Mengonfigurasi pengaturan proksi pada sensor OT

Artikel ini adalah salah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Pertahanan Microsoft untuk IoT, dan menjelaskan cara mengonfigurasi pengaturan proksi pada sensor OT Anda untuk terhubung ke Azure.

Anda dapat melewati langkah ini dalam kasus berikut:

• Jika Anda bekerja di lingkungan yang terpasang di udara dan sensor yang dikelola secara lokal

• Jika Anda menggunakan koneksi langsung antara sensor OT dan Azure. Dalam hal ini, Anda telah melakukan semua langkah yang diperlukan saat menyediakan sensor untuk manajemen cloud

Prasyarat

Untuk melakukan langkah-langkah yang dijelaskan dalam artikel ini, Anda memerlukan:

• Sensor jaringan OT diinstal, dikonfigurasi , dan diaktifkan.

• Pemahaman tentang metode koneksi yang didukung untuk sensor Defender for IoT yang terhubung ke cloud, dan rencana untuk penyebaran situs OT Anda yang menyertakan metode koneksi yang ingin Anda gunakan untuk setiap sensor.

• Akses ke sensor OT sebagai pengguna Admin . Untuk informasi selengkapnya, lihat Pengguna dan peran lokal untuk pemantauan OT dengan Defender for IoT.

Langkah ini dilakukan oleh tim penyebaran dan konektivitas Anda.

Mengonfigurasi pengaturan proksi pada sensor OT Anda

Bagian ini menjelaskan cara mengonfigurasi pengaturan untuk proksi yang ada di konsol sensor OT Anda. Jika Anda belum memiliki proksi, konfigurasikan proksi menggunakan prosedur berikut:

• Menyiapkan proksi Azure
• Menyambungkan melalui penautan proksi
• Menyiapkan konektivitas untuk lingkungan multicloud

Untuk menentukan pengaturan proksi pada sensor OT Anda:

1. Masuk ke sensor OT Anda dan pilih Pengaturan Sistem > Pengaturan Jaringan Sensor.

2. Alihkan pada opsi Aktifkan Proksi lalu masukkan detail berikut untuk server proksi Anda:

   • Host Proksi
   • Port Proksi
   • Nama Pengguna Proksi (opsional)
   • Kata Sandi Proksi (opsional)

   Contohnya:

   

3. Jika relevan, pilih Sertifikat klien untuk mengunggah sertifikat autentikasi proksi untuk akses ke server proksi SSL/TLS.

   Catatan

   Sertifikat SSL/TLS klien diperlukan untuk server proksi yang memeriksa lalu lintas SSL/TLS, seperti saat menggunakan layanan seperti Zscaler dan Palo Alto Prisma.

4. Pilih Simpan.

Menyiapkan proksi Azure

Anda mungkin menggunakan proksi Azure untuk menyambungkan sensor Anda ke Defender for IoT dalam situasi berikut:

• Anda memerlukan konektivitas privat antara sensor Anda dan Azure
• Situs Anda tersambung ke Azure melalui ExpressRoute
• Situs Anda tersambung ke Azure melalui VPN

Jika Anda sudah memiliki proksi yang dikonfigurasi, lanjutkan langsung dengan menentukan pengaturan proksi di konsol sensor Anda.

Jika Anda belum memiliki proksi yang dikonfigurasi, gunakan prosedur di bagian ini untuk menyiapkannya di Azure VNET Anda.

Prasyarat

Sebelum memulai, pastikan Anda memiliki:

• Ruang kerja Analitik Log untuk memantau log

• Konektivitas situs jarak jauh ke Azure VNET

• Lalu lintas HTTPS keluar pada port 443 diizinkan dari sensor Anda ke titik akhir yang diperlukan untuk Defender untuk IoT. Untuk informasi selengkapnya, lihat Memprovisikan sensor OT untuk manajemen cloud.

• Sumber daya server proksi, dengan izin firewall untuk mengakses layanan cloud Microsoft. Prosedur yang dijelaskan dalam artikel ini menggunakan server Squid yang dihosting di Azure.

