Bereitstellen einer Verwaltung für hybride oder air-gapped OT-Sensoren

Microsoft Defender for IoT hilft Organisationen dabei, Compliance ihrer OT-Umgebung zu erreichen und aufrechtzuerhalten, indem eine umfassende Lösung für die Bedrohungserkennung und -verwaltung bereitgestellt wird, einschließlich der Abdeckung über parallele Netzwerke hinweg. Defender for IoT unterstützt Organisationen in Industrie, Energie und Versorgung bei der Konformität mit NERC CIP oder IEC62443.

Bestimmte Branchen, z. B. Behörden, Finanzdienstleister, Atomkraftwerke und industrielle Produzenten, verwenden air-gapped Netzwerke (nicht verbundene Netzwerke). Air-gapped Netzwerke sind physisch von anderen ungesicherten Netzwerken wie Unternehmensnetzwerken, Gastnetzwerken oder dem Internet getrennt. Defender for IoT hilft diesen Organisationen, globale Standards für Bedrohungserkennung und -verwaltung, Netzwerksegmentierung u. v. m. einzuhalten.

Die digitale Transformation hilft Unternehmen zwar dabei, ihre Geschäftsabläufe zu optimieren und ihre Nettogewinne zu steigern, sie gestaltet sich bei air-gapped Netzwerken aber häufig schwierig. Die Isolierung in air-gapped Netzwerken bietet mehr Sicherheit, aber erschwert auch die digitale Transformation. So sind beispielsweise Architekturdesigns wie Zero Trust, die die Verwendung der Multi-Faktor-Authentifizierung einschließen, eine Herausforderung bei der Anwendung in air-gapped Netzwerken.

Air-gapped Netzwerke werden häufig verwendet, um vertrauliche Daten zu speichern oder kybernetisch-physische Systeme zu steuern, die nicht mit einem externen Netzwerk verbunden sind, um sie besser vor Cyberangriffen zu schützen. Trotzdem sind air-gapped Netzwerke nicht vollständig sicher und können angegriffen werden. Daher ist es zwingend erforderlich, air-gapped Netzwerke zu überwachen, um potenzielle Bedrohungen zu erkennen und darauf zu reagieren.

In diesem Artikel wird die Architektur für die Bereitstellung von hybriden und air-gapped Sicherheitslösungen beschrieben, einschließlich der Herausforderungen und bewährten Methoden zum Schützen und Überwachen von hybriden und air-gapped Netzwerken. Anstatt die Wartungsinfrastruktur von Defender for IoT in einer abgeschlossenen Architektur zu verwenden, sollten Sie Ihre Defender for IoT-Sensoren besser in Ihre vorhandene IT-Infrastruktur integrieren. Dies schließt auch lokale und Remoteressourcen ein. Mit diesem Ansatz wird sichergestellt, dass Ihre Sicherheitsvorgänge reibungslos und effizient ausgeführt werden und einfach zu verwalten sind.

Architekturempfehlungen

Die folgende Abbildung zeigt eine Beispielarchitektur unserer Empfehlungen für die Überwachung und Wartung von Defender for IoT-Systemen, bei denen jeder OT-Sensor eine Verbindung mit mehreren Sicherheitsverwaltungssystemen in der Cloud oder lokal herstellt.

In dieser Beispielarchitektur sind drei Sensoren mit vier Routern in verschiedenen logischen Zonen der Organisation verbunden. Die Sensoren befinden sich hinter einer Firewall und sind in die lokale IT-Infrastruktur integriert, die z. B. lokale Sicherungsserver, Remotezugriffsverbindungen über SASE und die Weiterleitung von Warnungen an ein lokales SIEM-System (Security Information & Event Management) umfasst.

In diesem Beispielbild wird die Kommunikation für Warnungen, Syslog-Nachrichten und APIs in einer einfarbigen schwarzen Linie angezeigt. Die lokale Verwaltungskommunikation wird in einer einfarbigen lila Linie angezeigt, und die Kommunikation zwischen Cloud- und Hybridverwaltung wird in einer gepunkteten schwarzen Linie angezeigt.

