مشاركة عبر

تكوين إعدادات الوكيل على مستشعر OT

  • مقالة

هذه المقالة هي واحدة في سلسلة من المقالات التي تصف مسار النشر لمراقبة OT باستخدام Microsoft Defender ل IoT، وتصف كيفية تكوين إعدادات الوكيل على مستشعر OT للاتصال ب Azure.

Diagram of a progress bar with Deploy your sensors highlighted.

يمكنك تخطي هذه الخطوة في الحالات التالية:

المتطلبات الأساسية

لتنفيذ الخطوات الموضحة في هذه المقالة، ستحتاج إلى:

يتم تنفيذ هذه الخطوة من قبل فرق التوزيع والاتصال.

تكوين إعدادات الوكيل على مستشعر OT

يصف هذا القسم كيفية تكوين الإعدادات لوكيل موجود على وحدة تحكم مستشعر OT. إذا لم يكن لديك وكيل بعد، فكون وكيلا باستخدام الإجراءات التالية:

لتعريف إعدادات الوكيل على مستشعر OT:

  1. سجل الدخول إلى مستشعر OT وحدد System settings > Sensor Network الإعدادات.

  2. قم بالتبديل إلى الخيار تمكين الوكيل ثم أدخل التفاصيل التالية لخادم الوكيل الخاص بك:

    • مضيف الوكيل
    • منفذ الوكيل
    • اسم المستخدم الوكيل (اختياري)
    • كلمة مرور الوكيل (اختياري)

    على سبيل المثال:

    Screenshot of the proxy setting page.

  3. إذا كان ذلك مناسبا، فحدد شهادة العميل لتحميل شهادة مصادقة وكيل للوصول إلى خادم وكيل SSL/TLS.

    إشعار

    مطلوب شهادة SSL/TLS للعميل للخوادم الوكيلة التي تفحص حركة مرور SSL/TLS، مثل عند استخدام خدمات مثل Zscaler و Palo Alto Prisma.

  4. حدد حفظ.

إعداد وكيل Azure

يمكنك استخدام وكيل Azure لتوصيل جهاز الاستشعار الخاص بك ب Defender for IoT في الحالات التالية:

  • تحتاج إلى اتصال خاص بين أداة الاستشعار الخاصة بك وAzure
  • موقعك متصل بـ Azure عبر ExpressRoute
  • موقعك متصل بـ Azure عبر VPN

إذا كان لديك وكيل تم تكوينه بالفعل، فتابع مباشرة مع تحديد إعدادات الوكيل على وحدة تحكم المستشعر.

إذا لم يكن لديك وكيل مكون بعد، فاستخدم الإجراءات الموجودة في هذا القسم لإعداد واحد في Azure VNET.

المتطلبات الأساسية

قبل أن تبدأ، تأكد من أن لديك:

  • مساحة عمل Log Analytics لسجلات المراقبة

  • اتصال الموقع البعيد بـ Azure VNET

  • يسمح بحركة مرور HTTPS الصادرة على المنفذ 443 من أداة الاستشعار الخاصة بك إلى نقاط النهاية المطلوبة ل Defender for IoT. لمزيد من المعلومات، راجع توفير مستشعرات OT لإدارة السحابة.

  • مورد خادم وكيل، مع أذونات جدار الحماية للوصول إلى خدمات Microsoft السحابية. يستخدم الإجراء الموضح في هذه المقالة خادم الحبار المستضاف في Azure.

هام

لا يقدم Microsoft Defender for IoT دعماً للحبار أو أي خدمات وكيل أخرى. تقع على عاتق العميل مسؤولية إعداد خدمة الوكيل والحفاظ عليها.