Penting

Microsoft Defender untuk IoT tidak menawarkan dukungan untuk Squid atau layanan proksi lainnya. Mengatur dan memelihara layanan proksi merupakan tanggung jawab pelanggan.

Mengonfigurasi pengaturan proksi sensor

Bagian ini menjelaskan cara mengonfigurasi proksi di Azure VNET Anda untuk digunakan dengan sensor OT, dan menyertakan langkah-langkah berikut:

1. Menentukan akun penyimpanan untuk log NSG
2. Menentukan jaringan virtual dan subnet
3. Menentukan gateway jaringan lokal atau virtual
4. Menentukan kelompok keamanan jaringan
5. Menentukan set skala mesin virtual Azure
6. Membuat load balancer Azure
7. Mengonfigurasi gateway NAT

Langkah 1: Menentukan akun penyimpanan untuk log NSG

Di portal Microsoft Azure, buat akun penyimpanan baru dengan pengaturan berikut:

Luas	Pengaturan
Dasar	Performa: Standar Jenis akun: Penyimpanan blob Replikasi: LRS
Jaringan	Metode konektivitas: Titik akhir publik (jaringan yang dipilih) Di Virtual Networks: Tidak ada Preferensi Perutean: Perutean jaringan Microsoft
Perlindungan Data	Biarkan semua opsi dibersihkan
Maju	Simpan semua nilai default

Langkah 2: Menentukan jaringan virtual dan subnet

Buat VNET berikut dan subnet yang terkandung:

Nama	Ukuran yang Direkomendasikan
MD4IoT-VNET	/26 atau /25 dengan Bastion
Subnet:
- GatewaySubnet	/27
- ProxyserverSubnet	/27
- AzureBastionSubnet (opsional)	/26

Langkah 3: Menentukan gateway jaringan lokal atau virtual

Buat VPN atau Gateway ExpressRoute untuk gateway virtual, atau buat gateway lokal, tergantung pada cara Anda menyambungkan jaringan lokal Anda ke Azure.

Lampirkan gateway ke subnet GatewaySubnet yang Anda buat sebelumnya.

Untuk informasi selengkapnya, lihat:

• VPN Gateway
• Menghubungkan jaringan virtual ke sirkuit ExpressRoute menggunakan portal
• Ubah pengaturan gateway jaringan lokal dengan menggunakan portal Microsoft Azure

Langkah 4: Menentukan kelompok keamanan jaringan

1. Buat NSG dan tentukan aturan masuk berikut:

   • Buat aturan 100 untuk mengizinkan lalu lintas dari sensor Anda (sumber) ke alamat IP privat penyeimbang muatan (tujuan). Gunakan port tcp3128.

   • Buat aturan 4095 sebagai duplikat dari aturan sistem 65001. Hal ini karena aturan 65001 akan ditimpa oleh aturan 4096.

   • Buat aturan 4096 untuk menolak semua lalu lintas untuk segmentasi mikro.

   • Opsional. Jika Anda menggunakan Bastion, buat aturan 4094 untuk mengizinkan SSH Bastion ke server. Gunakan subnet Bastion sebagai sumber.

2. Tetapkan NSG ke ProxyserverSubnet yang Anda buat sebelumnya.

3. Tentukan pengelogan NSG Anda:

   1. Pilih NSG baru Anda lalu pilih Pengaturan diagnostik > Tambahkan pengaturan diagnostik.

   2. Pilih nama untuk pengaturan diagnostik Anda. Di bawah Kategori, pilih allLogs.

   3. Pilih Ruang kerja Dikirim ke Analitik Log, lalu pilih ruang kerja Analitik Log yang ingin Anda gunakan.

   4. Pilih untuk mengirim log alur NSG lalu tentukan nilai berikut:

      Pada tab Dasar:

      • Masukkan nama yang bermakna
      • Pilih akun penyimpanan yang anda buat sebelumnya
      • Tentukan hari retensi yang diperlukan

      Pada tab Konfigurasi:

      • PilihVersi 2
      • Pilih Aktifkan Analitik Lalu Lintas
      • Pilih ruang kerja Analitik Log Anda

Langkah 5: Menentukan set skala mesin virtual Azure

Tentukan set skala mesin virtual Azure untuk membuat dan mengelola sekelompok mesin virtual dengan beban seimbang, tempat Anda dapat secara otomatis menambah atau mengurangi jumlah mesin virtual sesuai kebutuhan.