Der Defender for IoT-Architekturleitfaden für hybride und air-gapped Netzwerke hilft Ihnen bei Folgendem:

• Verwenden der vorhandenen Organisationsinfrastruktur zum Überwachen und Verwalten Ihrer OT-Sensoren, um zusätzliche Hardware oder Software überflüssig zu machen
• Verwenden von Integrationen mit dem Sicherheitsstapel der Organisation, die sowohl in der Cloud als auch lokal immer zuverlässiger und robuster werden
• Zusammenarbeiten mit den globalen Sicherheitsteams durch Überwachung und Steuerung des Zugriffs auf Ressourcen in der Cloud und lokal, um eine konsistente Sichtbarkeit und Schutz in Ihren OT-Umgebungen sicherzustellen
• Stärken des OT-Sicherheitssystem durch Hinzufügen cloudbasierter Ressourcen, die Ihre vorhandenen Funktionen verbessern und fördern, z. B. Threat Intelligence, Analyse und Automatisierung

Bereitstellungsschritte

Führen Sie die folgenden Schritte aus, um ein Defender for IoT-System in einer air-gapped oder hybriden Umgebung bereitzustellen:

1. Stellen Sie jeden OT-Netzwerksensor gemäß Ihrem Plan bereit, wie in Bereitstellen von Defender for IoT für die OT-Überwachung beschrieben.

2. Führen Sie für jeden Sensor die folgenden Schritte aus:

   • Integrieren in Partner-SIEM-Lösungen oder Syslog-Server, einschließlich der Einrichtung von E-Mail-Benachrichtigungen Zum Beispiel:

     • Verbinden von Microsoft Defender for IoT mit Microsoft Sentinel
     • Untersuchen und Erkennen von Bedrohungen für IoT-Geräte
     • Weiterleiten von lokalen OT-Warnungsinformationen

   • Verwenden der Defender for IoT-API zum Erstellen von Verwaltungsdashboards Weitere Informationen finden Sie unter Referenz zur Defender for IoT-API.

   • Einrichten eines Proxys oder verketteter Proxys in der Verwaltungsumgebung

   • Einrichten der Integritätsüberwachung mithilfe eines SNMP MIB-Servers oder über die Befehlszeilenschnittstelle Weitere Informationen finden Sie unter:

     • Einrichten der SNMP MIB-Integritätsüberwachung auf einem OT-Sensor
     • Defender for IoT-CLI: Benutzer und Zugriff

   • Konfigurieren des Zugriffs auf die Serververwaltungsschnittstelle, z. B. über iDRAC oder iLO

   • Konfigurieren eines Sicherungsservers mit Konfigurationen zum Speichern der Sicherung auf einem externen Server Weitere Informationen finden Sie unter Sicherung und Wiederherstellung von OT-Netzwerksensoren über die Sensorkonsole.

Wechseln von einer lokalen Legacyverwaltungskonsole

Der aktuelle Architekturleitfaden ist auf mehr Effizienz, Sicherheit und Zuverlässigkeit ausgelegt als die lokale Legacyverwaltungskonsole. Der aktualisierte Leitfaden umfasst weniger Komponenten, wodurch die Verwaltung und Problembehandlung vereinfacht wird. Die in der neuen Architektur verwendete intelligente Sensortechnologie ermöglicht die lokale Verarbeitung und reduziert damit den Bedarf an Cloudressourcen und verbessert die Leistung. Mit dem aktualisierten Leitfaden halten Sie Ihre Daten in Ihrem eigenen Netzwerk für mehr Sicherheit als beim Cloud Computing.

