仮想アプライアンスによる OT 監視
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つであり、Microsoft Defender for IoT ソフトウェアを独自の仮想アプライアンスにインストールする場合に必要な仕様を示しています。
Note
この記事には、オンプレミス管理コンソールに関連する情報も含まれています。 詳細については、エアギャップ OT センサー管理のデプロイ パスに関する記事を参照してください。
ハイパーバイザーについて
ゲスト オペレーティング システムの実行に使用される仮想化されたハードウェアは、ハイパーバイザーとも呼ばれる仮想マシン ホストによって提供されます。 Defender for IoT では、次のハイパーバイザー ソフトウェアがサポートされています。
- VMware ESXi (バージョン 5.0 以降)
- Microsoft Hyper-V (VM 構成バージョン 8.0 以降)
詳細情報:
- VMware ESXi を使用した仮想アプライアンスとしての OT センサー
- Microsoft Hyper-V を使用した仮想アプライアンスとしての OT センサー
- VMware ESXi を使用した仮想アプライアンスとしてのオンプレミス管理コンソール
- Microsoft Hyper-V を使用した仮想アプライアンスとしてのオンプレミス管理コンソール
重要
ホスト型ハイパーバイザーなど、他の種類のハイパーバイザーでも Defender for IoT を実行できます。 ただし、排他的ハードウェア制御とリソース予約がないため、運用環境では他の種類のハイパーバイザーはサポートされません。 たとえば、Parallels、Oracle VirtualBox、VMware Workstation、Fusion などです
仮想アプライアンスの設計に関する考慮事項
このセクションでは、OT センサーとオンプレミス監視コンソールの両方の仮想アプライアンス コンポーネントに関する考慮事項について説明します。
| 仕様 | 考慮事項 |
|---|---|
| CPU | 2.4 GHz 以上の専用 CPU コアを割り当てます (ピニングとも呼ばれます)。これは動的には割り当てられません。 アプライアンスはネットワーク トラフィックを継続的に記録して分析するため、CPU 使用率が高くなります。 CPU パフォーマンスは、ネットワーク トラフィックをキャプチャして分析するために非常に重要です。速度低下が原因でパケット ドロップが発生する可能性や、パフォーマンスが低下する可能性があります。 |
| [メモリ] | RAM は、動的ではなく、静的に必要な容量を割り当てる必要があります。 センサーはネットワーク トラフィックを常時記録して分析するため、RAM の使用率は高くなることが予想されます。 |
| ネットワーク インターフェイス | 物理マッピングにより、最高のパフォーマンス、最少の待機時間、効率的な CPU 使用が実現します。 SR-IOV または専用 NIC を使用して仮想マシンに NIC を物理的にマップすることをお勧めします。 結果としてトラフィック監視レベルが高くなるため、ネットワーク使用率が高くなります。 vSwitch の無作為検出モードを [Accept] (承認) に設定します。これにより、すべてのトラフィックが VM に到達できるようになります。 一部の vSwitch 実装では、正しく構成されていない場合、特定のプロトコルがブロックされることがあります。 |
| Storage | この記事に記載されているアプライアンスのパフォーマンスに一致するように、十分な読み取り/書き込み IOPS とスループットを割り当ててください。 トラフィック監視ボリュームが大きいため、ストレージ使用量が多くなることが予想されます。 |
OT ネットワーク センサー VM の要件
次の表に、仮想アプライアンス上の OT ネットワーク センサーのシステム要件と、認定ラボで測定されたパフォーマンスを示します。
すべてのデプロイで、仮想マシンの帯域幅の結果は、プロトコルの配分と、使用可能な実際のハードウェア リソース (CPU モデル、メモリ帯域幅、IOPS など) によって異なる場合があります。
| ハードウェア プロファイル | パフォーマンス/監視 | 物理的仕様 |
|---|---|---|
| C5600 | 最大帯域幅: 2.5 Gb/秒 監視対象資産の最大数: 12,000 |
vCPU: 32 メモリ: 32 GB ストレージ: 5.6 TB (600 IOPS) |
| E1800 | 最大帯域幅: 800 Mb/秒 監視対象資産の最大数: 10,000 |
vCPU: 8 メモリ: 32 GB ストレージ: 1.8 TB (300 IOPS) |
| E1000 | 最大帯域幅: 800 Mb/秒 監視対象資産の最大数: 10,000 |
vCPU: 8 メモリ: 32 GB ストレージ: 1 TB (300 IOPS) |
| E500 | 最大帯域幅: 800 Mb/秒 監視対象資産の最大数: 10,000 |
vCPU: 8 メモリ: 32 GB ストレージ: 500 GB (300 IOPS) |
| L500 | 最大帯域幅: 160 Mb/秒 監視対象資産の最大数: 1,000 |
vCPU: 4 メモリ: 8 GB ストレージ: 500 GB (150 IOPS) |
| L100 | 最大帯域幅: 100 Mb/秒 監視対象資産の最大数: 800 |
vCPU: 4 メモリ: 8 GB ストレージ: 100 GB (150 IOPS) |
Note
VM にオペレーティング システムを事前にインストールする必要はありません。センサーのインストールにはオペレーティング システム イメージが含まれます。
オンプレミス管理コンソール VM の要件
仮想アプライアンス上のオンプレミス管理コンソールは、次の要件を満たすエンタープライズ デプロイでサポートされます。
| 仕様 | 必要条件 |
|---|---|
| ハードウェア プロファイル | E1800 |
| vCPU | 8 |
| メモリ | 32 GB |
| ストレージ | 1.8 TB |
| 監視対象センサー数 | 最大 300 |