تكوين إعدادات الوكيل على مستشعر OT
هذه المقالة هي واحدة في سلسلة من المقالات التي تصف مسار النشر لمراقبة OT باستخدام Microsoft Defender ل IoT، وتصف كيفية تكوين إعدادات الوكيل على مستشعر OT للاتصال ب Azure.
يمكنك تخطي هذه الخطوة في الحالات التالية:
إذا كنت تعمل في بيئة مكيفة الهواء وأجهزة الاستشعار المدارة محليا
إذا كنت تستخدم اتصالا مباشرا بين مستشعر OT وAzure. في هذه الحالة، قمت بالفعل بتنفيذ جميع الخطوات المطلوبة عند توفير أداة الاستشعار الخاصة بك لإدارة السحابة
المتطلبات الأساسية
لتنفيذ الخطوات الموضحة في هذه المقالة، ستحتاج إلى:
تم تثبيت مستشعر شبكة OT وتكوينه وتنشيطه.
فهم أساليب الاتصال المدعومة لمستشعرات Defender المتصلة بالسحابة ل IoT، وخطة لنشر موقع OT الخاص بك تتضمن أسلوب الاتصال الذي تريد استخدامه لكل أداة استشعار.
الوصول إلى مستشعر OT كمستخدم مسؤول. لمزيد من المعلومات، راجع المستخدمين المحليين والأدوار لمراقبة OT باستخدام Defender for IoT.
يتم تنفيذ هذه الخطوة من قبل فرق التوزيع والاتصال.
تكوين إعدادات الوكيل على مستشعر OT
يصف هذا القسم كيفية تكوين الإعدادات لوكيل موجود على وحدة تحكم مستشعر OT. إذا لم يكن لديك وكيل بعد، فكون وكيلا باستخدام الإجراءات التالية:
لتعريف إعدادات الوكيل على مستشعر OT:
سجل الدخول إلى مستشعر OT وحدد System settings > Sensor Network الإعدادات.
قم بالتبديل إلى الخيار تمكين الوكيل ثم أدخل التفاصيل التالية لخادم الوكيل الخاص بك:
- مضيف الوكيل
- منفذ الوكيل
- اسم المستخدم الوكيل (اختياري)
- كلمة مرور الوكيل (اختياري)
على سبيل المثال:
إذا كان ذلك مناسبا، فحدد شهادة العميل لتحميل شهادة مصادقة وكيل للوصول إلى خادم وكيل SSL/TLS.
إشعار
مطلوب شهادة SSL/TLS للعميل للخوادم الوكيلة التي تفحص حركة مرور SSL/TLS، مثل عند استخدام خدمات مثل Zscaler و Palo Alto Prisma.
حدد حفظ.
إعداد وكيل Azure
يمكنك استخدام وكيل Azure لتوصيل جهاز الاستشعار الخاص بك ب Defender for IoT في الحالات التالية:
- تحتاج إلى اتصال خاص بين أداة الاستشعار الخاصة بك وAzure
- موقعك متصل بـ Azure عبر ExpressRoute
- موقعك متصل بـ Azure عبر VPN
إذا كان لديك وكيل تم تكوينه بالفعل، فتابع مباشرة مع تحديد إعدادات الوكيل على وحدة تحكم المستشعر.
إذا لم يكن لديك وكيل مكون بعد، فاستخدم الإجراءات الموجودة في هذا القسم لإعداد واحد في Azure VNET.
المتطلبات الأساسية
قبل أن تبدأ، تأكد من أن لديك:
مساحة عمل Log Analytics لسجلات المراقبة
اتصال الموقع البعيد بـ Azure VNET
يسمح بحركة مرور HTTPS الصادرة على المنفذ 443 من أداة الاستشعار الخاصة بك إلى نقاط النهاية المطلوبة ل Defender for IoT. لمزيد من المعلومات، راجع توفير مستشعرات OT لإدارة السحابة.
مورد خادم وكيل، مع أذونات جدار الحماية للوصول إلى خدمات Microsoft السحابية. يستخدم الإجراء الموضح في هذه المقالة خادم الحبار المستضاف في Azure.
هام
لا يقدم Microsoft Defender for IoT دعماً للحبار أو أي خدمات وكيل أخرى. تقع على عاتق العميل مسؤولية إعداد خدمة الوكيل والحفاظ عليها.
