Preparare una distribuzione del sito OT

  • Articolo

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.

Diagramma di un indicatore di stato con Piano e preparazione evidenziati.

Per monitorare completamente la rete, è necessaria visibilità su tutti i dispositivi endpoint nella rete. Microsoft Defender per IoT effettua il mirroring del traffico che passa dai dispositivi di rete ai sensori di rete di Defender per IoT. I sensori di rete OT analizzano quindi i dati del traffico, attivano avvisi, generano raccomandazioni e inviano dati a Defender per IoT in Azure.

Questo articolo illustra come posizionare i sensori OT nella rete in modo che il traffico che si vuole monitorare sia sottoposto a mirroring in base alle esigenze e come preparare il sito per la distribuzione dei sensori.

Prerequisiti

Prima di pianificare il monitoraggio OT per un sito specifico, assicurarsi di aver pianificato il sistema di monitoraggio OT complessivo.

Questo passaggio viene eseguito dai team dell'architettura.

Informazioni sull'architettura di monitoraggio di Defender per IoT

Usare gli articoli seguenti per comprendere meglio i componenti e l'architettura nella rete e nel sistema Defender per IoT:

Creare un diagramma di rete

La rete di ogni organizzazione avrà una propria complessità. Creare un diagramma mappa di rete che elenca accuratamente tutti i dispositivi nella rete in modo da poter identificare il traffico che si vuole monitorare.

Durante la creazione del diagramma di rete, usare le domande seguenti per identificare e prendere note sui diversi elementi della rete e sul modo in cui comunicano.

Domande generali

  • Quali sono gli obiettivi generali di monitoraggio?

  • Sono presenti reti ridondanti e sono presenti aree della mappa di rete che non necessitano di monitoraggio ed è possibile ignorare?

  • Dove sono i rischi operativi e la sicurezza della rete?

Domande sulla rete

  • Quali protocolli sono attivi nelle reti monitorate?

  • Le VLAN sono configurate nella progettazione di rete?

  • È disponibile un routing nelle reti monitorate?

  • È disponibile una comunicazione seriale nella rete?

  • Dove sono installati i firewall nelle reti da monitorare?

  • È presente traffico tra una rete di controllo industriale (ICS) e una rete aziendale? In tal caso, il traffico viene monitorato?

  • Qual è la distanza fisica tra i commutatori e il firewall aziendale?

  • La manutenzione del sistema OT viene eseguita con dispositivi fissi o temporanei?

Cambiare le domande

  • Se un commutatore non è gestito in altro modo, è possibile monitorare il traffico da un commutatore di livello superiore? Ad esempio, se l'architettura OT usa una topologia ad anello, è necessario monitorare un solo commutatore nell'anello.

  • I commutatori non gestiti possono essere sostituiti da commutatori gestiti oppure l'uso di TAP di rete è opzionale?

  • È possibile monitorare la VLAN del commutatore o la VLAN è visibile in un'altra opzione che è possibile monitorare?

  • Se si connette un sensore di rete al commutatore, il mirroring della comunicazione tra HMI e PLCS?

  • Se si vuole connettere un sensore di rete al commutatore, è presente spazio fisico sul rack nell'armadio del commutatore?

  • Qual è il costo/beneficio del monitoraggio di ogni commutatore?

Identificare i dispositivi e le subnet da monitorare

Il traffico che si vuole monitorare e eseguire il mirroring dei sensori di rete di Defender per IoT è il traffico più interessante per l'utente dal punto di vista della sicurezza o operativo.

Esaminare il diagramma di rete OT insieme ai tecnici del sito per definire dove si trova il traffico più pertinente per il monitoraggio. È consigliabile incontrare i team operativi e di rete per chiarire le aspettative.

