Azure에 센서를 연결하는 방법
이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링의 배포 경로를 설명하는 일련의 문서 중 하나입니다.
아래 내용을 통해 Defender for IoT 센서를 클라우드의 Azure Portal에 연결하는 데 지원되는 아키텍처 및 방법에 대해 알아보세요.
네트워크 센서는 Azure에 연결하여 검색된 디바이스, 경고, 센서 상태에 대한 데이터를 제공하고 위협 인텔리전스 패키지 등에 액세스합니다. 예를 들어 연결된 Azure 서비스에는 IoT Hub, Blob Storage, Event Hubs, Aria, Microsoft 다운로드 센터가 포함됩니다.
모든 연결 방법은 다음을 제공합니다.
추가 보안 구성 없이 보안을 향상합니다. 와일드카드 없이 특정 엔드포인트와 보안 엔드포인트를 사용하여 Azure에 연결합니다.
암호화, 전송 계층 보안(TLS1.2/AES-256)은 센서와 Azure 리소스 간에 암호화된 통신을 제공합니다.
확장성에서는 클라우드에서만 지원되는 새로운 기능을 제공합니다.
Important
네트워크가 준비되었는지 확인하려면 Azure 서비스 구성의 유효성을 안전하게 검사할 수 있도록 먼저 실험실 또는 테스트 환경에서 연결을 실행하는 것이 좋습니다.
센서 연결 방법 선택
이 섹션을 통해 사용자의 클라우드 연결 Defender for IoT 센서에 적합한 연결 방법을 결정하세요.
경우... | ... 그 후 다음을 사용합니다. |
---|---|
- 센서를 Azure에 직접 연결하려고 합니다. | 직접 연결 |
- 센서는 OT 네트워크에서 클라우드에 도달하기 위해 프록시가 필요합니다. 또는 - 여러 센서가 단일 지점을 통해 Azure에 연결하려고 합니다. |
프록시 체인을 사용하는 프록시 연결 |
- 센서와 Azure 간의 프라이빗 연결이 필요합니다. - 사이트가 ExpressRoute를 통해 Azure에 연결되어 있거나 - 사용자의 사이트는 VPN을 통해 Azure에 연결됩니다. |
Azure 프록시와 프록시 연결 |
- 여러 퍼블릭 클라우드에서 호스팅되는 센서가 있습니다. | 다중 클라우드 연결 |
참고 항목
대부분의 연결 방법은 OT 센서에만 해당되지만, 직접 연결은 엔터프라이즈 IoT 센서에도 사용됩니다.
직접 연결
다음 이미지는 엔터프라이즈 네트워크를 트래버스하지 않고 원격 사이트에서 인터넷을 통해 직접 Azure의 Defender for IoT 포털에 센서를 연결하는 방법을 보여줍니다.
직접 연결 사용:
인터넷이나 Azure ExpressRoute를 통해 직접 Azure 데이터 센터에 연결된 모든 센서는 Azure 데이터 센터에 보안 및 암호화된 방식으로 연결됩니다. 전송 계층 보안(TLS1.2/AES-256)은 센서 및 Azure 리소스 간의 상시 통신을 제공합니다.
센서가 Azure Portal에 대해 모든 연결을 시작합니다. 센서에서만 연결을 시작하면 내부 네트워크 디바이스가 요청되지 않은 인바운드 연결로부터 보호되지만 인바운드 방화벽 규칙을 구성할 필요도 없습니다.
자세한 내용은 클라우드 관리를 위한 센서 프로비전을 참조하세요.
프록시 체인을 사용하는 프록시 연결
다음 이미지는 여러 프록시를 통해 Azure에서 IoT용 Defender 포털에 센서를 연결하고, 여러 수준의 Purdue 모델 및 엔터프라이즈 네트워크 계층을 사용하는 방법을 보여줍니다.
이 메서드는 센서를 직접 인터넷 액세스, 개인 VPN 또는 ExpressRoute와 연결할 수 있도록 지원하며, 센서는 여러 프록시 서버를 통해 센서에서 서비스 엔드포인트로 데이터를 전송하는 SSL 암호화 터널을 설정합니다. 프록시 서버에서는 데이터 검사, 분석 또는 캐싱이 수행되지 않습니다.
프록시 체인을 사용하여 타사 프록시 서비스를 설정하고 유지 관리하는 것은 고객의 책임입니다. Microsoft는 지원을 제공하지 않습니다.
자세한 내용은 프록시 체인 설정을 통해 연결을 참조하세요.
Azure 프록시와 프록시 연결
다음 이미지는 Azure VNET의 프록시를 통해 Azure에서 IoT용 Defender 포털에 센서를 연결하는 방법을 보여줍니다. 이 구성은 센서와 Azure 사이의 모든 통신의 기밀성을 보장합니다.
네트워크 구성에 따라 VPN 연결 또는 ExpressRoute 연결을 통해 VNET에 액세스할 수 있습니다.
이 방법에는 Azure 내에서 호스팅되는 프록시 서버가 사용됩니다. 부하 분산 및 장애 조치(failover)를 처리하기 위해 부하 분산 장치 뒤에서 자동으로 확장되도록 프록시가 구성됩니다.
자세한 내용은 Azure 프록시를 통해 연결을 참조하세요.
다중 클라우드 연결
OT/IoT 관리 프로세스 모니터링을 위해 다른 공개 클라우드에서 Azure의 IoT용 Defender 포털에 센서를 연결할 수 있습니다.
환경 구성에 따라 다음 방법 중 하나를 사용하여 연결할 수 있습니다.
고객 관리 라우팅을 사용하는 ExpressRoute
클라우드 교환 공급자를 사용하는 ExpressRoute
인터넷을 통한 사이트 간 VPN
자세한 내용은 다중 클라우드 공급업체를 통한 연결을 참조하세요.