تكوين إعدادات وكيل أداة الاستشعار
يصف هذا القسم كيفية تكوين وكيل في Azure VNET للاستخدام مع مستشعر OT، ويتضمن الخطوات التالية:
- تحديد حساب تخزين لسجلات NSG
- تحديد الشبكات الظاهرية والشبكات الفرعية
- تحديد بوابة شبكة ظاهرية أو محلية
- تحديد مجموعات أمان الشبكة
- تحديد مجموعة تغيير سعة جهاز Azure الظاهري
- إنشاء موازنة تحميل Azure
- تكوين بوابة NAT
الخطوة 1: تحديد حساب تخزين لسجلات NSG
في مدخل Microsoft Azure، قم بإنشاء حساب تخزين جديد بالإعدادات التالية:
المساحة | إعدادات |
---|---|
الأساسيات | الأداء: قياسي نوع الحساب: تخزين Blob النسخ المتماثل: LRS |
الشبكه | أسلوب الاتصال ivity: نقطة النهاية العامة (شبكة محددة) في الشبكات الظاهرية: لا شيء تفضيل التوجيه: توجيه شبكة Microsoft |
حماية البيانات | الاحتفاظ بكافة الخيارات خالية |
خيارات متقدمة | الاحتفاظ بكافة القيم الافتراضية |
الخطوة 2: تحديد الشبكات الظاهرية والشبكات الفرعية
إنشاء VNET التالية والشبكات الفرعية المضمنة:
الاسم | الحجم الموصى به |
---|---|
MD4IoT-VNET |
/26 أو /25 مع Bastion |
الشبكات الفرعية: | |
- GatewaySubnet |
/27 |
- ProxyserverSubnet |
/27 |
- AzureBastionSubnet (اختياري) |
/26 |
الخطوة 3: تحديد بوابة شبكة ظاهرية أو محلية
إنشاء VPN أو بوابة ExpressRoute للبوابات الظاهرية، أو إنشاء بوابة محلية، اعتماداً على كيفية توصيل الشبكة المحلية بـ Azure.
إرفاق البوابة بالشبكة الفرعية GatewaySubnet
التي قمت بإنشائها سابقاً.
لمزيد من المعلومات، راجع:
- نبذة عن بوابات الشبكة الظاهرية الخاصة
- توصيل شبكة ظاهرية بدائرة ExpressRoute باستخدام المدخل
- تعديل إعدادات بوابة الشبكة المحلية باستخدام مدخل Microsoft Azure
الخطوة 4: تحديد مجموعات أمان الشبكة
إنشاء NSG وتحديد القواعد الواردة التالية:
إنشاء قاعدة
100
للسماح بنسبة استخدام الشبكة من أدوات الاستشعار (المصادر) إلى عنوان IP الخاص لموازن التحميل (الوجهة). استخدم المنفذtcp3128
.قم بإنشاء القاعدة
4095
كتكرار لقاعدة النظام65001
. وذلك لأن القاعدة65001
سيتم الكتابة فوقها بواسطة القاعدة4096
.قم بإنشاء القاعدة
4096
لرفض كافة نسبة استخدام الشبكة للتجزئة الصغيرة.اختياري. إذا كنت تستخدم Bastion، فقم بإنشاء القاعدة
4094
للسماح لـ Bastion SSH إلى الخوادم. استخدم الشبكة الفرعية Bastion كمصدر.
قم بتعيين NSG إلى
ProxyserverSubnet
الذي قمت بإنشائه سابقاً.حدد تسجيل NSG الخاص بك:
حدد NSG الجديد ثم حدد إعداد التشخيص > إضافة إعداد تشخيص.
حدد اسماً لإعداد التشخيص. ضمن الفئة، حدد allLogs.
حدد إرسال إلى مساحة عمل Log Analytics، ثم حدد مساحة عمل Log Analytics التي تريد استخدامها.
