Monitoraggio OT con appliance virtuali

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT ed elenca le specifiche necessarie se si vuole installare il software Microsoft Defender per IoT nelle proprie appliance virtuali.

Diagram of a progress bar with Plan and prepare highlighted.

Nota

Questo articolo include anche informazioni rilevanti per le console di gestione locali. Per altre informazioni, vedere il percorso di distribuzione della gestione dei sensori OT con gapped air.

Informazioni sugli hypervisor

L'hardware virtualizzato usato per eseguire i sistemi operativi guest viene fornito dagli host di macchine virtuali, noti anche come hypervisor. Defender per IoT supporta il software hypervisor seguente:

  • VMware ESXi (versione 5.0 e successive)
  • Microsoft Hyper-V (configurazione della macchina virtuale versione 8.0 e successive)

Altre informazioni:

Importante

Altri tipi di hypervisor, ad esempio gli hypervisor ospitati, possono anche eseguire Defender per IoT. Tuttavia, a causa della mancanza di controllo hardware esclusivo e di prenotazione delle risorse, altri tipi di hypervisor non sono supportati per gli ambienti di produzione. Ad esempio: Parallels, Oracle VirtualBox e VMware Workstation o Fusion

Considerazioni sulla progettazione dell'appliance virtuale

In questa sezione vengono illustrate le considerazioni relative ai componenti dell'appliance virtuale, sia per i sensori OT che per le console di monitoraggio locali.

Specifica Considerazioni
CPU Assegnare core CPU dedicati (noti anche come pinning) con almeno 2,4 GHz, che non vengono allocati dinamicamente.

L'utilizzo della CPU sarà elevato perché l'appliance registra continuamente e analizza il traffico di rete.
Le prestazioni della CPU sono fondamentali per l'acquisizione e l'analisi del traffico di rete e qualsiasi rallentamento potrebbe causare cali di pacchetti e riduzione delle prestazioni.
Memory La RAM deve essere allocata in modo statico per la capacità richiesta, non in modo dinamico.

Prevedere un utilizzo elevato della RAM a causa della costante registrazione e analisi del traffico di rete del sensore,
Interfacce di rete Il mapping fisico offre prestazioni ottimali, latenza più bassa e un utilizzo efficiente della CPU. È consigliabile eseguire fisicamente il mapping delle schede di interfaccia di rete alle macchine virtuali con SR-IOV o una scheda di interfaccia di rete dedicata.

In seguito a livelli elevati di monitoraggio del traffico, prevedere un utilizzo elevato della rete.

Impostare la modalità promiscua nel vSwitch su Accept, che consente a tutto il traffico di raggiungere la macchina virtuale. Alcune implementazioni di vSwitch possono bloccare determinati protocolli se non sono configurati correttamente.
Storage Assicurarsi di allocare sufficienti operazioni di I/O e scrittura e velocità effettiva per soddisfare le prestazioni delle appliance elencate in questo articolo.

È consigliabile prevedere un utilizzo elevato dello spazio di archiviazione dovuto ai volumi di monitoraggio del traffico di grandi dimensioni.

Requisiti della macchina virtuale del sensore di rete OT

Le tabelle seguenti elencano i requisiti di sistema per i sensori di rete OT nelle appliance virtuali e le prestazioni misurate nei laboratori di qualificazione.

Per tutte le distribuzioni, i risultati della larghezza di banda per le macchine virtuali possono variare, a seconda della distribuzione dei protocolli e delle risorse hardware effettive disponibili, tra cui il modello cpu, la larghezza di banda della memoria e le operazioni di I/O al secondo.

Profilo hardware Prestazioni/Monitoraggio Specifiche fisiche
C5600 Larghezza di banda massima: 2,5 GB/sec
Numero massimo di asset monitorati: 12.000
vCPU: 32
Memoria: 32 GB
Archiviazione: 5,6 TB (600 operazioni di I/O al secondo)
E1800 Larghezza di banda massima: 800 MB/sec
Numero massimo di asset monitorati: 10.000
vCPU: 8
Memoria: 32 GB
Archiviazione: 1,8 TB (300 operazioni di I/O al secondo)
E1000 Larghezza di banda massima: 800 MB/sec
Numero massimo di asset monitorati: 10.000
vCPU: 8
Memoria: 32 GB
Archiviazione: 1 TB (300 operazioni di I/O al secondo)
E500 Larghezza di banda massima: 800 MB/sec
Numero massimo di asset monitorati: 10.000
vCPU: 8
Memoria: 32 GB
Archiviazione: 500 GB (300 operazioni di I/O al secondo)
L500 Larghezza di banda massima: 160 MB/sec
Numero massimo di asset monitorati: 1.000
vCPU: 4
Memoria: 8 GB
Archiviazione: 500 GB (150 operazioni di I/O al secondo)
L100 Larghezza di banda massima: 100 MB/sec
Numero massimo di asset monitorati: 800
vCPU: 4
Memoria: 8 GB
Archiviazione: 100 GB (150 operazioni di I/O al secondo)

Nota

Non è necessario preinstallare un sistema operativo nella macchina virtuale, l'installazione del sensore include l'immagine del sistema operativo.

Requisiti della macchina virtuale della console di gestione locale

Una console di gestione locale in un'appliance virtuale è supportata per le distribuzioni aziendali con i requisiti seguenti:

Specifica Requisiti
Profilo hardware E1800
vCPU 8
Memoria 32 GB
Storage 1,8 TB
Sensori monitorati Fino a 300

Passaggi successivi