تكوين إعدادات وكيل أداة الاستشعار

يصف هذا القسم كيفية تكوين وكيل في Azure VNET للاستخدام مع مستشعر OT، ويتضمن الخطوات التالية:

  1. تحديد حساب تخزين لسجلات NSG
  2. تحديد الشبكات الظاهرية والشبكات الفرعية
  3. تحديد بوابة شبكة ظاهرية أو محلية
  4. تحديد مجموعات أمان الشبكة
  5. تحديد مجموعة تغيير سعة جهاز Azure الظاهري
  6. إنشاء موازنة تحميل Azure
  7. تكوين بوابة NAT

الخطوة 1: تحديد حساب تخزين لسجلات NSG

في مدخل Microsoft Azure، قم بإنشاء حساب تخزين جديد بالإعدادات التالية:

المساحة إعدادات‬
الأساسيات الأداء: قياسي
نوع الحساب: تخزين Blob
النسخ المتماثل: LRS
الشبكه أسلوب الاتصال ivity: نقطة النهاية العامة (شبكة محددة)
في الشبكات الظاهرية: لا شيء
تفضيل التوجيه: توجيه شبكة Microsoft
حماية البيانات الاحتفاظ بكافة الخيارات خالية
خيارات متقدمة الاحتفاظ بكافة القيم الافتراضية

الخطوة 2: تحديد الشبكات الظاهرية والشبكات الفرعية

إنشاء VNET التالية والشبكات الفرعية المضمنة:

الاسم الحجم الموصى به
MD4IoT-VNET /26 أو /25 مع Bastion
الشبكات الفرعية:
- GatewaySubnet /27
- ProxyserverSubnet /27
- AzureBastionSubnet (اختياري) /26

الخطوة 3: تحديد بوابة شبكة ظاهرية أو محلية

إنشاء VPN أو بوابة ExpressRoute للبوابات الظاهرية، أو إنشاء بوابة محلية، اعتماداً على كيفية توصيل الشبكة المحلية بـ Azure.

إرفاق البوابة بالشبكة الفرعية GatewaySubnet التي قمت بإنشائها سابقاً.

لمزيد من المعلومات، راجع:

الخطوة 4: تحديد مجموعات أمان الشبكة

  1. إنشاء NSG وتحديد القواعد الواردة التالية:

    • إنشاء قاعدة 100 للسماح بنسبة استخدام الشبكة من أدوات الاستشعار (المصادر) إلى عنوان IP الخاص لموازن التحميل (الوجهة). استخدم المنفذ tcp3128.

    • قم بإنشاء القاعدة 4095 كتكرار لقاعدة النظام 65001. وذلك لأن القاعدة 65001 سيتم الكتابة فوقها بواسطة القاعدة 4096.

    • قم بإنشاء القاعدة 4096 لرفض كافة نسبة استخدام الشبكة للتجزئة الصغيرة.

    • اختياري. إذا كنت تستخدم Bastion، فقم بإنشاء القاعدة 4094 للسماح لـ Bastion SSH إلى الخوادم. استخدم الشبكة الفرعية Bastion كمصدر.

  2. قم بتعيين NSG إلى ProxyserverSubnet الذي قمت بإنشائه سابقاً.

  3. حدد تسجيل NSG الخاص بك:

    1. حدد NSG الجديد ثم حدد إعداد التشخيص > إضافة إعداد تشخيص.

    2. حدد اسماً لإعداد التشخيص. ضمن الفئة، حدد allLogs.

    3. حدد إرسال إلى مساحة عمل Log Analytics، ثم حدد مساحة عمل Log Analytics التي تريد استخدامها.

    4. حدد لإرسال سجلات تدفق NSG ثم حدد القيم التالية:

      في علامة التبويب الأساسيات:

      • أدخل اسماً ذا معنى
      • حدد حساب التخزين الذي قمت بإنشائه مسبقاً
      • تحديد أيام الاستبقاء المطلوبة

      في علامة التبويب تكوين:

      • حدد الإصدار 2
      • حدد تمكين تحليلات نسبة استخدام الشبكة
      • حدد مساحة عمل Log Analytics الخاصة بك

الخطوة 5: تحديد مجموعة تغيير سعة جهاز Azure الظاهري

حدد مجموعة تغيير سعة جهاز Azure الظاهري لإنشاء وإدارة مجموعة من الجهاز الظاهري المتوازن التحميل، حيث يمكنك زيادة أو تقليل عدد الأجهزة الظاهرية تلقائياً حسب الحاجة.