حدد لإرسال سجلات تدفق NSG ثم حدد القيم التالية:
في علامة التبويب الأساسيات:
- أدخل اسماً ذا معنى
- حدد حساب التخزين الذي قمت بإنشائه مسبقاً
- تحديد أيام الاستبقاء المطلوبة
في علامة التبويب تكوين:
- حدد الإصدار 2
- حدد تمكين تحليلات نسبة استخدام الشبكة
- حدد مساحة عمل Log Analytics الخاصة بك
الخطوة 5: تحديد مجموعة تغيير سعة جهاز Azure الظاهري
حدد مجموعة تغيير سعة جهاز Azure الظاهري لإنشاء وإدارة مجموعة من الجهاز الظاهري المتوازن التحميل، حيث يمكنك زيادة أو تقليل عدد الأجهزة الظاهرية تلقائياً حسب الحاجة.
لمزيد من المعلومات، راجع ما هي مجموعات تغيير سعة الجهاز الظاهري؟
لإنشاء مجموعة مقياس لاستخدامها مع اتصال أداة الاستشعار:
إنشاء مجموعة تغيير سعة مع تعريفات المعلمة التالية:
- وضع التنسيق: موحد
- نوع الأمان: قياسي
- الصورة: خادم Ubuntu 18.04 LTS – Gen1
- الحجم: Standard_DS1_V2
- المصادقة: استناداً إلى معيار شركتك
احتفظ بالقيمة الافتراضية لإعدادات الأقراص.
قم بإنشاء واجهة شبكة في الشبكة الفرعية
Proxyserver
التي قمت بإنشائها سابقاً، ولكن لا تقم بعد بتعريف موازن تحميل.حدد إعدادات التحجيم على النحو التالي:
- تحديد عدد المثيلات الأولية ليكون 1
- تحديد نهج التحجيم ليكون دليل
تحديد إعدادات الإدارة التالية:
- بالنسبة إلى وضع الترقية، حدد تلقائي - سيبدأ المثيل في الترقية
- تعطيل تشخيصات التمهيد
- مسح إعدادات Identity وMicrosoft Entra ID
- حدد Overprovisioning
- حدد ترقيات نظام التشغيل التلقائية الممكنة
حدد إعدادات الصحة التالية:
- حدد تمكين مراقبة صحة التطبيق
- حدد بروتوكول TCP ومنفذ 3128
ضمن الإعدادات المتقدمة، حدد خوارزمية التوزيع لتكون أقصى توزيع.
بالنسبة إلى البرنامج النصي للبيانات المخصصة، قم بما يلي:
قم بإنشاء البرنامج النصي للتكوين التالي، اعتماداً على المنفذ والخدمات التي تستخدمها:
# Recommended minimum configuration: # Squid listening port http_port 3128 # Do not allow caching cache deny all # allowlist sites allowed acl allowed_http_sites dstdomain .azure-devices.net acl allowed_http_sites dstdomain .blob.core.windows.net acl allowed_http_sites dstdomain .servicebus.windows.net acl allowed_http_sites dstdomain .download.microsoft.com http_access allow allowed_http_sites # allowlisting acl SSL_ports port 443 acl CONNECT method CONNECT # Deny CONNECT to other unsecure ports http_access deny CONNECT !SSL_ports # default network rules http_access allow localhost http_access deny all
قم بترميز محتويات ملف البرنامج النصي الخاص بك في base-64.
انسخ محتويات الملف المشفر، ثم قم بإنشاء البرنامج النصي للتكوين التالي:
#cloud-config # updates packages apt_upgrade: true # Install squid packages packages: - squid run cmd: - systemctl stop squid - mv /etc/squid/squid.conf /etc/squid/squid.conf.factory write_files: - encoding: b64 content: <replace with base64 encoded text> path: /etc/squid/squid.conf permissions: '0644' run cmd: - systemctl start squid - apt-get -y upgrade; [ -e /var/run/reboot-required ] && reboot
الخطوة 6: إنشاء موازن تحميل Azure
موازن تحميل Azure هو موازن تحميل من الطبقة 4 الذي يوزع نسبة استخدام الشبكة الواردة بين مثيلات الجهاز الظاهري السليمة باستخدام خوارزمية توزيع مستندة إلى التجزئة.
لمزيد من المعلومات، راجع وثائق موازن تحميل Azure.
لإنشاء موازن تحميل Azure لاتصال أداة الاستشعار:
قم بإنشاء موازن تحميل مع SKU قياسي ونوع داخلي للتأكد من إغلاق موازن التحميل على الإنترنت.
