Méthodes de connexion de capteurs à Azure
Cet article fait partie d'une série décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.
Utilisez le contenu ci-dessous pour en savoir plus sur les architectures et les méthodes prises en charge pour connecter des capteurs Defender pour IoT au portail Azure dans le cloud.
Les capteurs réseau se connectent à Azure pour fournir des données sur les appareils détectés, les alertes et l’intégrité des capteurs, afin d’accéder aux packages de veille des menaces et plus encore. Par exemple, les services Azure connectés comprennent IoT Hub, Stockage Blob, Event Hubs, Aria et le Centre de téléchargement Microsoft.
Toutes les méthodes de connexion offrent les avantages suivants :
Sécurité améliorée, sans configurations de sécurité supplémentaires. Connexion à Azure avec des points de terminaison spécifiques et sécurisés, sans avoir besoin de caractères génériques.
Chiffrement, avec le protocole Transport Layer Security (TLS1.2/AES-256) qui assure la communication chiffrée entre le capteur et les ressources Azure.
Scalabilité pour les nouvelles fonctionnalités prises en charge uniquement dans le cloud
Important
Pour être sûr que votre réseau est prêt, nous vous recommandons d’exécuter d’abord vos connexions dans un environnement de labo ou de test afin de pouvoir valider vos configurations de service Azure sans souci.
Choisissez un mode de connexion de capteur :
Utilisez cette section pour déterminer la méthode de connexion qui convient le mieux à votre capteur Defender pour IoT connecté au cloud.
Si... | ... Ensuite, utilisez |
---|---|
- Vous voulez connecter votre capteur directement à Azure | Connexions directes |
- Votre capteur a besoin d’un proxy pour atteindre le cloud depuis le réseau OT, ou - Vous voulez que plusieurs capteurs se connectent à Azure via un point unique |
Connexions proxy avec chaînage proxy |
- Vous avez besoin d’une connectivité privée entre votre capteur et Azure, - Votre site est connecté à Azure via ExpressRoute, ou - Votre site est connecté à Azure via un VPN |
Connexions proxy avec un proxy Azure |
- Vous avez des capteurs hébergés dans plusieurs clouds publics | Connexions multiclouds |
Notes
Bien que la plupart des méthodes de connexion s’appliquent uniquement aux capteurs OT, les connexions directes sont également utilisées pour les capteurs IoT Enterprise.
Connexions directes
L’illustration suivante montre comment connecter vos capteurs au portail Defender pour IoT dans Azure directement via Internet à partir de sites distants, sans passer par le réseau d’entreprise.
Avec des connexions directes :
Tous les capteurs connectés aux centres de données Azure directement par Internet ou Azure ExpressRoute disposent d’une connexion sécurisée et chiffrée aux centres de données Azure. Transport Layer Security (TLS1.2/AES-256) assure la communication permanente entre le capteur et les ressources Azure.
Le capteur lance toutes les connexions au portail Azure. Le lancement des connexions uniquement à partir du capteur protège les appareils réseau internes contre les connexions entrantes non sollicitées, et signifie également que vous n’avez pas besoin de configurer des règles de pare-feu entrantes.
Pour plus d'informations, consultez Approvisionner des capteurs pour la gestion cloud.
Connexions proxy avec chaînage proxy
L’illustration suivante montre comment connecter vos capteurs au portail Defender pour IoT dans Azure par le biais de plusieurs proxies, à l’aide de différents niveaux du modèle Purdue et de la hiérarchie du réseau d’entreprise.
Cette méthode prend en charge la connexion de vos capteurs avec un accès direct à Internet, un VPN privé ou ExpressRoute, le capteur va établir un tunnel SSL chiffré pour transférer les données du capteur vers le point de terminaison de service par de multiples serveurs proxy. Le serveur proxy n’effectue aucune inspection, analyse ou mise en cache des données.
Il incombe au client la configuration et la gestion des services proxy tiers avec un chaînage de proxy ; Microsoft ne fournit pas une assistance en ce qui les concerne.
Pour plus d’informations, consultez Connecter via un chaînage proxy.
Connexions proxy avec un proxy Azure
L’illustration suivante montre comment vous pouvez connecter vos capteurs au portail Defender pour IoT dans Azure via un proxy dans le réseau virtuel Azure. Cette configuration garantit la confidentialité de toutes les communications entre votre capteur et Azure.
En fonction de la configuration de votre réseau, vous pouvez accéder au réseau virtuel via une connexion VPN ou une connexion ExpressRoute.
Cette méthode utilise un serveur proxy hébergé dans Azure. Pour gérer l’équilibrage de charge et le basculement, le proxy est configuré de façon à se mettre à l’échelle automatiquement derrière un équilibreur de charge.
Pour plus d’informations, consultez Connecter via un proxy Azure.
Connexions multiclouds
Vous pouvez connecter vos capteurs au portail Defender pour IoT dans Azure à partir d’autres clouds publics à des fins de monitoring des processus de gestion OT/IoT.
Selon la configuration de votre environnement, vous pouvez vous connecter à l’aide de l’une des méthodes suivantes :
ExpressRoute avec routage géré par le client
ExpressRoute avec un fournisseur d’échange de cloud
Un VPN site à site sur Internet
Pour plus d’informations, consultez Connexion via des fournisseurs multiclouds.