Sdílet prostřednictvím

Konfigurace nastavení proxy serveru na senzoru OT

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT a popisuje, jak nakonfigurovat nastavení proxy serveru na senzoru OT pro připojení k Azure.

Diagram indikátoru průběhu se zvýrazněnou možností Nasadit senzory

Tento krok můžete přeskočit v následujících případech:

Požadavky

K provedení kroků popsaných v tomto článku budete potřebovat:

Tento krok provádí týmy nasazení a připojení.

Konfigurace nastavení proxy serveru na senzoru OT

Tato část popisuje, jak nakonfigurovat nastavení existujícího proxy serveru v konzole senzoru OT. Pokud ještě nemáte proxy server, nakonfigurujte ho pomocí následujících postupů:

Definování nastavení proxy serveru na senzoru OT:

  1. Přihlaste se ke snímači OT a vyberte Nastavení systému > Nastavení sítě senzoru.

  2. Zapněte možnost Povolit proxy server a zadejte následující podrobnosti pro váš proxy server:

    • Hostitel proxy serveru
    • Proxy Port
    • Proxy uživatelské jméno (volitelné)
    • Proxy heslo (volitelné)

    Příklad:

    Snímek obrazovky se stránkou nastavení proxy serveru

  3. Pokud je to relevantní, vyberte klientský certifikát a nahrajte ověřovací certifikát proxy serveru pro přístup k proxy serveru SSL/TLS.

    Poznámka:

    Klientský certifikát SSL/TLS se vyžaduje pro proxy servery, které kontrolují provoz SSL/TLS, například při používání služeb, jako je Zscaler a Palo Alto Prisma.

  4. Zvolte Uložit.

Nastavení proxy serveru Azure

K připojení senzoru k Defenderu pro IoT můžete použít proxy Azure v následujících situacích:

  • Potřebujete privátní připojení mezi senzorem a Azure.
  • Váš web je připojený k Azure přes ExpressRoute
  • Váš web je připojený k Azure přes síť VPN.

Pokud už máte proxy server nakonfigurovaný, pokračujte přímo definováním nastavení proxy serveru v konzole senzoru.

Pokud ještě nemáte nakonfigurovaný proxy server, nastavte ho ve virtuální síti Azure pomocí postupů v této části.

Požadavky

Než začnete, ujistěte se, že máte:

  • Pracovní prostor služby Log Analytics pro protokoly monitorování

  • Připojení vzdálené lokality k virtuální síti Azure

  • Odchozí provoz HTTPS na portu 443 je povolen z vašeho senzoru na požadované koncové body pro Defender for IoT. Další informace najdete v tématu Zřizování senzorů OT pro správu cloudu.

  • Prostředek proxy serveru s oprávněními brány firewall pro přístup ke cloudovým službám Microsoftu. Postup popsaný v tomto článku používá server squid hostovaný v Azure.

Důležité

Microsoft Defender pro IoT nenabízí podporu pro squid ani žádné jiné proxy služby. Je zodpovědností zákazníka nastavit a udržovat proxy službu.

Konfigurace nastavení proxy serveru senzoru

Tato část popisuje, jak nakonfigurovat proxy server ve virtuální síti Azure pro použití se senzorem OT a zahrnuje následující kroky:

  1. Definování účtu úložiště pro protokoly NSG
  2. Definování virtuálních sítí a podsítí
  3. Definování brány virtuální nebo místní sítě
  4. Definování skupin zabezpečení sítě
  5. Definování škálovací sady virtuálních počítačů Azure
  6. Vytvoření nástroje pro vyrovnávání zatížení Azure
  7. Konfigurace služby NAT Gateway

Krok 1: Definování účtu úložiště pro protokoly NSG

Na webu Azure Portal vytvořte nový účet úložiště s následujícím nastavením:

Plocha Nastavení
Základy Výkon: Standard
Druh účtu: Úložiště Blob
Replikace: LRS
Síť Metoda připojení: Veřejný koncový bod (vybraná síť)
Ve virtuálních sítích: Žádné
Předvolba směrování: Směrování sítě Microsoftu
Ochrana dat Nechat všechny možnosti nezaškrtnuté
Rozšířené Zachovat všechny výchozí hodnoty

Krok 2: Definování virtuálních sítí a podsítí

Vytvořte následující virtuální síť a obsažené podsítě:

Název Doporučená velikost
MD4IoT-VNET /26 nebo /25 s Bastionem
Podsítě:
- GatewaySubnet /27
- ProxyserverSubnet /27
- AzureBastionSubnet (volitelné) /26

Krok 3: Definování brány virtuální nebo místní sítě

Vytvořte bránu VPN nebo ExpressRoute pro virtuální brány nebo vytvořte místní bránu v závislosti na tom, jak připojíte místní síť k Azure.