Wenn Sie bereits Kunde sind und eine lokale Verwaltungskonsole zum Verwalten Ihrer OT-Sensoren verwenden, wird empfohlen, auf den aktualisierten Architekturleitfaden umzustellen. Die folgende Abbildung zeigt eine grafische Darstellung der Schritte für den Übergang zu den neuen Empfehlungen:

• In Ihrer Legacykonfiguration sind alle Sensoren mit der lokalen Verwaltungskonsole verbunden.
• Während des Übergangszeitraums bleiben Ihre Sensoren mit der lokalen Verwaltungskonsole verbunden, während Sie alle Sensoren mit der Cloud verbinden, für die dies möglich ist.
• Nach dem vollständigen Übergang trennen Sie die Verbindung mit der lokalen Verwaltungskonsole und halten Cloudverbindungen nach Möglichkeit offen. Auf alle Sensoren, die air-gapped bleiben müssen, kann direkt über die Sensorbenutzeroberfläche zugegriffen werden.

Führen Sie die folgenden Schritte aus, um Ihre Architektur zu übertragen:

1. Identifizieren Sie für jeden OT-Sensor die aktuell verwendeten Legacyintegrationen und die Berechtigungen, die derzeit für lokale Sicherheitsteams konfiguriert sind. Beispiel: Welche Sicherungssysteme werden verwendet? Welche Benutzergruppen greifen auf die Sensordaten zu?

2. Verbinden Sie Ihre Sensoren nach Bedarf mit lokalen, Azure- und anderen Cloudressourcen. Stellen Sie beispielsweise eine Verbindung mit einem lokalen SIEM-System, Proxyservern, Sicherungsspeicher und anderen Partnersystemen her. Möglicherweise verfügen Sie über mehrere Websites und wenden einen Hybridansatz an, bei dem nur bestimmte Websites mithilfe von Datendioden vollständig air-gapped oder isoliert werden.

   Weitere Informationen finden Sie im verlinkten Verfahren zur air-gapped Bereitstellung sowie unter den folgenden Cloudressourcen:

   • Bereitstellen von Sensoren für die Cloudverwaltung
   • OT-Bedrohungsüberwachung in SOCs im Unternehmen
   • Schützen von IoT-Geräten im Unternehmen

3. Richten Sie Berechtigungen ein, und aktualisieren Sie die Verfahren für den Zugriff auf Ihre Sensoren, damit sie der neuen Bereitstellungsarchitektur entsprechen.

4. Überprüfen Sie, ob alle Sicherheitsanwendungsfälle und -verfahren auf die neue Architektur umgestellt wurden.

5. Nehmen Sie nach Abschluss des Übergangs die lokale Verwaltungskonsole außer Betrieb.

Einstellungszeitachse für Central Manager

Die lokale Verwaltungskonsole wird am 1. Januar 2025 mit den folgenden Updates/Änderungen eingestellt:

• Sensorversionen, die nach dem 1. Januar 2025 veröffentlicht werden, können nicht über eine lokale Verwaltungskonsole verwaltet werden.
• Die Unterstützung von air-gapped Sensoren ist von diesen Änderungen an der Unterstützung für die lokale Verwaltungskonsole nicht betroffen. Air-gapped Bereitstellungen werden weiterhin unterstützt, und Sie erhalten Support beim Übergang zur Cloud. Die Sensoren behalten ihre vollständige Benutzeroberfläche bei, sodass sie in Szenarien mit eingeschränktem Zugang verwendet werden können und das Netzwerk im Fall eines Ausfalls weiterhin analysieren und schützen können.
• Air-gapped Sensoren, die keine Verbindung mit der Cloud herstellen können, können direkt über die Benutzeroberfläche der Sensorkonsole, die Befehlszeilenschnittstelle oder die API verwaltet werden.
• Sensorsoftwareversionen, die zwischen dem 1. Januar 2024 und dem 1. Januar 2025 veröffentlicht werden, unterstützen weiterhin die lokale Verwaltungskonsole.

Weitere Informationen finden Sie in den Versionshinweisen zur OT-Überwachungssoftware.

Nächste Schritte