Methoden voor het verbinden van sensoren met Azure
Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.
Gebruik de onderstaande inhoud voor meer informatie over de architecturen en methoden die worden ondersteund voor het verbinden van Defender for IoT-sensoren met Azure Portal in de cloud.
Netwerksensoren maken verbinding met Azure om gegevens over gedetecteerde apparaten, waarschuwingen en sensorstatus te bieden voor toegang tot bedreigingsinformatiepakketten en meer. Verbonden Azure-services zijn bijvoorbeeld IoT Hub, Blob Storage, Event Hubs, Aria, het Microsoft Downloadcentrum.
Alle verbindingsmethoden bieden:
Verbeterde beveiliging, zonder extra beveiligingsconfiguraties. Verbinding maken naar Azure met behulp van specifieke en beveiligde eindpunten, zonder dat er jokertekens nodig zijn.
Versleuteling, Transport Layer Security (TLS1.2/AES-256) biedt versleutelde communicatie tussen de sensor en Azure-resources.
Schaalbaarheid voor nieuwe functies die alleen worden ondersteund in de cloud
Belangrijk
Om ervoor te zorgen dat uw netwerk gereed is, raden we u aan eerst uw verbindingen uit te voeren in een testomgeving of testomgeving, zodat u uw Azure-serviceconfiguraties veilig kunt valideren.
Een sensorverbindingsmethode kiezen
Gebruik deze sectie om te bepalen welke verbindingsmethode geschikt is voor uw Defender for IoT-sensor die is verbonden met de cloud.
| Als... | ... Gebruik vervolgens |
|---|---|
| - U wilt uw sensor rechtstreeks verbinden met Azure | Directe verbindingen |
| - Uw sensor heeft een proxy nodig om te bereiken van het OT-netwerk naar de cloud, of - U wilt dat meerdere sensoren via één punt verbinding maken met Azure |
Proxyverbindingen met proxyketens |
| - U hebt privéconnectiviteit tussen uw sensor en Azure nodig, - Uw site is verbonden met Azure via ExpressRoute of - Uw site is verbonden met Azure via een VPN |
Proxyverbindingen met een Azure-proxy |
| - U hebt sensoren die worden gehost in meerdere openbare clouds | Verbindingen met meerdere clouds |
Notitie
Hoewel de meeste verbindingsmethoden alleen relevant zijn voor OT-sensoren, worden directe verbindingen ook gebruikt voor Enterprise IoT-sensoren.
Directe verbindingen
In de volgende afbeelding ziet u hoe u uw sensoren rechtstreeks via internet kunt verbinden met de Defender for IoT-portal in Azure vanaf externe sites, zonder dat u het bedrijfsnetwerk hoeft te doorlopen.
Met directe verbindingen:
Sensoren die rechtstreeks via internet zijn verbonden met Azure-datacenters of Azure ExpressRoute, hebben een beveiligde en versleutelde verbinding met de Azure-datacenters. Transport Layer Security (TLS1.2/AES-256) biedt always-on-communicatie tussen de sensor en Azure-resources.
De sensor initieert alle verbindingen met Azure Portal. Het initiëren van verbindingen alleen van de sensor beschermt interne netwerkapparaten tegen ongevraagde binnenkomende verbindingen, maar betekent ook dat u geen binnenkomende firewallregels hoeft te configureren.
Zie Sensoren inrichten voor cloudbeheer voor meer informatie.
Proxyverbindingen met proxyketens
In de volgende afbeelding ziet u hoe u uw sensoren kunt verbinden met de Defender for IoT-portal in Azure via meerdere proxy's, met behulp van verschillende niveaus van het Purdue-model en de bedrijfsnetwerkhiërarchie.
Deze methode ondersteunt het verbinden van uw sensoren met directe internettoegang, privé-VPN of ExpressRoute. De sensor brengt een met SSL versleutelde tunnel tot stand om gegevens van de sensor over te dragen naar het service-eindpunt via meerdere proxyservers. De proxyserver voert geen gegevensinspectie, analyse of caching uit.
Het is de verantwoordelijkheid van de klant om proxyservices van derden in te stellen en te onderhouden met proxyketens; Microsoft biedt geen ondersteuning voor hen.
Zie Verbinding maken via proxychaining voor meer informatie.
Proxyverbindingen met een Azure-proxy
In de volgende afbeelding ziet u hoe u uw sensoren kunt verbinden met de Defender for IoT-portal in Azure via een proxy in het Azure VNET. Deze configuratie zorgt voor vertrouwelijkheid voor alle communicatie tussen uw sensor en Azure.
Afhankelijk van uw netwerkconfiguratie hebt u toegang tot het VNET via een VPN-verbinding of een ExpressRoute-verbinding.
Deze methode maakt gebruik van een proxyserver die wordt gehost in Azure. Voor het afhandelen van taakverdeling en failover is de proxy geconfigureerd om automatisch achter een load balancer te schalen.
Zie Verbinding maken via een Azure-proxy voor meer informatie.
Verbindingen met meerdere clouds
U kunt uw sensoren verbinden met de Defender for IoT-portal in Azure vanuit andere openbare clouds voor OT/IoT-beheerprocesbewaking.
Afhankelijk van uw omgevingsconfiguratie kunt u verbinding maken met behulp van een van de volgende methoden:
ExpressRoute met door de klant beheerde routering
ExpressRoute met een cloudexemplementatieprovider
Een site-naar-site-VPN via internet.
Zie Verbinding maken via leveranciers met meerdere clouds voor meer informatie.