Připojte bránu k podsíti GatewaySubnet, kterou jste vytvořili dříve.

Další informace naleznete v tématu:

Krok 4: Definování skupin zabezpečení sítě

  1. Vytvořte skupinu zabezpečení sítě a definujte následující pravidla pro příchozí připojení:

    • Vytvořte pravidlo 100 , které povolí provoz ze senzorů (zdrojů) na privátní IP adresu nástroje pro vyrovnávání zatížení (cíl). Použijte port tcp3128.

    • Vytvořte pravidlo 4095 jako duplikát systémového 65001 pravidla. Je to proto, že pravidlo 65001 se přepíše pravidlem 4096.

    • Vytvořte pravidlo 4096 pro zablokování veškerého provozu pro mikrosegmentaci.

    • Nepovinné. Pokud používáte Bastion, vytvořte pravidlo 4094 , které povolí Bastion SSH serverům. Jako zdroj použijte podsíť Bastion.

  2. Přiřaďte skupinu zabezpečení sítě k ProxyserverSubnet, kterou jste vytvořili dříve.

  3. Definujte protokolování NSG:

    1. Vyberte novou skupinu zabezpečení sítě a pak zvolte Nastavení diagnostiky > Přidat nastavení diagnostiky.

    2. Zadejte název vašeho nastavení diagnostiky. V části Kategorie vyberte všechny záznamy.

    3. Vyberte Odesláno do pracovního prostoru Log Analytics a pak vyberte pracovní prostor Log Analytics, který chcete použít.

    4. Vyberte protokoly toků NSG k odeslání a pak definujte následující hodnoty:

      Na kartě Základní:

      • Zadejte smysluplný název.
      • Vyberte účet úložiště, který jste vytvořili dříve.
      • Definování požadovaných dnů uchovávání

      Na kartě Konfigurace:

      • Vyberte verzi 2.
      • Vyberte Povolit analýzu provozu
      • Vyberte pracovní prostor služby Log Analytics

Krok 5: Definování škálovací sady virtuálních počítačů Azure

Definujte škálovací sadu virtuálních počítačů Azure pro vytvoření a správu skupiny virtuálních počítačů s vyrovnáváním zatížení, kde můžete podle potřeby automaticky zvýšit nebo snížit počet virtuálních počítačů.

Další informace najdete v tématu Co jsou škálovací sady virtuálních počítačů?

Pro vytvoření sady měřítek k použití s připojením senzoru:

  1. Vytvořte škálovací sadu s následujícími definicemi parametrů:

    • Režim orchestrace: Jednotný
    • Typ zabezpečení: standardní
    • Obrázek: Ubuntu Server 18.04 LTS – Gen1
    • Velikost: Standard_DS1_V2
    • Ověřování: Na základě firemního standardu

    Ponechte výchozí hodnotu pro nastavení Disků .

  2. Vytvořte v Proxyserver podsíti, kterou jste vytvořili dříve, síťové rozhraní, ale ještě nedefinujte nástroj pro vyrovnávání zatížení.

  3. Nastavení škálování definujte následujícím způsobem:

    • Definování počátečního počtu instancí jako 1
    • Definujte zásady škálování jako Manuální

  4. Definujte následující nastavení správy:

    • V režimu upgradu vyberte Možnost Automaticky – instance se spustí s upgradem.
    • Zakázání diagnostiky spouštění
    • Vymazat nastavení pro Identity a Microsoft Entra ID
    • Vyberte Overprovisioning
    • Výběr možnosti Povolit automatické upgrady operačního systému

  5. Definujte následující nastavení zdraví:

    • Vyberte Povolit monitorování stavu aplikace.
    • Vyberte protokol TCP a port 3128.

