Методы подключения к облаку датчика OT

В этой статье описываются архитектуры и методы, поддерживаемые для подключения Microsoft Defender для датчиков IoT OT к портал Azure в облаке. Сетевые датчики OT подключаются к Azure для предоставления данных об обнаруженных устройствах, оповещениях и работоспособности датчиков, доступа к пакетам аналитики угроз и т. д. Например, подключенные службы Azure включают Центр Интернета вещей, хранилище BLOB-объектов, Центры событий, Aria, Центр загрузки Майкрософт.

Методы подключения к облаку, описанные в этой статье, поддерживаются только для датчика OT версии 22.x и более поздних версий. Все методы предоставляют следующие возможности:

  • Улучшенная безопасность без дополнительных конфигураций безопасности. Подключитесь к Azure с помощью определенных и безопасных конечных точек без каких-либо подстановочных знаков.

  • Шифрование, безопасность на транспортном уровне (TLS1.2/AES-256) обеспечивает зашифрованную связь между датчиком и ресурсами Azure.

  • Масштабируемость новых функций, поддерживаемых только в облаке.

Дополнительные сведения см. в разделах Выбор метода подключения датчика и Скачивание сведений о конечной точке.

Важно!

Чтобы убедиться, что сеть готова, рекомендуется сначала запустить подключения в лабораторной или тестовой среде, чтобы вы могли безопасно проверить конфигурации службы Azure.

Прокси-подключения с помощью прокси-сервера Azure

На следующем рисунке показано, как подключить датчики к порталу Defender для Интернета вещей в Azure через прокси-сервер в виртуальной сети Azure. Эта конфигурация обеспечивает конфиденциальность всех взаимодействий между датчиком и Azure.

Схема прокси-подключения с использованием прокси-сервера Azure.

В зависимости от конфигурации сети вы можете получить доступ к виртуальной сети через VPN-подключение или подключение ExpressRoute.

В этом методе используется прокси-сервер, размещенный в Azure. Для обеспечения балансировки нагрузки и отработки отказа прокси-сервер настроен для автоматического масштабирования за подсистемой балансировки нагрузки.

Дополнительные сведения см. в статье Подключение через прокси-сервер Azure.

Прокси-подключения с цепочкой прокси-серверов

На следующем рисунке показано, как можно подключить датчики к порталу Defender для Интернета вещей в Azure с помощью нескольких прокси-серверов, используя разные уровни модели по Пердью и иерархию корпоративной сети.

Схема прокси-подключения с использованием цепочки прокси.

Этот метод поддерживает подключение датчиков без прямого доступа к Интернету с использованием туннеля с SSL-шифрованием для передачи данных с датчика на конечную точку службы через прокси-серверы. Прокси-сервер не выполняет проверку, анализ или кэширование данных.

При использовании метода цепочки прокси-серверов Defender для Интернета вещей не поддерживает вашу прокси-службу. Обязанности по настройке и обслуживанию прокси-службы возлагаются на клиента.

Дополнительные сведения см. в статье Подключение через цепочку прокси.

Прямые подключения

На следующем рисунке показано, как можно подключить датчики к порталу Defender для Интернета вещей в Azure напрямую через Интернет с удаленных сайтов, не пересекая корпоративную сеть.

Схема прямого подключения к Azure.

При прямых подключениях происходит следующее.

  • Все датчики, подключенные к центрам обработки данных Azure напрямую через Интернет, получают безопасное и зашифрованное подключение к центрам обработки данных Azure. Безопасность транспортного уровня (TLS1.2/AES-256) обеспечивает постоянную связь между датчиком и ресурсами Azure.

  • Датчик инициирует все подключения к порталу Azure. Инициализация подключений исключительно с датчика защищает внутренние сетевые устройства от незапрошенных входящих подключений, а также устраняет потребность в настройке правил брандмауэра для входящего трафика.

Дополнительные сведения см. в разделе Подключение напрямую.

Многооблачные подключения

Вы можете подключить датчики к порталу Defender для Интернета вещей в Azure из других общедоступных облаков для мониторинга процессов управления OT и Интернета вещей.

В зависимости от конфигурации среды вы можете подключиться одним из следующих способов:

  • ExpressRoute с маршрутизацией, управляемой клиентом

  • ExpressRoute с поставщиком услуг по обмене данными с облаком

  • VPN типа "сеть — сеть" через Интернет

Дополнительные сведения см. в разделе Подключение с помощью поставщиков мультиоблачных служб.

Работа с сочетанием из разных версий программного обеспечения датчиков

Если вы клиент с имеющимся рабочим развертыванием, рекомендуется обновить все устаревшие версии датчиков до версии 22.1.x.

Хотя вам потребуется перенести подключения до окончания поддержки устаревшей версии, в настоящее время можно развернуть гибридную сеть датчиков с устаревшими версиями программного обеспечения с их подключениями к Центру Интернета вещей, а также датчики, для которых используются методы подключения, описанные в этой статье.

После миграции вы можете удалить все соответствующие Центры Интернета вещей из своей подписки, так как они больше не требуются для подключений датчиков.

Дополнительные сведения см. в разделах Обновление системного программного обеспечения ОТ и Миграция для существующих клиентов.

Следующие шаги

Дополнительные сведения см. в статье Подключение датчиков к Microsoft Defender для Интернета вещей.