Cloudverbindingsmethoden voor OT-sensor

In dit artikel worden de architecturen en methoden beschreven die worden ondersteund voor het verbinden van uw Microsoft Defender voor IoT OT-sensoren met de Azure Portal in de cloud. OT-netwerksensoren maken verbinding met Azure om gegevens te bieden over gedetecteerde apparaten, waarschuwingen en sensorstatus, voor toegang tot bedreigingsinformatiepakketten en meer. Verbonden Azure-services zijn bijvoorbeeld IoT Hub, Blob Storage, Event Hubs, Aria en het Microsoft Downloadcentrum.

De cloudverbindingsmethoden die in dit artikel worden beschreven, worden alleen ondersteund voor OT-sensorversie 22.x en hoger. Alle methoden bieden:

  • Verbeterde beveiliging, zonder aanvullende beveiligingsconfiguraties. Maak verbinding met Azure met behulp van specifieke en veilige eindpunten, zonder dat u jokertekens nodig hebt.

  • Versleuteling, Transport Layer Security (TLS1.2/AES-256) biedt versleutelde communicatie tussen de sensor en Azure-resources.

  • Schaalbaarheid voor nieuwe functies die alleen in de cloud worden ondersteund

Zie Een sensorverbindingsmethode kiezen en Eindpuntdetails downloaden voor meer informatie.

Belangrijk

Om ervoor te zorgen dat uw netwerk gereed is, raden we u aan uw verbindingen eerst uit te voeren in een lab- of testomgeving, zodat u uw Azure-serviceconfiguraties veilig kunt valideren.

Proxyverbindingen met een Azure-proxy

In de volgende afbeelding ziet u hoe u uw sensoren kunt verbinden met de Defender for IoT-portal in Azure via een proxy in het Azure VNET. Deze configuratie zorgt voor vertrouwelijkheid voor alle communicatie tussen uw sensor en Azure.

Diagram van een proxyverbinding met behulp van een Azure-proxy.

Afhankelijk van uw netwerkconfiguratie hebt u toegang tot het VNET via een VPN-verbinding of een ExpressRoute-verbinding.

Deze methode maakt gebruik van een proxyserver die wordt gehost in Azure. Voor het afhandelen van taakverdeling en failover is de proxy geconfigureerd om automatisch achter een load balancer te schalen.

Zie Verbinding maken via een Azure-proxy voor meer informatie.

Proxyverbindingen met proxykoppeling

In de volgende afbeelding ziet u hoe u uw sensoren kunt verbinden met de Defender for IoT-portal in Azure via meerdere proxy's, met behulp van verschillende niveaus van het Purdue-model en de bedrijfsnetwerkhiƫrarchie.

Diagram van een proxyverbinding met behulp van proxykoppeling.

Deze methode ondersteunt het verbinden van uw sensoren zonder directe internettoegang, met behulp van een met SSL versleutelde tunnel om gegevens van de sensor naar het service-eindpunt over te dragen via proxyservers. De proxyserver voert geen gegevensinspectie, -analyse of -caching uit.

Met een methode voor proxykoppeling biedt Defender for IoT geen ondersteuning voor uw proxyservice. Het is de verantwoordelijkheid van de klant om de proxyservice in te stellen en te onderhouden.

Zie Verbinding maken via proxykoppeling voor meer informatie.

Directe verbindingen

In de volgende afbeelding ziet u hoe u uw sensoren rechtstreeks via internet kunt verbinden met de Defender for IoT-portal in Azure vanaf externe sites, zonder het bedrijfsnetwerk te overschakelen.

Diagram van een directe verbinding met Azure.

Met directe verbindingen

  • Sensoren die rechtstreeks via internet zijn verbonden met Azure-datacenters, hebben een beveiligde en versleutelde verbinding met de Azure-datacenters. Transport Layer Security (TLS1.2/AES-256) biedt permanente communicatie tussen de sensor en Azure-resources .

  • De sensor initieert alle verbindingen met de Azure Portal. Het initiĆ«ren van verbindingen alleen vanaf de sensor beschermt interne netwerkapparaten tegen ongevraagde binnenkomende verbindingen, maar betekent ook dat u geen binnenkomende firewallregels hoeft te configureren.

Zie Rechtstreeks verbinding maken voor meer informatie.

Verbindingen met meerdere clouds

U kunt uw sensoren verbinden met de Defender for IoT-portal in Azure vanuit andere openbare clouds voor ot-/IoT-beheerprocessenbewaking.

Afhankelijk van uw omgevingsconfiguratie kunt u verbinding maken met behulp van een van de volgende methoden:

  • ExpressRoute met door de klant beheerde routering

  • ExpressRoute met een clouduitwisselingsprovider

  • Een site-naar-site-VPN via internet.

Zie Verbinding maken via leveranciers van meerdere clouds voor meer informatie.

Werken met een combinatie van sensorsoftwareversies

Als u een klant bent met een bestaande productie-implementatie, raden we u aan om oudere sensorversies te upgraden naar versie 22.1.x.

Hoewel u uw verbindingen moet migreren voordat de verouderde versie het einde van de ondersteuning bereikt, kunt u momenteel een hybride netwerk van sensoren implementeren, waaronder verouderde softwareversies met hun IoT Hub verbindingen en sensoren met de verbindingsmethoden die in dit artikel worden beschreven.

Na de migratie kunt u alle relevante IoT Hubs verwijderen uit uw abonnement, omdat deze niet meer nodig zijn voor uw sensorverbindingen.

Zie Update OT-systeemsoftware en Migratie voor bestaande klanten voor meer informatie.

Volgende stappen

Zie Uw sensoren verbinden met Microsoft Defender voor IoT voor meer informatie.