Preparar la implementación de un sitio de OT

Este artículo forma parte de una serie de artículos que describen la ruta de acceso de implementación para la supervisión de OT con Microsoft Defender para IoT.

Diagrama de una barra de progreso con Planear y preparar resaltado.

Para supervisar completamente la red, necesitará visibilidad en todos los dispositivos de punto de conexión de la red. Microsoft Defender para IoT refleja el tráfico que pasa por los dispositivos de red a los sensores de red de Defender para IoT. A continuación, los sensores de red de OT analizan los datos de tráfico, desencadenan alertas, generan recomendaciones y envían datos a Defender para IoT en Azure.

Este artículo le ayuda a planear dónde colocar sensores de OT en la red para que el tráfico que quiera supervisar se refleje según sea necesario y cómo preparar el sitio para la implementación del sensor.

Requisitos previos

Antes de planear la supervisión de OT para un sitio específico, asegúrese de que ha planeado el sistema general de supervisión de OT.

Los equipos de arquitectura realizan este paso.

Más información sobre la arquitectura de supervisión de Defender para IoT

Use los siguientes artículos para obtener más información sobre los componentes y la arquitectura de la red y el sistema Defender para IoT:

Crear un diagrama de red

La red de cada organización tendrá su propia complejidad. Cree un diagrama de mapa de red que muestre exhaustivamente todos los dispositivos de la red para que pueda identificar el tráfico que quiere supervisar.

Al crear el diagrama de red, use las siguientes preguntas para identificar y tomar notas sobre los distintos elementos de la red y cómo se comunican.

Preguntas generales

  • ¿Cuáles son los objetivos generales de supervisión?

  • ¿Tiene redes redundantes y hay áreas del mapa de red que no necesitan supervisión y que puede ignorar?

  • ¿Dónde están los riesgos operativos y de seguridad de la red?

Preguntas sobre la red

  • ¿Qué protocolos de OT están activos en redes supervisadas?

  • ¿Están las VLAN configuradas en el diseño de red?

  • ¿Hay algún enrutamiento en las redes supervisadas?

  • ¿Hay alguna comunicación de serie en la red?

  • ¿Dónde están instalados los firewalls en las redes que quiere supervisar?

  • ¿Hay tráfico entre una red de control industrial (ICS) y una red empresarial, empresarial? Si es así, ¿se supervisa este tráfico?

  • ¿Cuál es la distancia física entre los conmutadores y el firewall de la empresa?

  • ¿Se realiza el mantenimiento del sistema OT con dispositivos fijos o transitorios?

Preguntas sobre los conmutadores

  • Si un conmutador no está administrado, ¿se puede supervisar el tráfico desde un conmutador de nivel superior? Por ejemplo, si la arquitectura de OT usa una topología de anillo, solo un conmutador del anillo necesita supervisión.

  • ¿Se pueden reemplazar los conmutadores no administrados por unos administrados, o el uso de TAP de red es una opción?

  • ¿Puede supervisar la VLAN del conmutador o está visible la VLAN en otro conmutador que puede supervisar?

  • Si conecta un sensor de red al conmutador, ¿reflejará la comunicación entre el HMI y los PLC?

  • Si se quiere conectar un sensor de red al conmutador, ¿hay espacio en bastidor físico disponible en el gabinete del conmutador?

  • ¿Cuál es el costo o beneficio de supervisar cada conmutador?

Identificación de los dispositivos y subredes que quiere supervisar

El tráfico que quiere supervisar y reflejar en los sensores de red de Defender para IoT es el tráfico que más le interesa desde una perspectiva operativa o de seguridad.

Revise el diagrama de la red de OT junto con los ingenieros del sitio para definir dónde encontrará el tráfico más relevante para supervisar. Es aconsejable que se reúna tanto con los equipos operativos como con los de la red local para clarificar las expectativas.