Insieme al team, creare una tabella di dispositivi da monitorare con i dettagli seguenti:

Specifica Descrizione
Fornitore Fornitore di produzione del dispositivo
Nome dispositivo Un nome significativo per l'uso continuo e il riferimento
Type Tipo di dispositivo, ad esempio: Switch, Router, Firewall, Punto di accesso e così via
Livello di rete I dispositivi da monitorare sono dispositivi L2 o L3:
I - dispositivi L2 sono dispositivi all'interno del segmento IP
I - dispositivi L3 sono dispositivi esterni al segmento IP

I dispositivi che supportano entrambi i livelli possono essere considerati dispositivi L3.
Attraversamento di VLAN ID di tutte le VLAN che attraversano il dispositivo. Ad esempio, verificare questi ID VLAN controllando la modalità operativa dell'albero di spanning in ogni VLAN per verificare se attraversano una porta associata.
Gateway per VLAN per cui il dispositivo funge da gateway predefinito.
Dettagli rete Indirizzo IP, subnet, D-GW e host DNS del dispositivo
Protocolli Protocolli usati nel dispositivo. Confrontare i protocolli con l'elenco dei protocolli predefiniti supportati di Defender per IoT.
Mirroring del traffico supportato Definire il tipo di mirroring del traffico supportato da ogni dispositivo, ad esempio SPAN, RSPAN, ERSPAN o TAP.

Usare queste informazioni per scegliere i metodi di mirroring del traffico per i sensori OT.
Gestito da un servizio partner? Descrivere se un servizio partner, ad esempio Siemens, Rockwell o Emerson, gestisce il dispositivo. Se pertinente, descrivere i criteri di gestione.
Connessione seriale Se il dispositivo comunica tramite una connessione seriale, specificare il protocollo di comunicazione seriale.

Calcolare i dispositivi nella rete

Calcolare il numero di dispositivi in ogni sito in modo che sia possibile acquistare licenze di Defender per IoT alle dimensioni corrette.

Per calcolare il numero di dispositivi in ogni sito:

  1. Raccogliere il numero totale di dispositivi nel sito e aggiungerli insieme.

  2. Rimuovere uno dei dispositivi seguenti, che non sono identificati come singoli dispositivi da Defender per IoT:

    • Indirizzi IP Internet pubblici
    • Gruppi multi-cast
    • Gruppi di trasmissione
    • Dispositivi inattivi: dispositivi senza attività di rete rilevate per più di 60 giorni

Per altre informazioni, vedere Dispositivi monitorati da Defender per IoT.

Pianificare una distribuzione multi-sensore

Se si prevede di distribuire più sensori di rete, prendere in considerazione anche i consigli seguenti quando si decide dove posizionare i sensori:

  • Commutatori collegati fisicamente: per i commutatori collegati fisicamente tramite cavo Ethernet, assicurarsi di pianificare almeno un sensore per ogni 80 metri di distanza tra i commutatori.

  • Più reti senza connettività fisica: se sono presenti più reti senza connettività fisica tra di esse, pianificare almeno un sensore per ogni singola rete

  • Commutatori con supporto RSPAN: se si dispone di commutatori che possono usare il mirroring del traffico RSPAN, pianificare almeno un sensore per ogni otto commutatori, con una porta SPAN locale. Pianificare di posizionare il sensore abbastanza vicino ai commutatori in modo da poterli connettere tramite cavo.

Creare un elenco di subnet

Creare un elenco aggregato di subnet da monitorare, in base all'elenco di dispositivi da monitorare nell'intera rete.

Dopo aver distribuito i sensori, si userà questo elenco per verificare che le subnet elencate vengano rilevate automaticamente e aggiornare manualmente l'elenco in base alle esigenze.

Elencare i sensori OT pianificati

Dopo aver compreso il traffico di cui si vuole eseguire il mirroring in Defender per IoT, creare un elenco completo di tutti i sensori OT di cui verrà eseguito l'onboarding.

Per ogni sensore, elencare:

  • Indica se il sensore sarà un sensore connesso al cloud o gestito in locale

  • Per i sensori connessi al cloud, il metodo di connessione cloud che si userà.

  • Sia che si usino appliance fisiche o virtuali per i sensori, considerando la larghezza di banda necessaria per la qualità del servizio (QoS). Per altre informazioni, vedere Quali appliance sono necessarie?