حدد عنوان IP للواجهة الأمامية الديناميكية في الشبكة الفرعية
proxysrv
التي أنشأتها سابقاً، مع تعيين التوفر إلى المنطقة المكررة.بالنسبة للواجهة الخلفية، اختر مجموعة تغيير سعة الجهاز الظاهري التي قمت بإنشائها في السابق.
في المنفذ المحدد في أداة الاستشعار، قم بإنشاء قاعدة موازنة تحميل TCP تربط عنوان IP للواجهة الأمامية بتجمع الواجهة الخلفية. المنفذ الافتراضي هو 3128.
قم بإنشاء مسبار صحة جديد، وتحديد مسبار صحة TCP على المنفذ 3128.
حدد تسجيل موازن التحميل الخاص بك:
في مدخل Microsoft Azure، انتقل إلى موازن التحميل الذي أنشأته.
حدد إعداد التشخيص>إضافة إعداد التشخيص.
أدخل اسماً ذا معنى، وحدد الفئة لتكون allMetrics.
حدد إرسال إلى مساحة عمل Log Analytics، ثم حدد مساحة عمل Log Analytics الخاصة بك.
الخطوة 7: تكوين بوابة NAT
لتكوين بوابة NAT لاتصال أداة الاستشعار الخاصة بك:
إنشاء بوابة NAT جديدة.
في علامة التبويب عنوان IP الصادر، حدد إنشاء عنوان IP عام جديد.
في علامة التبويب الشبكة الفرعية، حدد الشبكة الفرعية
ProxyserverSubnet
التي أنشأتها سابقاً.
تم الآن تكوين الوكيل الخاص بك بشكل كامل. تابع عن طريق تحديد إعدادات الوكيل على مستشعر OT.
الاتصال عبر تسلسل الوكيل
يمكنك توصيل أداة الاستشعار الخاصة بك ب Defender for IoT في Azure باستخدام تسلسل الوكيل في الحالات التالية:
- تحتاج أداة الاستشعار الخاصة بك إلى وكيل للوصول من شبكة OT إلى السحابة
- تريد أن تتصل أدوات استشعار متعددة بـ Azure من خلال نقطة واحدة
إذا كان لديك وكيل تم تكوينه بالفعل، فتابع مباشرة مع تحديد إعدادات الوكيل على وحدة تحكم المستشعر.
إذا لم يكن لديك وكيل مكون بعد، فاستخدم الإجراءات الموجودة في هذا القسم لتكوين تسلسل الوكيل.
لمزيد من المعلومات، راجع اتصالات الوكيل بواسطة تسلسل الوكيل.
المتطلبات الأساسية
قبل البدء، تأكد من أن لديك خادم مضيف يقوم بتشغيل عملية وكيل داخل شبكة الموقع. يجب أن تكون عملية الوكيل متاحة لكل من أداة الاستشعار والوكيل التالي في السلسلة.
لقد تحققنا من صحة هذا الإجراء باستخدام وكيل الحبار مفتوح المصدر. يستخدم هذا الوكيل نفق HTTP والأمر HTTP CONNECT للاتصال. يمكن استخدام أي اتصال تسلسل وكيل آخر يدعم الأمر CONNECT لأسلوب الاتصال هذا.
هام
لا يقدم Microsoft Defender for IoT دعماً للحبار أو أي خدمات وكيل أخرى. تقع على عاتق العميل مسؤولية إعداد خدمة الوكيل والحفاظ عليها.
تكوين اتصال تسلسل وكيل
يصف هذا الإجراء كيفية تثبيت وتكوين اتصال بين أدوات الاستشعار الخاصة بك وDefender for IoT باستخدام أحدث إصدار من الحبار على خادم Ubuntu.
حدد إعدادات الوكيل على كل أداة استشعار:
سجل الدخول إلى مستشعر OT وحدد System settings > Sensor Network الإعدادات.
قم بالتبديل إلى الخيار تمكين الوكيل وحدد مضيف الوكيل والمنفذ واسم المستخدم وكلمة المرور.
تثبيت وكيل الحبار:
سجل الدخول إلى جهاز Ubuntu الوكيل وقم بتشغيل نافذة طرفية.
