке или в локальной среде.
• Совместная работа с группами глобальной безопасности путем аудита и управления доступом к облачным и локальным ресурсам, обеспечивая согласованную видимость и защиту в средах OT
• Повышение системы безопасности OT путем добавления облачных ресурсов, которые повышают и расширяют возможности существующих возможностей, таких как аналитика угроз, аналитика и автоматизация.

Шаги развертывания

Выполните следующие действия, чтобы развернуть систему Defender для Интернета вещей в локальной или гибридной среде:

1. Завершите развертывание каждого датчика сети OT в соответствии с планом, как описано в разделе "Развертывание Defender для Интернета вещей для мониторинга OT".

2. Для каждого датчика выполните следующие действия.

   • Интеграция с серверами SIEM и syslog партнера, включая настройку Уведомления по электронной почте. Например:

     • Подключение Microsoft Defender для Интернета вещей с Microsoft Sentinel
     • Изучение и обнаружение угроз для устройств Интернета вещей
     • Пересылка сведений о оповещении OT в локальной среде

   • Используйте API Defender для Интернета вещей для создания панелей мониторинга управления. Дополнительные сведения см . в справочнике по API Defender для Интернета вещей.

   • Настройте прокси-сервер или сетевые прокси-серверы в среде управления.

   • Настройте мониторинг работоспособности с помощью сервера SNMP MIB или интерфейса командной строки. Дополнительные сведения см. в разделе:

     • Настройка мониторинга работоспособности SNMP MIB на датчике OT
     • Пользователи и доступ к Defender для IoT CLI

   • Настройте доступ к интерфейсу управления сервером, например через iDRAC или iLO.

   • Настройте сервер резервного копирования, включая конфигурации для сохранения резервного копирования на внешний сервер. Дополнительные сведения см. в статье "Резервное копирование и восстановление сетевых датчиков OT" из консоли датчиков.

Переход из устаревшей локальной консоль управления

Важно!

Устаревшие локальные консоль управления не будут поддерживаться или доступны для скачивания после 1 января 2025 г. Мы рекомендуем перейти на новую архитектуру с помощью полного спектра локальных и облачных API до этой даты.

Наше текущее руководство по архитектуре предназначено для повышения эффективности, безопасности и надежности, чем использование устаревших локальных консоль управления. Обновленное руководство содержит меньше компонентов, что упрощает обслуживание и устранение неполадок. Технология интеллектуального датчика, используемая в новой архитектуре, позволяет выполнять локальную обработку, уменьшая потребность в облачных ресурсах и повышая производительность. Обновленное руководство сохраняет данные в собственной сети, обеспечивая более высокую безопасность, чем облачные вычисления.

Если вы являетесь существующим клиентом, использующим локальный консоль управления для управления датчиками OT, рекомендуется перейти к обновленному руководству по архитектуре. На следующем рисунке показано графическое представление шагов перехода к новым рекомендациям:

• В устаревшей конфигурации все датчики подключены к локальной консоль управления.
• В течение переходного периода датчики остаются подключенными к локальному консоль управления при подключении любых датчиков к облаку.
• После полного перехода вы удалите подключение к локальной консоль управления, сохраняя облачные подключения по возможности. Все датчики, которые должны оставаться в воздухе, доступны непосредственно из пользовательского интерфейса датчика.

Чтобы перейти к архитектуре, выполните следующие действия.

1. Для каждого датчика OT определите устаревшие интеграции, используемые и разрешения, настроенные в настоящее время для локальных групп безопасности. Например, какие системы резервного копирования существуют? Какие группы пользователей получают доступ к данным датчика?

2. Подключение датчики в локальную среду, Azure и другие облачные ресурсы по мере необходимости для каждого сайта. Например, подключитесь к локальным SIEM, прокси-серверам, хранилищу резервных копий и другим партнерским системам. У вас может быть несколько сайтов и гибридный подход, где только определенные сайты хранятся полностью в виде воздуха или изолированы с помощью диодов данных.

   Дополнительные сведения см. в описании, связанном с процедурой развертывания с отслеживанием воздуха, а также в следующих облачных ресурсах:

   • Подготовка датчиков для управления облаком
   • Мониторинг угроз OT в корпоративных SOCs
   • Защита устройств Интернета вещей в организации

3. Настройте разрешения и процедуры обновления для доступа к датчикам для сопоставления новой архитектуры развертывания.

4. Проверьте и убедитесь, что все варианты использования и процедуры безопасности перешли на новую архитектуру.

5. После завершения перехода выведите из эксплуатации локальный консоль управления.

Временная шкала выхода на пенсию

Локальная консоль управления выхода на пенсию включает следующие сведения:

• Версии датчиков, выпущенные после 1 января 2025 г., не смогут управляться локальной консоль управления.
• Версии программного обеспечения датчика, выпущенные с 1 января 2024 г. по 1 января 2025 г., будут продолжать поддерживать локальный выпуск консоль управления.
• Датчики с отслеживанием воздуха, которые не могут подключаться к облаку, можно управлять непосредственно с помощью консоли датчика, интерфейса командной строки или API.

Дополнительные сведения см. в статье о версиях программного обеспечения для мониторинга OT.

Следующие шаги

Обслуживание сетевых датчиков OT из консоли датчиков