Untuk informasi selengkapnya, lihat Apa itu set skala mesin virtual?

Untuk membuat set skala yang akan digunakan dengan koneksi sensor Anda:

1. Buat set skala dengan definisi parameter berikut:

   • Mode Orkestrasi: Seragam
   • Jenis Keamanan: standar
   • Gambar: Server Ubuntu 18.04 LTS – Gen1
   • Ukuran: Standard_DS1_V2
   • Autentikasi: Berdasarkan standar perusahaan Anda

   Pertahankan nilai default untuk pengaturan Disk.

2. Buat antarmuka jaringan di subnet Proxyserver yang Anda buat sebelumnya, tetapi jangan menentukan penyeimbang muatan terlebih dahulu.

3. Tentukan pengaturan penskalaan Anda sebagai berikut:

   • Tentukan jumlah instans awal sebagai 1
   • Tentukan kebijakan penskalaan sebagai Manual

4. Tentukan pengaturan manajemen berikut:

   • Untuk mode peningkatan, pilih Otomatis - instans akan mulai meningkatkan
   • Nonaktifkan diagnostik boot
   • Menghapus pengaturan untuk Identitas dan ID Microsoft Entra
   • Pilih Provisi berlebih
   • Pilih Peningkatan OS otomatis diaktifkan

5. Tentukan pengaturan kesehatan berikut:

   • Pilih Aktifkan pemantauan kesehatan aplikasi
   • Pilih protokol TCP dan port 3128

6. Di bagian pengaturan tingkat lanjut, tentukan Algoritma penyebaran sebagai Penyebaran Maksimum.

7. Untuk skrip data kustom, lakukan hal berikut:

   1. Buat skrip konfigurasi berikut, tergantung pada port dan layanan yang Anda gunakan:

      # Recommended minimum configuration:
      # Squid listening port
      http_port 3128
      # Do not allow caching
      cache deny all
      # allowlist sites allowed
      acl allowed_http_sites dstdomain .azure-devices.net
      acl allowed_http_sites dstdomain .blob.core.windows.net
      acl allowed_http_sites dstdomain .servicebus.windows.net
      acl allowed_http_sites dstdomain .download.microsoft.com
      http_access allow allowed_http_sites
      # allowlisting
      acl SSL_ports port 443
      acl CONNECT method CONNECT
      # Deny CONNECT to other unsecure ports
      http_access deny CONNECT !SSL_ports
      # default network rules
      http_access allow localhost
      http_access deny all
      

   2. Kodekan konten file skrip Anda di basis-64.

   3. Salin konten file yang dikodekan, lalu buat skrip konfigurasi berikut:

      #cloud-config
      # updates packages
      apt_upgrade: true
      # Install squid packages
      packages:
       - squid
      run cmd:
       - systemctl stop squid
       - mv /etc/squid/squid.conf /etc/squid/squid.conf.factory
      write_files:
      - encoding: b64
        content: <replace with base64 encoded text>
        path: /etc/squid/squid.conf
        permissions: '0644'
      run cmd:
       - systemctl start squid
       - apt-get -y upgrade; [ -e /var/run/reboot-required ] && reboot
      

Langkah 6: Membuat penyeimbang muatan Azure

Azure Load Balancer adalah penyeimbang muatan lapis-4 yang mendistribusikan lalu lintas masuk di antara instans mesin virtual yang sehat menggunakan algoritma distribusi berbasis hash.

Untuk informasi selengkapnya, lihat dokumentasi Azure Load Balancer.

Untuk membuat load balancer Azure untuk koneksi sensor Anda:

1. Buat penyeimbang muatan dengan SKU standar dan jenis Internal guna memastikan bahwa penyeimbang muatan tertutup ke internet.