قم بتحديث النظام وتثبيت الحبار. على سبيل المثال:
sudo apt-get update sudo apt-get install squid
حدد موقع ملف تكوين الحبار. على سبيل المثال، في
/etc/squid/squid.conf
أو/etc/squid/conf.d/
، وافتح الملف في محرر نص.في ملف تكوين الحبار، ابحث عن النص التالي:
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
.أضف
acl <sensor-name> src <sensor-ip>
وhttp_access allow <sensor-name>
إلى الملف. على سبيل المثال:# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl sensor1 src 10.100.100.1 http_access allow sensor1
أضف المزيد من أدوات الاستشعار حسب الحاجة عن طريق إضافة خطوط إضافية لأداة الاستشعار.
قم بتكوين خدمة الحبار للبدء عند التشغيل. تشغيل:
sudo systemctl enable squid
قم بتوصيل الوكيل الخاص بك بـ Defender for IoT. تأكد من السماح بحركة مرور HTTPS الصادرة على المنفذ 443 من أداة الاستشعار إلى نقاط النهاية المطلوبة ل Defender for IoT.
لمزيد من المعلومات، راجع توفير مستشعرات OT لإدارة السحابة.
تم الآن تكوين الوكيل الخاص بك بشكل كامل. تابع عن طريق تحديد إعدادات الوكيل على مستشعر OT.
إعداد الاتصال للبيئات متعددة السحابات
يصف هذا القسم كيفية توصيل أداة الاستشعار الخاصة بك بـ Defender for IoT في Azure من أدوات الاستشعار المنشورة في سحابة عامة واحدة أو أكثر. لمزيد من المعلومات، راجع الاتصالات متعددة السحابات.
المتطلبات الأساسية
قبل البدء، تأكد من أن لديك جهاز استشعار تم نشره في سحابة عامة، مثل AWS أو Google Cloud، وتم تكوينه لمراقبة حركة مرور SPAN.
تحديد أسلوب اتصال متعدد السحابات
استخدم مخطط التدفق التالي لتحديد أسلوب الاتصال الذي يجب استخدامه:
استخدام عناوين IP العامة عبر الإنترنت إذا لم تكن بحاجة إلى تبادل البيانات باستخدام عناوين IP الخاصة
استخدام VPN من موقع إلى موقع عبر الإنترنت فقط إذا لم تكن* تتطلب أيا مما يلي:
- معدل النقل المتوقع
- اتفاقية مستوى الخدمة (SLA)
- عمليات نقل بيانات كبيرة الحجم
- تجنب الاتصالات عبر الإنترنت العام
استخدم ExpressRoute إذا كنت تحتاج إلى معدل نقل يمكن التنبؤ به، أو اتفاقية على مستوى الخدمة، أو عمليات نقل لبيانات كبيرة الحجم، أو لتجنب الاتصالات عبر الإنترنت العام.
في هذه الحالة:
- إذا كنت ترغب في امتلاك أجهزة التوجيه التي تجري الاتصال وإدارتها، فاستخدم ExpressRoute مع التوجيه المدار من قبل العميل.
- إذا لم تكن بحاجة إلى امتلاك أجهزة التوجيه التي تجري الاتصال وإدارتها، فاستخدم ExpressRoute مع موفر تبادل السحابة.
التكوين
قم بتكوين أداة الاستشعار للاتصال بالسحابة باستخدام إحدى الأساليب الموصى بها في Azure Cloud Adoption Framework. لمزيد من المعلومات، راجع الاتصال بموفري السحابة الآخرين.
لتمكين الاتصال الخاص بين VPCs وDefender for IoT، قم بتوصيل VPC الخاص بك بـ Azure VNET عبر اتصال VPN. على سبيل المثال، إذا كنت تتصل من AWS VPC، فشاهد مدونة TechCommunity: كيفية إنشاء VPN بين Azure وAWS باستخدام الحلول المدارة فقط.
بعد تكوين VPC وVNET، حدد إعدادات الوكيل على مستشعر OT.
الخطوات التالية
نوصي بتكوين اتصال Active Directory لإدارة المستخدمين المحليين على مستشعر OT، وكذلك إعداد مراقبة صحة المستشعر عبر SNMP.
إذا لم تقم بتكوين هذه الإعدادات أثناء النشر، يمكنك أيضا إرجاعها وتكوينها لاحقا. لمزيد من المعلومات، راجع:
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