لمزيد من المعلومات، راجع ما هي مجموعات تغيير سعة الجهاز الظاهري؟

لإنشاء مجموعة مقياس لاستخدامها مع اتصال أداة الاستشعار:

  1. إنشاء مجموعة تغيير سعة مع تعريفات المعلمة التالية:

    • وضع التنسيق: موحد
    • نوع الأمان: قياسي
    • الصورة: خادم Ubuntu 18.04 LTS – Gen1
    • الحجم: Standard_DS1_V2
    • المصادقة: استناداً إلى معيار شركتك

    احتفظ بالقيمة الافتراضية لإعدادات الأقراص.

  2. قم بإنشاء واجهة شبكة في الشبكة الفرعية Proxyserver التي قمت بإنشائها سابقاً، ولكن لا تقم بعد بتعريف موازن تحميل.

  3. حدد إعدادات التحجيم على النحو التالي:

    • تحديد عدد المثيلات الأولية ليكون 1
    • تحديد نهج التحجيم ليكون دليل

  4. تحديد إعدادات الإدارة التالية:

    • بالنسبة إلى وضع الترقية، حدد تلقائي - سيبدأ المثيل في الترقية
    • تعطيل تشخيصات التمهيد
    • مسح إعدادات Identity وMicrosoft Entra ID
    • حدد Overprovisioning
    • حدد ترقيات نظام التشغيل التلقائية الممكنة

  5. حدد إعدادات الصحة التالية:

    • حدد تمكين مراقبة صحة التطبيق
    • حدد بروتوكول TCP ومنفذ 3128

  6. ضمن الإعدادات المتقدمة، حدد خوارزمية التوزيع لتكون أقصى توزيع.

  7. بالنسبة إلى البرنامج النصي للبيانات المخصصة، قم بما يلي:

    1. قم بإنشاء البرنامج النصي للتكوين التالي، اعتماداً على المنفذ والخدمات التي تستخدمها:

      # Recommended minimum configuration:
# Squid listening port
http_port 3128
# Do not allow caching
cache deny all
# allowlist sites allowed
acl allowed_http_sites dstdomain .azure-devices.net
acl allowed_http_sites dstdomain .blob.core.windows.net
acl allowed_http_sites dstdomain .servicebus.windows.net
acl allowed_http_sites dstdomain .download.microsoft.com
http_access allow allowed_http_sites
# allowlisting
acl SSL_ports port 443
acl CONNECT method CONNECT
# Deny CONNECT to other unsecure ports
http_access deny CONNECT !SSL_ports
# default network rules
http_access allow localhost
http_access deny all

    2. قم بترميز محتويات ملف البرنامج النصي الخاص بك في base-64.

    3. انسخ محتويات الملف المشفر، ثم قم بإنشاء البرنامج النصي للتكوين التالي:

      #cloud-config
# updates packages
apt_upgrade: true
# Install squid packages
packages:
 - squid
run cmd:
 - systemctl stop squid
 - mv /etc/squid/squid.conf /etc/squid/squid.conf.factory
write_files:
- encoding: b64
  content: <replace with base64 encoded text>
  path: /etc/squid/squid.conf
  permissions: '0644'
run cmd:
 - systemctl start squid
 - apt-get -y upgrade; [ -e /var/run/reboot-required ] && reboot

الخطوة 6: إنشاء موازن تحميل Azure

موازن تحميل Azure هو موازن تحميل من الطبقة 4 الذي يوزع نسبة استخدام الشبكة الواردة بين مثيلات الجهاز الظاهري السليمة باستخدام خوارزمية توزيع مستندة إلى التجزئة.

لمزيد من المعلومات، راجع وثائق موازن تحميل Azure.

لإنشاء موازن تحميل Azure لاتصال أداة الاستشعار:

  1. قم بإنشاء موازن تحميل مع SKU قياسي ونوع داخلي للتأكد من إغلاق موازن التحميل على الإنترنت.

  2. حدد عنوان IP للواجهة الأمامية الديناميكية في الشبكة الفرعية proxysrv التي أنشأتها سابقاً، مع تعيين التوفر إلى المنطقة المكررة.

  3. بالنسبة للواجهة الخلفية، اختر مجموعة تغيير سعة الجهاز الظاهري التي قمت بإنشائها في السابق.

  4. في المنفذ المحدد في أداة الاستشعار، قم بإنشاء قاعدة موازنة تحميل TCP تربط عنوان IP للواجهة الأمامية بتجمع الواجهة الخلفية. المنفذ الافتراضي هو 3128.