Junto con el equipo, cree una tabla de dispositivos que quiera supervisar con los detalles siguientes:

Especificación Descripción
Proveedor Proveedor de fabricación del dispositivo
Nombre del dispositivo Un nombre descriptivo para el uso continuo y la referencia
Tipo El tipo de dispositivo, como: Switch, Router, Firewall, Access Point, etc.
Capa de red Los dispositivos que quiere supervisar son dispositivos L2 o L3:
- Los dispositivos L2 son dispositivos dentro del segmento IP
- Los dispositivos L3 son dispositivos externos al segmento IP

Los dispositivos que admiten ambas capas se pueden considerar dispositivos L3.
Cruce de VLAN Los identificadores de las VLAN que cruzan el dispositivo. Por ejemplo, compruebe estos identificadores de VLAN comprobando el modo de operación de árbol de expansión en cada VLAN para ver si cruzan un puerto asociado.
Puerta de enlace para NFS Las VLAN para las que el dispositivo actúa como puerta de enlace predeterminada.
Detalles de red La dirección IP del dispositivo, la subred, el D-GW y el host DNS
Protocolos Protocolos usados en el dispositivo. Compare los protocolos con la lista de protocolos de Defender para IoT compatibles de serie.
Creación de reflejo del tráfico compatible Defina qué tipo de creación de reflejo del tráfico es compatible con cada dispositivo, como SPAN, RSPAN, ERSPAN o TAP.

Use esta información para elegir los métodos de creación de reflejo del tráfico para los sensores de OT.
¿Administrado por los servicios de asociados? Describa si un servicio asociado, como Siemens, Rockwell o Emerson, administra el dispositivo. Si procede, describa la directiva de administración.
Conexión en serie Si el dispositivo se comunica a través de una conexión en serie, especifique el protocolo de comunicación en serie.

Cálculo de dispositivos en la red

Calcule el número de dispositivos en cada sitio para que pueda comprar licencias de Defender para IoT del tamaño correcto.

Para calcular el número de dispositivos de cada sitio::

  1. Recopile el número total de dispositivos del sitio y agréguelos juntos.

  2. Quite cualquiera de los siguientes dispositivos, que no están identificados como dispositivos individuales por Defender para IoT:

    • Direcciones IP públicas de Internet
    • Grupos de conversión múltiple
    • Grupos de difusión
    • Dispositivos inactivos: dispositivos que no tienen ninguna actividad de red detectada durante más de 60 días

Para más información, consulte Dispositivos supervisados por Defender para IoT.

Plan para implementar varios sensores

Si planea implementar varios sensores de red, tenga en cuenta también las siguientes recomendaciones al decidir dónde colocar los sensores:

  • Conmutadores conectados físicamente: para conmutadores conectados físicamente por cable Ethernet, asegúrese de planear al menos un sensor por cada 80 metros de distancia entre conmutadores.

  • Varias redes sin conectividad física: si tiene varias redes sin conectividad física entre ellas, planee al menos un sensor para cada red individual

  • Conmutadores con compatibilidad con RSPAN: si tiene conmutadores que pueden usar la creación de reflejo del tráfico RSPAN, planee al menos un sensor para cada ocho conmutadores, con un puerto SPAN local. Planee colocar el sensor lo suficientemente cerca de los interruptores para poder conectarlos por cable.

Creación de una lista de subredes

Cree una lista agregada de subredes que quiera supervisar, en función de la lista de dispositivos que quiera supervisar a través de toda la red.

Después de implementar los sensores, usará esta lista para comprobar que las subredes enumeradas se detectan automáticamente y actualizan manualmente la lista según sea necesario.

Enumeración de los sensores de OT planeados

Después de comprender el tráfico que quiere reflejar en Defender para IoT, cree una lista completa de todos los sensores de OT que va a incorporar.

Para cada sensor, enumere:

  • Si el sensor será un sensor conectado a la nube o administrado localmente

  • En el caso de los sensores conectados a la nube, el método de conexión en la nube que va a usar.