  6. V rozšířených nastaveních definujte algoritmus šíření jako max. šíření.

  7. Pro vlastní datový skript postupujte takto:

    1. V závislosti na portu a službách, které používáte, vytvořte následující konfigurační skript:

      # Recommended minimum configuration:
# Squid listening port
http_port 3128
# Do not allow caching
cache deny all
# allowlist sites allowed
acl allowed_http_sites dstdomain .azure-devices.net
acl allowed_http_sites dstdomain .blob.core.windows.net
acl allowed_http_sites dstdomain .servicebus.windows.net
acl allowed_http_sites dstdomain .download.microsoft.com
http_access allow allowed_http_sites
# allowlisting
acl SSL_ports port 443
acl CONNECT method CONNECT
# Deny CONNECT to other unsecure ports
http_access deny CONNECT !SSL_ports
# default network rules
http_access allow localhost
http_access deny all

    2. Zakódujte obsah souboru skriptu v base-64.

    3. Zkopírujte obsah zakódovaného souboru a vytvořte následující konfigurační skript:

      #cloud-config
# updates packages
apt_upgrade: true
# Install squid packages
packages:
 - squid
run cmd:
 - systemctl stop squid
 - mv /etc/squid/squid.conf /etc/squid/squid.conf.factory
write_files:
- encoding: b64
  content: <replace with base64 encoded text>
  path: /etc/squid/squid.conf
  permissions: '0644'
run cmd:
 - systemctl start squid
 - apt-get -y upgrade; [ -e /var/run/reboot-required ] && reboot

Krok 6: Vytvoření nástroje pro vyrovnávání zatížení Azure

Azure Load Balancer je nástroj pro vyrovnávání zatížení vrstvy 4, který distribuuje příchozí provoz mezi instancemi virtuálních počítačů, které jsou v pořádku, pomocí distribučního algoritmu založeného na hodnotě hash.

Další informace najdete v dokumentaci k Azure Load Balanceru.

Vytvoření nástroje pro vyrovnávání zatížení Azure pro připojení senzoru:

  1. Vytvořte load balancer se standardním SKU a interním typem, abyste zajistili, že je load balancer uzavřený pro internet.

  2. Definujte dynamickou front-endovou IP adresu v proxysrv podsíti, kterou jste vytvořili dříve, a nastavujte tak dostupnost na zónově redundantní.

  3. U back-endu zvolte škálovací sadu virtuálních počítačů, kterou jste vytvořili v předchozích krocích.

  4. Na portu definovaném v senzoru vytvořte pravidlo vyrovnávání zatížení TCP, které spojuje IP adresu frontendu s fondem backendu. Výchozí port je 3128.

  5. Vytvořte novou sondu stavu a definujte sondu stavu PROTOKOLU TCP na portu 3128.

  6. Definujte protokolování vašeho vyrovnávače zatížení:

    1. Na webu Azure Portal přejděte do nástroje pro vyrovnávání zatížení, který jste vytvořili.

    2. Vyberte Nastavení diagnostiky>Přidat nastavení diagnostiky.

    3. Zadejte smysluplný název a definujte kategorii jako všechny metriky.

    4. Vyberte Odeslat do pracovního prostoru služby Log Analytics a pak vyberte pracovní prostor služby Log Analytics.

Krok 7: Konfigurace služby NAT Gateway

Konfigurace služby NAT Gateway pro připojení senzoru:

  1. Vytvořte novou službu NAT Gateway.

  2. Na kartě Odchozí IP vyberte Vytvořit novou veřejnou IP adresu.

  3. Na ProxyserverSubnet, kterou jste vytvořili dříve.

Váš proxy server je teď plně nakonfigurovaný. Pokračujte definováním nastavení proxy serveru na senzoru OT.

Připojení přes řetězení proxy

Senzor můžete připojit k Defenderu for IoT v Azure pomocí řetězení proxy serveru v následujících situacích:

  • Váš senzor potřebuje proxy server pro přístup ze sítě OT do cloudu.
  • Chcete, aby se několik senzorů připojilo k Azure prostřednictvím jednoho bodu.

Pokud už máte proxy server nakonfigurovaný, pokračujte přímo definováním nastavení proxy serveru v konzole senzoru.

Pokud ještě nemáte nakonfigurovaný proxy server, nakonfigurujte řetězení proxy pomocí postupů v této části.

Další informace naleznete v tématu Připojení proxy serverů s řetězením.

Požadavky

Než začnete, ujistěte se, že máte hostitelský server, na kterém běží proces proxy serveru v síti lokality. Proces proxy musí být přístupný jak senzoru, tak dalšímu proxy v řetězci.

Tento postup jsme ověřili pomocí opensourcového proxy squidu . Tento proxy server používá pro připojení tunelování HTTP a příkaz HTTP CONNECT. Pro tuto metodu připojení lze použít jakoukoli jinou proxy serverovou řetězenou vazbu, která podporuje příkaz CONNECT.

Důležité

Microsoft Defender pro IoT nenabízí podporu pro squid ani žádné jiné proxy služby. Je zodpovědností zákazníka nastavit a udržovat proxy službu.