  5. قم بإنشاء مسبار صحة جديد، وتحديد مسبار صحة TCP على المنفذ 3128.

  6. حدد تسجيل موازن التحميل الخاص بك:

    1. في مدخل Microsoft Azure، انتقل إلى موازن التحميل الذي أنشأته.

    2. حدد إعداد التشخيص>إضافة إعداد التشخيص.

    3. أدخل اسماً ذا معنى، وحدد الفئة لتكون allMetrics.

    4. حدد إرسال إلى مساحة عمل Log Analytics، ثم حدد مساحة عمل Log Analytics الخاصة بك.

الخطوة 7: تكوين بوابة NAT

لتكوين بوابة NAT لاتصال أداة الاستشعار الخاصة بك:

  1. إنشاء بوابة NAT جديدة.

  2. في علامة التبويب عنوان IP الصادر، حدد إنشاء عنوان IP عام جديد.

  3. في علامة التبويب الشبكة الفرعية، حدد الشبكة الفرعية ProxyserverSubnet التي أنشأتها سابقاً.

تم الآن تكوين الوكيل الخاص بك بشكل كامل. تابع عن طريق تحديد إعدادات الوكيل على مستشعر OT.

الاتصال عبر تسلسل الوكيل

يمكنك توصيل أداة الاستشعار الخاصة بك ب Defender for IoT في Azure باستخدام تسلسل الوكيل في الحالات التالية:

  • تحتاج أداة الاستشعار الخاصة بك إلى وكيل للوصول من شبكة OT إلى السحابة
  • تريد أن تتصل أدوات استشعار متعددة بـ Azure من خلال نقطة واحدة

إذا كان لديك وكيل تم تكوينه بالفعل، فتابع مباشرة مع تحديد إعدادات الوكيل على وحدة تحكم المستشعر.

إذا لم يكن لديك وكيل مكون بعد، فاستخدم الإجراءات الموجودة في هذا القسم لتكوين تسلسل الوكيل.

لمزيد من المعلومات، راجع اتصالات الوكيل بواسطة تسلسل الوكيل.

المتطلبات الأساسية

قبل البدء، تأكد من أن لديك خادم مضيف يقوم بتشغيل عملية وكيل داخل شبكة الموقع. يجب أن تكون عملية الوكيل متاحة لكل من أداة الاستشعار والوكيل التالي في السلسلة.

لقد تحققنا من صحة هذا الإجراء باستخدام وكيل الحبار مفتوح المصدر. يستخدم هذا الوكيل نفق HTTP والأمر HTTP CONNECT للاتصال. يمكن استخدام أي اتصال تسلسل وكيل آخر يدعم الأمر CONNECT لأسلوب الاتصال هذا.

هام

لا يقدم Microsoft Defender for IoT دعماً للحبار أو أي خدمات وكيل أخرى. تقع على عاتق العميل مسؤولية إعداد خدمة الوكيل والحفاظ عليها.

تكوين اتصال تسلسل وكيل

يصف هذا الإجراء كيفية تثبيت وتكوين اتصال بين أدوات الاستشعار الخاصة بك وDefender for IoT باستخدام أحدث إصدار من الحبار على خادم Ubuntu.

  1. حدد إعدادات الوكيل على كل أداة استشعار:

    1. سجل الدخول إلى مستشعر OT وحدد System settings > Sensor Network الإعدادات.

    2. قم بالتبديل إلى الخيار تمكين الوكيل وحدد مضيف الوكيل والمنفذ واسم المستخدم وكلمة المرور.

  2. تثبيت وكيل الحبار:

    1. سجل الدخول إلى جهاز Ubuntu الوكيل وقم بتشغيل نافذة طرفية.

    2. قم بتحديث النظام وتثبيت الحبار. على سبيل المثال:

      sudo apt-get update
sudo apt-get install squid

    3. حدد موقع ملف تكوين الحبار. على سبيل المثال، في /etc/squid/squid.conf أو /etc/squid/conf.d/، وافتح الملف في محرر نص.

    4. في ملف تكوين الحبار، ابحث عن النص التالي: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS.