  • Tanto si va a usar aplicaciones físicas como virtuales para los sensores, teniendo en cuenta el ancho de banda que necesitará para la calidad de servicio (QoS). Para obtener más información, consulte ¿Qué dispositivos necesito?

  • El sitio y la zona que va a asignar a cada sensor.

    Los datos ingeridos desde los sensores en el mismo sitio o zona se pueden ver juntos, segmentados de otros datos del sistema. Si hay datos de sensor que desee ver agrupados en el mismo sitio o zona, asegúrese de asignar los sitios y zonas del sensor correspondientes.

  • El método de creación de reflejo del tráfico que usará para cada sensor

A medida que la red se expande en el tiempo, puede incorporar más sensores o modificar las definiciones de sensor existentes.

Importante

Se recomienda comprobar las características de los dispositivos que espera que detecte cada sensor, como direcciones IP y MAC. Los dispositivos que se detectan en la misma zona con el mismo conjunto lógico de características de dispositivo se consolidan automáticamente y se identifican como el mismo dispositivo.

Por ejemplo, si está trabajando con varias redes y direcciones IP periódicas, asegúrese de planear cada sensor con una zona diferente para que los dispositivos se identifiquen correctamente como dispositivos independientes y únicos.

Para obtener más información, consulte Separación de zonas para intervalos IP periódicos.

Preparación de dispositivos locales

  • Si usa aplicaciones virtuales, asegúrese de que tiene configurados los recursos pertinentes. Para más información, consulte el artículo sobre Supervisión de OT con aplicaciones virtuales.

  • Si usa dispositivos físicos, asegúrese de que tiene el hardware necesario. Puede comprar dispositivos preconfigurados o planear la instalación de software en sus propios dispositivos.

    Para comprar dispositivos preconfigurados:

    1. Vaya a Defender para IoT en Azure Portal.
    2. Seleccione Comenzar>Sensor>Comprar aplicación preconfigurada>Contacto.

    El vínculo redirige a un correo electrónico a hardware.sales@arrow.com con una solicitud de plantilla para los dispositivos de Defender para IoT.

Para obtener más información, consulte ¿Qué dispositivos necesito?

Preparar el hardware auxiliar

Si utiliza dispositivos físicos, asegúrese de que dispone del siguiente hardware adicional para cada dispositivo físico:

  • Un monitor y un teclado
  • Espacio en bastidor
  • Alimentación CA
  • Cable LAN para conectar el puerto de administración del dispositivo al conmutador de red
  • Cables LAN para conectar puertos reflejados (SPAN) y puntos de acceso de terminal de red (TAP) al dispositivo

Preparación de los detalles de red del dispositivo

Cuando tenga listos los dispositivos, realice una lista de los siguientes detalles para cada dispositivo:

  • Dirección IP
  • Subnet
  • Puerta de enlace predeterminada
  • Nombre de host
  • Servidor DNS (opcional), con la dirección IP del servidor DNS y el nombre de host

Preparación de una estación de trabajo de implementación

Prepare una estación de trabajo desde la que puede ejecutar actividades de implementación de Defender para IoT. La estación de trabajo puede ser una máquina Windows o Mac, con los siguientes requisitos:

  • Software de terminal, como PuTTy

  • Un explorador compatible para conectarse a consolas de sensor y el Azure Portal. Para obtener más información, consulte los exploradores recomendados para Azure Portal.

  • Reglas de firewall necesarias configuradas, con acceso abierto para las interfaces necesarias. Para más información, consulte Requisitos de red.

Preparar certificados firmados por la CA

Se recomienda usar certificados firmados por una entidad de certificación en implementaciones a producción.

Asegúrese de comprender los requisitos de certificado SSL/TLS para los recursos locales. Si quiere implementar un certificado firmado por la CA durante la implementación inicial, asegúrese de tener el certificado preparado.

Si decide implementar el certificado autofirmado incorporado, le recomendamos que más adelante implemente un certificado firmado por la CA en entornos de producción.

Para más información, consulte:

Pasos siguientes