Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья является одной из серии статей, описывающих путь развертывания для мониторинга OT с Microsoft Defender для Интернета вещей.
Используйте содержимое ниже, чтобы узнать, как спланировать общий мониторинг OT с помощью Microsoft Defender для Интернета вещей, включая сайты, которые вы собираетесь отслеживать, группы и типы пользователей и многое другое.
Предварительные условия
Прежде чем приступить к планированию развертывания мониторинга OT, убедитесь, что у вас есть подписка Azure и план OT, подключенный к Defender для Интернета вещей. Дополнительные сведения см. в разделе Управление планами Defender for IoT для мониторинга OT.
Этот шаг выполняется командами по архитектуре.
Планируйте объекты и зоны OT
При работе с сетями OT рекомендуется перечислить все расположения, в которых у вашей организации есть ресурсы, подключенные к сети, а затем разделить эти расположения на сайты и зоны.
Каждое физическое расположение может иметь собственный сайт, который далее сегментируется по зонам. Вы свяжете каждый сетевой датчик OT с определенным сайтом и зоной, чтобы каждый датчик охватывал только определенную область сети.
Использование сайтов и зон поддерживает принципы "Никому не доверяй", а также обеспечивает дополнительную детализацию мониторинга и отчетности.
Например, если у вашей растущей компании есть заводы и офисы в Париже, Лагосе, Дубае и Тяньцзине, вы можете разделить сеть следующим образом:
| Сайт | Зоны |
|---|---|
| Офис в Париже | - Нижний этаж (гости) - Этаж 1 (продажи) - Этаж 2 (исполнительный) |
| Офис в Лагосе | - Первый этаж (офисы) - Этажи 1-2 (завод) |
| Офис в Дубае | - Первый этаж (конференц-центр) - Этаж 1 (продажи) - Этаж 2 (офисы) |
| Офис в Тяньцзине | - Первый этаж (офисы) - Этажи 1-2 (завод) |
Если вы не планируете детализированную структуру сайтов и зон, Defender for IoT всё равно использует сайт и зону по умолчанию и назначает их всем OT-датчикам.
Дополнительные сведения см. в разделе "Никому не доверяй" и ваши OT-сети.
Разделение зон для повторяющихся диапазонов IP-адресов
Каждая зона может поддерживать несколько датчиков, и если вы развертываете Defender для Интернета вещей в большом масштабе, каждый датчик может обнаружить различные аспекты одного устройства. Defender для Интернета вещей автоматически объединяет устройства, обнаруженные в одной зоне, с одинаковым логическим сочетанием характеристик устройства, например с одним и тем же IP-адресом и MAC-адресом.
Если вы работаете с несколькими сетями и имеете уникальные устройства со схожими характеристиками, такими как повторяющиеся диапазоны IP-адресов, назначьте каждому датчику отдельную зону, чтобы Defender для Интернета вещей знал, как различать устройства и однозначно идентифицировать каждое устройство.
Например, ваша сеть может выглядеть так, как показано на следующем рисунке: шесть сегментов сети логически распределены между двумя сайтами и зонами Defender для Интернета вещей. Обратите внимание, что на этом изображении показаны два сегмента сети с одинаковыми IP-адресами из разных производственных линий.
В этом случае рекомендуется разделить сайт 2 на две отдельные зоны, чтобы устройства в сегментах с повторяющимися IP-адресами не объединялись неправильно и определялись как отдельные и уникальные устройства в инвентаризации устройств.
Например, вы можете:
Планирование пользователей
Узнайте, кто в вашей организации будет использовать Defender для Интернета вещей, и каковы их варианты использования. Хотя ваш центр управления безопасностью (SOC) и ИТ-персонал будут наиболее распространенными пользователями, в вашей организации могут быть другие пользователи, которым потребуется доступ на чтение к ресурсам в Azure или в локальных ресурсах.
В Azure назначения пользователей основаны на их Microsoft Entra ID и ролях RBAC. Если вы сегментируете сеть на несколько сайтов, решите, какие разрешения следует применить для каждого сайта.
Сетевые датчики OT поддерживают синхронизацию локальных пользователей и Active Directory. Если вы будете использовать Active Directory, убедитесь, что у вас есть сведения о доступе к серверу Active Directory.
Дополнительные сведения см. в разделе:
- Microsoft Defender для управления пользователями Интернета вещей
- Роли пользователей Azure и разрешения доступа для Defender for IoT
- Пользователи и роли для локального мониторинга OT с помощью Defender for IoT
Планирование подключений датчиков OT и подключений для управления
Для подключенных к облаку датчиков определите, как вы будете подключать каждый датчик OT к Defender для Интернета вещей в Azure облаке, например какой прокси-сервер может потребоваться. Дополнительные сведения см. в разделе Методы подключения датчиков к Azure.
Если вы работаете в воздушной или гибридной среде и у вас есть несколько локальных сетевых датчиков OT, см. путь развертывания управления датчиком OT с воздушным зазором.
Планирование локальных сертификатов SSL/TLS
Мы рекомендуем использовать подписанный ЦС SSL/TLS-сертификат в рабочей системе, чтобы обеспечить постоянную безопасность ваших устройств.
Спланируйте, какие сертификаты и какие центры сертификации (ЦС) будут использоваться для каждого датчика OT, какие средства вы будете использовать для создания сертификатов и какие атрибуты вы будете включать в каждый сертификат.
Дополнительные сведения см. в статье Требования к ssl/TLS-сертификатам для локальных ресурсов.