2. Tentukan alamat IP frontend dinamis di subnet proxysrv yang Anda buat sebelumnya, atur ketersediaan ke zona-redundan.

3. Untuk backend, pilih set skala mesin virtual yang Anda buat sebelumnya.

4. Pada port yang ditentukan dalam sensor, buat aturan penyeimbangan muatan TCP yang menyambungkan alamat IP frontend dengan kumpulan backend. Port default adalah 3128.

5. Buat pemeriksaan kesehatan baru, dan tentukan pemeriksaan kesehatan TCP pada port 3128.

6. Tentukan pengelogan penyeimbang muatan Anda:

   1. Buka penyeimbang muatan yang baru saja Anda buat di portal Microsoft Azure.

   2. Pilih Pengaturan diagnostik>Tambahkan pengaturan diagnostik.

   3. Masukkan nama yang bermakna, dan tentukan kategori sebagai allMetrics.

   4. Pilih Ruang kerja Dikirim ke Log Analytics, lalu pilih ruang kerja Analitik Log Anda.

Langkah 7: Mengonfigurasi gateway NAT

Guna mengonfigurasi gateway NAT untuk koneksi sensor Anda:

1. Buat NAT Gateway baru.

2. Di tab IP Keluar, pilih Buat alamat IP publik baru.

3. Di tab Subnet, pilih subnet ProxyserverSubnet yang Anda buat sebelumnya.

Proksi Anda sekarang sepenuhnya dikonfigurasi. Lanjutkan dengan menentukan pengaturan proksi pada sensor OT Anda.

Menyambungkan melalui penautan proksi

Anda mungkin menyambungkan sensor Anda ke Defender for IoT di Azure menggunakan rantai proksi dalam situasi berikut:

• Sensor Anda memerlukan proksi untuk menjangkau dari jaringan OT ke cloud
• Anda ingin beberapa sensor tersambung ke Azure melalui satu titik

Jika Anda sudah memiliki proksi yang dikonfigurasi, lanjutkan langsung dengan menentukan pengaturan proksi di konsol sensor Anda.

Jika Anda belum memiliki proksi yang dikonfigurasi, gunakan prosedur di bagian ini untuk mengonfigurasi rantai proksi Anda.

Untuk informasi selengkapnya, lihat Koneksi proksi dengan penautan proksi.

Prasyarat

Sebelum memulai, pastikan Anda memiliki server host yang menjalankan proses proksi dalam jaringan situs. Proses proksi harus dapat diakses oleh sensor dan proksi berikutnya dalam rantai.

Kami telah memvalidasi prosedur ini menggunakan proksi Squid sumber terbuka. Proksi ini menggunakan penerowongan HTTP dan perintah HTTP CONNECT untuk konektivitas. Koneksi penautan proksi lain yang mendukung perintah CONNECT dapat digunakan untuk metode koneksi ini.

Penting

Microsoft Defender untuk IoT tidak menawarkan dukungan untuk Squid atau layanan proksi lainnya. Mengatur dan memelihara layanan proksi merupakan tanggung jawab pelanggan.

Mengonfigurasi koneksi rantai proksi

Prosedur ini menjelaskan cara menginstal dan mengonfigurasi koneksi antara sensor Anda dan Defender untuk IoT menggunakan Squid versi terbaru di server Ubuntu.

1. Tentukan pengaturan proksi Anda pada setiap sensor:

   1. Masuk ke sensor OT Anda dan pilih Pengaturan Sistem > Pengaturan Jaringan Sensor.

   2. Aktifkan opsi Aktifkan Proksi dan tentukan host proksi, port, nama pengguna, dan kata sandi Anda.

2. Instal proksi Squid:

   1. Masuk ke mesin Ubuntu proksi Anda dan luncurkan jendela terminal.

   2. Perbarui sistem Anda dan instal Squid. Contohnya:

      sudo apt-get update
      sudo apt-get install squid
      

   3. Temukan file konfigurasi Squid. Misalnya, pada /etc/squid/squid.conf atau /etc/squid/conf.d/, dan buka file di editor teks.

