Déployer la gestion des capteurs OT à air gapped (hérité)
Important
Defender pour IoT recommande désormais d’utiliser les services cloud Microsoft ou l’infrastructure informatique existante pour la supervision centralisée et la gestion des capteurs, et prévoit de mettre hors service le console de gestion local le 1er janvier 2025.
Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou air-gapped.
Lorsque vous travaillez avec plusieurs capteurs OT en air gap qui ne peuvent pas être gérés par le portail Azure, nous vous recommandons de déployer une console de gestion locale pour gérer vos capteurs OT en air gap.
L’image suivante décrit les étapes incluses dans le déploiement d’une console de gestion locale. En savoir plus sur chaque étape de déploiement dans les sections ci-dessous, y compris les références croisées pertinentes pour plus d’informations.
Votre équipe de déploiement effectue le déploiement d’une console de gestion locale. Vous pouvez déployer une console de gestion locale avant ou après le déploiement de vos capteurs OT, ou en parallèle.
Étapes du déploiement
| Étape | Description |
|---|---|
| Préparer une appliance de console de gestion locale | Tout comme vous aviez préparé une appliance locale pour vos capteurs OT, préparez une appliance pour votre console de gestion locale. Pour déployer un certificat signé par l’autorité de certification pour les environnements de production, veillez également à préparer votre certificat. |
| Installer le logiciel Microsoft Defender pour IoT sur une console de gestion locale | Téléchargez le logiciel d’installation à partir du portail Azure et installez-le sur votre appliance de console de gestion locale. |
| Activer et configurer une console de gestion locale | Utilisez un fichier d’activation téléchargé à partir du portail Azure pour activer votre console de gestion locale. |
| Créer des zones et des sites OT sur une console de gestion locale | Si vous travaillez avec un déploiement volumineux et en air gap, nous vous recommandons de créer des sites et des zones sur votre console de gestion locale, ce qui vous aide à surveiller les segments réseau de passage de trafic non autorisés et fait partie du déploiement de Defender pour IoT avec les principes de Confiance Zéro. |
| Connecter des capteurs réseau OT à la console de gestion locale | Connectez vos capteurs OT en air gap à votre console de gestion locale pour afficher les données agrégées et configurer d’autres paramètres sur tous les systèmes connectés. |
Notes
Les sites et les zones configurés sur le portail Azure ne sont pas synchronisés avec les sites et les zones configurés sur une console de gestion locale.
Lorsque vous travaillez sur un déploiement étendu, nous vous recommandons d’utiliser le portail Azure pour gérer les capteurs connectés au cloud, et la console de gestion locale pour gérer les capteurs gérés localement.
Configurations facultatives
Lors du déploiement d’une console de gestion locale, vous pouvez également configurer les options suivantes :
Intégration d’Active Directory pour permettre aux utilisateurs Active Directory de se connecter à vos consoles de gestion locales, d’utiliser des groupes Active Directory et de configurer des groupes d’accès globaux.
Accès de tunneling proxy à partir de capteurs réseau OT, améliorant la sécurité de votre système Defender pour IoT
Haute disponibilité pour les consoles de gestion locales, réduisant le risque sur vos ressources de gestion des capteurs OT
Accéder aux capteurs réseau OT via tunneling proxy
Vous souhaiterez peut-être améliorer la sécurité de votre système en empêchant la console de gestion locale d’accéder directement aux capteurs OT.
Dans ce cas, configurez le tunneling proxy sur votre console de gestion locale pour permettre aux utilisateurs de se connecter aux capteurs OT via la console de gestion locale. Par exemple :
Une fois connecté au capteur OT, l’expérience utilisateur reste la même. Pour plus d’informations, consultez Configurer l’accès aux capteurs OT via tunneling.
Haute disponibilité pour les consoles de gestion locales
Lors du déploiement d’un système de surveillance OT volumineux avec Defender pour IoT, vous pouvez utiliser une paire de machines primaires et secondaires pour une haute disponibilité sur votre console de gestion locale.
Si vous utilisez une architecture de haute disponibilité :
| Fonctionnalité | Description |
|---|---|
| Sécuriser les connexions | Un certificat SSL/TLS de la console de gestion locale est appliqué pour créer une connexion sécurisée entre les appliances principale et secondaire. Utilisez un certificat signé par l’autorité de certification ou le certificat auto-signé généré lors de l’installation. Pour plus d’informations, consultez : - Exigences de certificat SSL/TLS pour les ressources locales - Créer des certificats SSL/TLS pour les appliances OT - Gérer des certificats SSL/TLS |
| Sauvegardes de données | Les données de la console de gestion locale principale sont automatiquement sauvegardées sur la console de gestion locale secondaire toutes les 10 minutes. Pour plus d’informations, consultez Sauvegarder et restaurer sur la console de gestion locale. |
| Paramètres système | Les paramètres système définis sur la console de gestion locale principal sont dupliqués sur l’appliance secondaire. Par exemple, si les paramètres système sont mis à jour sur la console principale, ils sont également mis à jour sur la console secondaire. |
Pour en savoir plus, voir À propos de la haute disponibilité.