  • Il sito e la zona da assegnare a ogni sensore.

    I dati inseriti dai sensori nello stesso sito o zona possono essere visualizzati insieme, segmentati da altri dati nel sistema. Se sono presenti dati del sensore da visualizzare raggruppati nello stesso sito o zona, assicurarsi di assegnare di conseguenza i siti e le zone dei sensori.

  • Il metodo di mirroring del traffico che verrà usato per ogni sensore

Man mano che la rete si espande nel tempo, è possibile caricare più sensori o modificare le definizioni dei sensori esistenti.

Importante

È consigliabile controllare le caratteristiche dei dispositivi che si prevede che ogni sensore rilevi, ad esempio indirizzi IP e MAC. I dispositivi rilevati nella stessa zona con lo stesso set logico di caratteristiche del dispositivo vengono consolidati automaticamente e identificati come lo stesso dispositivo.

Ad esempio, se si usano più reti e indirizzi IP ricorrenti, assicurarsi di pianificare ogni sensore con una zona diversa in modo che i dispositivi vengano identificati correttamente come dispositivi separati e univoci.

Per altre informazioni, vedere Separazione delle zone per intervalli IP ricorrenti.

Preparare le appliance locali

  • Se si usano appliance virtuali, assicurarsi di avere le risorse pertinenti configurate. Per altre informazioni, vedere Monitoraggio OT con appliance virtuali.

  • Se si usano appliance fisiche, assicurarsi di disporre dell'hardware necessario. È possibile acquistare appliance preconfigurate o pianificare l'installazione di software nelle proprie appliance.

    Per acquistare appliance preconfigurate:

    1. Andare a Defender per IoT nel portale di Azure.
    2. Selezionare Attività iniziali>Sensore>Acquista appliance preconfigurata>Contatto.

    Il collegamento apre un'email per hardware.sales@arrow.comcon una richiesta di modello per le appliance Defender per IoT.

Per altre informazioni, vedere Quali appliance sono necessarie?

Preparare l'hardware ausiliario

Se si usano appliance fisiche, assicurarsi di disporre dell'hardware aggiuntivo seguente disponibile per ogni appliance fisica:

  • Un monitor e una tastiera
  • Spazio nel rack
  • Alimentazione AC
  • Cavo LAN per connettere la porta di gestione dell'appliance al commutatore di rete
  • Cavi LAN per la connessione di porte mirror (SPAN) e punti di accesso del terminale di rete (TAP) all'appliance

Preparare i dettagli della rete dell'appliance

Quando le appliance sono pronte, creare un elenco dei dettagli seguenti per ogni appliance:

  • Indirizzo IP
  • Subnet
  • Gateway predefinito
  • Nome host
  • Server DNS (facoltativo), con l'indirizzo IP del server DNS e il nome host

Preparare una workstation di distribuzione

Preparare una workstation da cui è possibile eseguire le attività di distribuzione di Defender per IoT. La workstation può essere un computer Windows o Mac, con i requisiti seguenti:

  • Software terminale, ad esempio PuTTY

  • Browser supportato per la connessione alle console dei sensori e al portale di Azure. Per altre informazioni, vedere Browser consigliati per il portale di Azure.

  • Regole del firewall obbligatorie configurate, con accesso aperto per le interfacce necessarie. Per altre informazioni, vedere Requisiti di networking.

Preparare i certificati firmati dalla CA

È consigliabile usare certificati firmati dalla CA nelle distribuzioni di produzione.

Assicurarsi di comprendere i requisiti dei certificati SSL/TLS per le risorse locali. Se si vuole distribuire un certificato firmato dalla CA durante la distribuzione iniziale, assicurarsi di aver preparato il certificato.

Se si decide di eseguire la distribuzione con il certificato autofirmato predefinito, è consigliabile distribuire un certificato firmato dalla CA negli ambienti di produzione in un secondo momento.

Per altre informazioni, vedi:

Passaggi successivi

« Pianificare il sistema di monitoraggio OT

Eseguire l'onboarding dei sensori OT in Defender per IoT »