センサーを Azure に接続する方法

  • [アーティクル]

この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。

以下のコンテンツを使用して、Defender for IoT センサーをクラウドの Azure portal に接続するためにサポートされるアーキテクチャと方法について確認してください。

「計画と準備」が強調表示された進行状況バーの図。

ネットワーク センサーは Azure に接続して、検出されたデバイス、アラート、センサーの正常性に関するデータを提供し、脅威インテリジェンス パッケージにアクセスするなどします。 たとえば、接続されている Azure サービスには、IoT Hub、Blob Storage、Event Hubs、Aria、Microsoft ダウンロード センターが含まれます。

すべての接続方法で以下が提供されます。

  • セキュリティの強化、追加のセキュリティ構成は必要ありません。 特定の安全なエンドポイントを使用した Azure への接続、ワイルドカードは必要ありません。

  • 暗号化、トランスポート層セキュリティ (TLS1.2/AES-256) には、センサーと Azure リソース間の暗号化された接続が用意されています。

  • クラウドでのみサポートされる新機能のスケーラビリティ

重要

ネットワークの準備ができていることを確認するために、最初にラボまたはテスト環境で接続を実行して、Azure サービス構成を安全に検証できるようにすることをお勧めします。

センサーの接続方法を選択する

このセクションを使用して、クラウドに接続したお使いの Defender for IoT センサーに適した接続方法を判別します。

次の場合 ... 以下を使用
- センサーを直接 Azure に接続したい 直接接続
- OT ネットワークからクラウドに到達するためには、センサーにプロキシが必要
- 単一ポイントを介して複数のセンサーを Azure に接続したい		 プロキシ チェーンを使用したプロキシ接続
- センサーと Azure との間にプライベート接続が必要である
- サイトが ExpressRoute 経由で Azure に接続されている
- サイトが VPN 経由で Azure に接続されている		 Azure プロキシを使用したプロキシ接続
- 複数のパブリック クラウドにセンサーがホストされている マルチクラウド接続

注意

ほとんどの接続方法は OT センサーにのみ関連しますが、直接接続Enterprise IoT センサーにも使用されます。

直接接続

次の画像は、エンタープライズ ネットワークを経由せずに、リモート サイトから直接、インターネット経由で Azure の Defender for IoT ポータルにセンサーを接続する方法を示しています。

Azure との直接接続の図。

直接接続の場合:

  • インターネットまたは Azure ExpressRoute 経由で直接 Azure データ センターに接続されているすべてのセンサーには、Azure データセンターへの、セキュリティで保護され、暗号化された接続があります。 トランスポート層セキュリティ (TLS1.2/AES-256) には、センサーと Azure リソース間の常時接続が用意されています。

  • センサーによって、Azure portal へのすべての接続が開始されます。 センサーからの接続のみを開始すると、内部ネットワークデバイスが未承諾の着信接続から保護されますが、着信ファイアウォール規則を構成する必要がなくなります。

詳細については、「クラウド管理用のセンサーをプロビジョニングする」を参照してください。

プロキシ チェーンを使用したプロキシ接続

次の図は、さまざまなレベルの Purdue モデルとエンタープライズ ネットワーク階層を使用して、複数のプロキシを介してセンサーを Azure の Defender for IoT ポータルに接続する方法を示しています。

プロキシ チェーンを使用したプロキシ接続の図。

この方法では、直接のインターネット アクセス、プライベート VPN、または ExpressRoute のいずれかでセンサーを接続することができ、センサーは SSL 暗号化トンネルを確立し、複数のプロキシ サーバーを介してセンサーからサービス エンドポイントにデータを転送します。 プロキシ サーバーでは、データの検査、分析、またはキャッシュは実行されません。

プロキシ チェーンを使用したサードパーティのプロキシ サービスを設定と維持は、お客様の責任で行う必要があります。Microsoft はそれらに対するサポートを提供しません。

詳細については、「プロキシ チェーン経由で接続する」を参照してください。

Azure プロキシを使用したプロキシ接続

次の図は、Azure VNET 内のプロキシを使用してセンサーを Azure の Defender for IoT ポータルに接続する方法を示しています。 この構成では、センサーと Azure 間のすべての通信に対して機密性が確保されます。

Azure プロキシを使用したプロキシ接続の図。

ネットワーク構成によっては、VPN 接続または ExpressRoute 接続を介して VNET にアクセスできます。

この方法では、Azure 内でホストされているプロキシ サーバーを使用します。 負荷分散とフェールオーバーを処理するために、プロキシはロードバランサーの背後で自動的にスケールされるように構成されています。

詳細については、「Azure プロキシ経由で接続する」を参照してください。

マルチクラウド接続

他のパブリック クラウドから Azure の Defender for IoT ポータルにセンサーを接続して、OT/IoT 管理プロセス監視を行うことができます。

環境の構成によっては、次のいずれかの方法を使用して接続できます。

  • 顧客が管理するルーティングを使用した ExpressRoute

  • クラウド交換プロバイダーを使用した ExpressRoute

  • インターネット上のサイト間 VPN。

詳細については、「マルチクラウド ベンダーによる接続」を参照してください。

次のステップ

« OT 監視システムを計画する