Érzékelők Azure-hoz való csatlakoztatásának módszerei
Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti.
Az alábbi tartalommal megismerheti a Defender for IoT-érzékelők felhőbeli Azure Portalhoz való csatlakoztatásához támogatott architektúrákat és módszereket.
A hálózati érzékelők az Azure-hoz csatlakozva adatokat szolgáltatnak az észlelt eszközökről, riasztásokról és érzékelők állapotáról, hogy hozzáférjenek a fenyegetésfelderítési csomagokhoz, és így tovább. A csatlakoztatott Azure-szolgáltatások közé tartoznak például az IoT Hub, a Blob Storage, az Event Hubs, az Aria, a Microsoft letöltőközpontja.
Minden kapcsolati módszer a következőt biztosítja:
Továbbfejlesztett biztonság további biztonsági konfigurációk nélkül. Csatlakozás az Azure-ba adott és biztonságos végpontok használatával, helyettesítő karakterek nélkül.
A titkosítás, a Transport Layer Security (TLS1.2/AES-256) titkosított kommunikációt biztosít az érzékelő és az Azure-erőforrások között.
Csak a felhőben támogatott új funkciók méretezhetősége
Fontos
Annak érdekében, hogy a hálózat készen álljon, javasoljuk, hogy először tesztkörnyezetben vagy tesztelési környezetben futtassa a kapcsolatokat, hogy biztonságosan érvényesíthesse az Azure-szolgáltatás konfigurációit.
Érzékelőkapcsolati módszer kiválasztása
Ebben a szakaszban megtudhatja, hogy melyik kapcsolati módszer megfelelő a felhőalapú Defender for IoT-érzékelőhöz.
Ha... | ... Ezután használja a |
---|---|
– Közvetlenül szeretné csatlakoztatni az érzékelőt az Azure-hoz | Közvetlen kapcsolatok |
- Az érzékelőnek proxyra van szüksége az OT-hálózatról a felhőbe való eljutáshoz, vagy – Azt szeretné, hogy több érzékelő egyetlen ponton keresztül csatlakozzon az Azure-hoz |
Proxykapcsolatok proxyláncolással |
- Privát kapcsolatot igényel az érzékelő és az Azure között, – A webhely az ExpressRoute-on keresztül csatlakozik az Azure-hoz, vagy – A webhely VPN-en keresztül csatlakozik az Azure-hoz |
Proxykapcsolatok Azure-proxyval |
- Több nyilvános felhőben üzemeltetett érzékelőkkel rendelkezik | Többfelhős kapcsolatok |
Feljegyzés
Bár a legtöbb kapcsolati módszer csak az OT-érzékelőkre vonatkozik, a közvetlen kapcsolatokat a nagyvállalati IoT-érzékelőkhöz is használják.
Közvetlen kapcsolatok
Az alábbi kép bemutatja, hogyan csatlakoztathatja az érzékelőket az Azure-beli Defender for IoT-portálhoz közvetlenül az interneten keresztül távoli helyekről anélkül, hogy bejárja a vállalati hálózatot.
Közvetlen kapcsolatok esetén:
Az Azure-adatközpontokhoz közvetlenül az interneten vagy az Azure ExpressRoute-on keresztül csatlakoztatott érzékelők biztonságos és titkosított kapcsolatot létesítenek az Azure-adatközpontokkal. A Transport Layer Security (TLS1.2/AES-256) folyamatos kommunikációt biztosít az érzékelő és az Azure-erőforrások között.
Az érzékelő minden kapcsolatot kezdeményez az Azure Portallal. Ha csak az érzékelőről kezdeményez kapcsolatokat, azzal védi a belső hálózati eszközöket a kéretlen bejövő kapcsolatoktól, de azt is jelenti, hogy nincs szükség bejövő tűzfalszabályok konfigurálására.
További információ: Érzékelők kiépítése felhőfelügyelethez.
Proxykapcsolatok proxyláncolással
Az alábbi kép bemutatja, hogyan csatlakoztathatja az érzékelőket az Azure-beli Defender for IoT-portálhoz több proxyn keresztül, a Purdue-modell különböző szintjei és a vállalati hálózati hierarchia használatával.
Ez a módszer támogatja az érzékelők közvetlen internetkapcsolattal, magánhálózati VPN-sel vagy ExpressRoute-tal való összekapcsolását, az érzékelő egy SSL-titkosítású alagutat hoz létre az érzékelőről a szolgáltatásvégpontra történő adatátvitelhez több proxykiszolgálón keresztül. A proxykiszolgáló nem végez adatvizsgálatot, elemzést vagy gyorsítótárazást.
Az ügyfél felelőssége, hogy proxyláncolással külső proxyszolgáltatásokat állítson be és tartson fenn; A Microsoft nem nyújt támogatást számukra.
További információ: Csatlakozás proxyláncolással.
Proxykapcsolatok Azure-proxyval
Az alábbi kép bemutatja, hogyan csatlakoztathatja az érzékelőket az Azure-beli Defender for IoT-portálhoz az Azure-beli proxyn keresztül az Azure VNET-ben. Ez a konfiguráció biztosítja az érzékelő és az Azure közötti kommunikáció bizalmasságát.
A hálózati konfigurációtól függően a virtuális hálózatot VPN-kapcsolaton vagy ExpressRoute-kapcsolaton keresztül érheti el.
Ez a módszer az Azure-ban üzemeltetett proxykiszolgálót használja. A terheléselosztás és a feladatátvétel kezeléséhez a proxy úgy van konfigurálva, hogy a terheléselosztó mögött automatikusan skálázható legyen.
További információ: Csatlakozás Azure-proxyn keresztül.
Többfelhős kapcsolatok
Az érzékelőket csatlakoztathatja az Azure-beli Defender for IoT portálhoz más nyilvános felhőkből az OT/IoT felügyeleti folyamat figyeléséhez.
A környezet konfigurációjától függően az alábbi módszerek egyikével csatlakozhat:
ExpressRoute ügyfél által felügyelt útválasztással
ExpressRoute felhőcsere-szolgáltatóval
Helyek közötti VPN az interneten keresztül.
További információ: Csatlakozás többfelhős szállítókon keresztül.