將感測器連線到 Azure 的方法
本文是一系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑。
使用下列內容來瞭解將適用於IoT的Defender感測器連線到雲端中 Azure 入口網站支援的架構和方法。
![進度列的圖表,其中已醒目提示 [計劃和準備]。](media/deployment-paths/progress-plan-and-prepare.png#lightbox)
網路感測器會連線到 Azure,以提供偵測到裝置、警示和感測器健康情況的數據,以存取威脅情報套件等等。 例如,已連線的 Azure 服務包括 IoT 中樞、Blob 儲存體、事件中樞、Aria、Microsoft 下載中心。
所有連接方法都提供:
已改善安全性,而不需要其他安全性設定。 使用特定且安全的端點 連線 至 Azure,而不需要任何通配符。
加密、傳輸層安全性 (TLS1.2/AES-256) 提供感測器與 Azure 資源之間的加密通訊。
僅限雲端支援的新功能延展性
重要
為了確保您的網路已準備就緒,建議您先在實驗室或測試環境中執行連線,以便安全地驗證 Azure 服務組態。
選擇感測器連線方法
使用本節來協助判斷哪一個連線方法適合您適用於IoT的雲端連線Defender感測器。
| 如果。。。 | ...然後使用 |
|---|---|
| - 您想要將感測器直接連線至 Azure | 直接連線 |
| - 您的感測器需要 Proxy 才能從 OT 網路連線到雲端,或 - 您希望多個感測器透過單一點連線到 Azure |
使用 Proxy 鏈結的 Proxy 連線 |
| - 您需要感測器與 Azure 之間的私人連線能力, - 您的網站透過 ExpressRoute 連線到 Azure,或 - 您的網站透過 VPN 連線到 Azure |
使用 Azure Proxy 的 Proxy 連線 |
| - 您有裝載於多個公用雲端的感測器 | 多重雲端連線 |
注意
雖然大部分的連線方法僅適用於 OT 感測器, 但直接連線 也會用於 企業 IoT 感測器。
直接連線
下圖顯示如何直接從遠端網站透過因特網,將感測器連線到 Azure 中的適用於 IoT 的 Defender 入口網站,而不需要周遊企業網路。
使用直接連線:
任何透過因特網或 Azure ExpressRoute 直接連線到 Azure 資料中心的感測器,都會有安全且加密的 Azure 數據中心連線。 傳輸層安全性 (TLS1.2/AES-256) 提供 感測器與 Azure 資源之間的永遠開啟 通訊。
感測器會起始與 Azure 入口網站 的所有連線。 僅從感測器起始連線可保護內部網路裝置免於未經請求的輸入連線,但也表示您不需要設定任何輸入防火牆規則。
如需詳細資訊,請參閱為雲端管理佈建感應器。
使用 Proxy 鏈結的 Proxy 連線
下圖顯示如何使用不同層級的 Purdue 模型和企業網路階層,透過多個 Proxy,將感測器連線到 Azure 中的適用於 IoT 的 Defender 入口網站。
此方法支援使用直接因特網存取、私人 VPN 或 ExpressRoute 連接感測器,感測器會建立 SSL 加密通道,以透過多個 Proxy 伺服器將數據從感測器傳輸到服務端點。 Proxy 伺服器不會執行任何數據檢查、分析或快取。
客戶有責任使用 Proxy 鏈結來設定和維護第三方 Proxy 服務;Microsoft 不提供其支援。
如需詳細資訊,請參閱透過 Proxy 鏈結 連線。
使用 Azure Proxy 的 Proxy 連線
下圖顯示如何透過 Azure VNET 中的 Proxy,將感測器連線到 Azure 中的適用於 IoT 的 Defender 入口網站。 此設定可確保感測器與 Azure 之間所有通訊的機密性。
視您的網路設定而定,您可以透過 VPN 連線或 ExpressRoute 連線來存取 VNET。
此方法會使用裝載在 Azure 內的 Proxy 伺服器。 為了處理負載平衡和故障轉移,Proxy 會設定為自動在負載平衡器後方進行調整。
如需詳細資訊,請參閱透過 Azure Proxy 連線。
多重雲端連線
您可以從其他公用雲端將感測器連線到 Azure 中的適用於 IoT 的 Defender 入口網站,以進行 OT/IoT 管理程序監視。
視您的環境設定而定,您可以使用下列其中一種方法進行連線:
具有客戶管理的路由的 ExpressRoute
搭配雲端交換提供者的 ExpressRoute
透過因特網的站對站 VPN。
如需詳細資訊,請參閱透過多雲端廠商 連線。