   4. Dalam file konfigurasi Squid, cari teks berikut: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS.

   5. Tambahkan acl <sensor-name> src <sensor-ip>, dan http_access allow <sensor-name> ke dalam file. Contohnya:

      # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
      acl sensor1 src 10.100.100.1
      http_access allow sensor1
      

      Tambahkan lebih banyak sensor sesuai kebutuhan dengan menambahkan garis tambahan untuk sensor.

   6. Konfigurasikan layanan Squid untuk memulai saat peluncuran. Jalankan:

      sudo systemctl enable squid
      

3. Sambungkan proksi Anda ke Defender untuk IoT. Pastikan lalu lintas HTTPS keluar pada port 443 diizinkan dari sensor Anda ke titik akhir yang diperlukan untuk Defender untuk IoT.

   Untuk informasi selengkapnya, lihat Memprovisikan sensor OT untuk manajemen cloud.

Proksi Anda sekarang sepenuhnya dikonfigurasi. Lanjutkan dengan menentukan pengaturan proksi pada sensor OT Anda.

Menyiapkan konektivitas untuk lingkungan multicloud

Bagian ini menjelaskan cara menyambungkan sensor Anda ke Defender untuk IoT di Azure dari sensor yang disebarkan di satu atau beberapa cloud publik. Untuk informasi selengkapnya, lihat Koneksi multicloud.

Prasyarat

Sebelum memulai, pastikan Anda memiliki sensor yang disebarkan di cloud publik, seperti AWS atau Google Cloud, dan dikonfigurasi untuk memantau lalu lintas SPAN.

Pilih metode konektivitas multicloud

Gunakan bagan alur berikut untuk menentukan metode konektivitas mana yang akan digunakan:

• Gunakan alamat IP publik melalui internet jika Anda tidak perlu bertukar data menggunakan alamat IP privat

• Gunakan VPN situs-ke-situs melalui internet hanya jika Anda tidak* memerlukan hal-hal berikut:

  • Throughput yang dapat diprediksi
  • SLA
  • Transfer volume data yang tinggi
  • Menghindari koneksi melalui internet publik

• Gunakan ExpressRoute jika Anda memerlukan throughput yang dapat diprediksi, SLA, transfer volume data yang tinggi, atau untuk menghindari koneksi melalui internet publik.

  Dalam hal ini:

  • Jika Anda ingin memiliki dan mengelola perute yang membuat koneksi, gunakan ExpressRoute dengan perutean yang dikelola pelanggan.
  • Jika Anda tidak perlu memiliki dan mengelola router yang membuat koneksi, gunakan ExpressRoute dengan penyedia pertukaran cloud.

Konfigurasi

1. Konfigurasikan sensor Anda untuk tersambung ke cloud menggunakan salah satu metode yang direkomendasikan Kerangka Kerja Adopsi Cloud Azure. Untuk informasi selengkapnya, lihat Konektivitas ke penyedia cloud lain.

2. Untuk mengaktifkan konektivitas privat antara VPC dan Defender untuk IoT Anda, sambungkan VPC Anda ke Azure VNET melalui koneksi VPN. Misalnya jika Anda tersambung dari VPC AWS, lihat blog TechCommunity kami: Cara membuat VPN antara Azure dan AWS dengan hanya menggunakan solusi terkelola.

3. Setelah VPC dan VNET Anda dikonfigurasi, tentukan pengaturan proksi pada sensor OT Anda.

Langkah berikutnya

Kami menyarankan agar Anda mengonfigurasi koneksi Direktori Aktif untuk mengelola pengguna lokal pada sensor OT Anda, dan juga menyiapkan pemantauan kesehatan sensor melalui SNMP.

Jika Anda tidak mengonfigurasi pengaturan ini selama penyebaran, Anda juga dapat mengembalikan dan mengonfigurasinya nanti. Untuk informasi selengkapnya, lihat:

• Menyiapkan pemantauan SNMP MIB pada sensor OT
• Mengonfigurasi koneksi Direktori Aktif

« Mengonfigurasi pengaturan awal dan mengaktifkan sensor jaringan OT Anda

Mengontrol lalu lintas OT yang dipantau oleh Pertahanan Microsoft untuk IoT »