Konfigurace zřetězeného připojení proxy serverů

Tento postup popisuje, jak nainstalovat a nakonfigurovat připojení mezi senzory a Defenderem pro IoT pomocí nejnovější verze Squid na serveru Ubuntu.

  1. Definujte nastavení proxy serveru na každém senzoru:

    1. Přihlaste se ke svému snímači OT a vyberte Systémová nastavení > Nastavení senzorové sítě.

    2. Zapněte možnost Povolit proxy a definujte svého hostitele proxy serveru, port, uživatelské jméno a heslo.

  2. Nainstalujte proxy squid:

    1. Přihlaste se k počítači s Ubuntu proxy a spusťte okno terminálu.

    2. Aktualizujte systém a nainstalujte squid. Příklad:

      sudo apt-get update
sudo apt-get install squid

    3. Vyhledejte konfigurační soubor squid. Například na /etc/squid/squid.conf adrese nebo /etc/squid/conf.d/a otevřete soubor v textovém editoru.

    4. V konfiguračním souboru squid vyhledejte následující text: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS.

    5. Přidejte acl <sensor-name> src <sensor-ip> a http_access allow <sensor-name> do souboru. Příklad:

      # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl sensor1 src 10.100.100.1
http_access allow sensor1

      Přidejte další senzory podle potřeby přidáním dalších čar pro senzor.

    6. Nakonfigurujte službu Squid tak, aby se spustila při spuštění. Spustit

      sudo systemctl enable squid

  3. Připojte proxy server k Defenderu for IoT. Ujistěte se, že odchozí provoz HTTPS na portu 443 je povolený z vašeho senzoru do požadovaných koncových bodů pro Defender for IoT.

    Další informace najdete v tématu Zřizování senzorů OT pro správu cloudu.

Váš proxy server je teď plně nakonfigurovaný. Pokračujte definováním nastavení proxy serveru na senzoru OT.

Nastavení připojení pro prostředí s více cloudy

Tato část popisuje, jak připojit senzor k Defenderu pro IoT v Azure ze senzorů nasazených v jednom nebo několika veřejných cloudech. Další informace najdete v tématu Připojení multicloudu.

Požadavky

Než začnete, ujistěte se, že máte senzor nasazený ve veřejném cloudu, jako je AWS nebo Google Cloud, a nakonfigurujte monitorování provozu SPAN.

Výběr metody připojení s více cloudy

Pomocí následujícího vývojového diagramu určete, kterou metodu připojení použít:

Vývojový diagram k určení metody připojení, která se má použít

  • Pokud nepotřebujete vyměňovat data pomocí privátních IP adres, použijte veřejné IP adresy přes internet .

  • Vpn typu site-to-site používejte přes internet jenom v případě, že ho nepotřebujete:

    • Předvídatelná propustnost
    • Dohoda o úrovni služeb (SLA)
    • Přenosy velkých objemů dat
    • Vyhněte se připojení přes veřejný internet

  • ExpressRoute použijte, pokud potřebujete předvídatelnou propustnost, smlouvu SLA, přenosy velkých objemů dat nebo se vyhnout připojení přes veřejný internet.

    V tomto případě:

    • Pokud chcete vlastnit a spravovat směrovače provádějící připojení, použijte ExpressRoute se směrováním spravovaným zákazníkem.
    • Pokud nepotřebujete vlastnit a spravovat směrovače, které vytvářejí připojení, použijte ExpressRoute s poskytovatelem cloudové výměny.

Konfigurace

  1. Nakonfigurujte senzor tak, aby se připojil ke cloudu pomocí některé z doporučených metod architektury přechodu na cloud Azure. Další informace najdete v tématu Připojení k dalším poskytovatelům cloudu.

  2. Pokud chcete povolit privátní připojení mezi vašimi vpc a Defenderem pro IoT, připojte svůj VPC k virtuální síti Azure přes připojení VPN. Pokud se například připojujete z AWS VPC, podívejte se na náš blog TechCommunity: Vytvoření sítě VPN mezi Azure a AWS pomocí pouze spravovaných řešení.

  3. Po nakonfigurování VPC a VNET definujte na senzoru OT nastavení proxy serveru.

Další kroky

Doporučujeme nakonfigurovat připojení služby Active Directory pro správu místních uživatelů na senzoru OT a také nastavení monitorování stavu snímačů přes protokol SNMP.

Pokud tato nastavení během nasazování nenakonfigurujete, můžete je později vrátit a nakonfigurovat. Další informace naleznete v tématu:

« Konfigurace počátečního nastavení a aktivace síťového senzoru OT

Řízení provozu OT monitorovaného Microsoft Defenderem pro IoT »

  • Last updated on