    5. أضف acl <sensor-name> src <sensor-ip> و http_access allow <sensor-name> إلى الملف. على سبيل المثال:

      # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl sensor1 src 10.100.100.1
http_access allow sensor1

      أضف المزيد من أدوات الاستشعار حسب الحاجة عن طريق إضافة خطوط إضافية لأداة الاستشعار.

    6. قم بتكوين خدمة الحبار للبدء عند التشغيل. تشغيل:

      sudo systemctl enable squid

  3. قم بتوصيل الوكيل الخاص بك بـ Defender for IoT. تأكد من السماح بحركة مرور HTTPS الصادرة على المنفذ 443 من أداة الاستشعار إلى نقاط النهاية المطلوبة ل Defender for IoT.

    لمزيد من المعلومات، راجع توفير مستشعرات OT لإدارة السحابة.

تم الآن تكوين الوكيل الخاص بك بشكل كامل. تابع عن طريق تحديد إعدادات الوكيل على مستشعر OT.

إعداد الاتصال للبيئات متعددة السحابات

يصف هذا القسم كيفية توصيل أداة الاستشعار الخاصة بك بـ Defender for IoT في Azure من أدوات الاستشعار المنشورة في سحابة عامة واحدة أو أكثر. لمزيد من المعلومات، راجع الاتصالات متعددة السحابات.

المتطلبات الأساسية

قبل البدء، تأكد من أن لديك جهاز استشعار تم نشره في سحابة عامة، مثل AWS أو Google Cloud، وتم تكوينه لمراقبة حركة مرور SPAN.

تحديد أسلوب اتصال متعدد السحابات

استخدم مخطط التدفق التالي لتحديد أسلوب الاتصال الذي يجب استخدامه:

Flow chart to determine which connectivity method to use.

  • استخدام عناوين IP العامة عبر الإنترنت إذا لم تكن بحاجة إلى تبادل البيانات باستخدام عناوين IP الخاصة

  • استخدام VPN من موقع إلى موقع عبر الإنترنت فقط إذا لم تكن* تتطلب أيا مما يلي:

    • معدل النقل المتوقع
    • اتفاقية مستوى الخدمة (SLA)‬
    • عمليات نقل بيانات كبيرة الحجم
    • تجنب الاتصالات عبر الإنترنت العام

  • استخدم ExpressRoute إذا كنت تحتاج إلى معدل نقل يمكن التنبؤ به، أو اتفاقية على مستوى الخدمة، أو عمليات نقل لبيانات كبيرة الحجم، أو لتجنب الاتصالات عبر الإنترنت العام.

    في هذه الحالة:

    • إذا كنت ترغب في امتلاك أجهزة التوجيه التي تجري الاتصال وإدارتها، فاستخدم ExpressRoute مع التوجيه المدار من قبل العميل.
    • إذا لم تكن بحاجة إلى امتلاك أجهزة التوجيه التي تجري الاتصال وإدارتها، فاستخدم ExpressRoute مع موفر تبادل السحابة.

التكوين

  1. قم بتكوين أداة الاستشعار للاتصال بالسحابة باستخدام إحدى الأساليب الموصى بها في Azure Cloud Adoption Framework. لمزيد من المعلومات، راجع الاتصال بموفري السحابة الآخرين.

  2. لتمكين الاتصال الخاص بين VPCs وDefender for IoT، قم بتوصيل VPC الخاص بك بـ Azure VNET عبر اتصال VPN. على سبيل المثال، إذا كنت تتصل من AWS VPC، فشاهد مدونة TechCommunity: كيفية إنشاء VPN بين Azure وAWS باستخدام الحلول المدارة فقط.

  3. بعد تكوين VPC وVNET، حدد إعدادات الوكيل على مستشعر OT.

الخطوات التالية

نوصي بتكوين اتصال Active Directory لإدارة المستخدمين المحليين على مستشعر OT، وكذلك إعداد مراقبة صحة المستشعر عبر SNMP.

إذا لم تقم بتكوين هذه الإعدادات أثناء النشر، يمكنك أيضا إرجاعها وتكوينها لاحقا. لمزيد من المعلومات، راجع:

« تكوين الإعدادات الأولية وتنشيط مستشعر شبكة OT

التحكم في حركة مرور OT التي يراقبها Microsoft Defender for IoT »