Megosztás a következőn keresztül:

Proxybeállítások konfigurálása egy OT-érzékelőn

  • Cikk

Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti, és ismerteti, hogyan konfigurálhatja az OT-érzékelő proxybeállításait az Azure-hoz való csatlakozáshoz.

Folyamatjelző diagramja kiemelt érzékelők üzembe helyezésével.

Ezt a lépést a következő esetekben hagyhatja ki:

Előfeltételek

A cikkben leírt lépések végrehajtásához a következőkre lesz szüksége:

Ezt a lépést az üzembe helyezési és kapcsolati csapatok hajtják végre.

Proxybeállítások konfigurálása az OT-érzékelőn

Ez a szakasz azt ismerteti, hogyan konfigurálhatja a meglévő proxy beállításait az OT-érzékelő konzolján. Ha még nem rendelkezik proxyval, konfiguráljon egyet az alábbi eljárásokkal:

Proxybeállítások definiálása az OT-érzékelőn:

  1. Jelentkezzen be az OT-érzékelőbe, és válassza a Rendszerbeállítások > érzékelő hálózati beállításai lehetőséget.

  2. Váltson a Proxy engedélyezése beállításra, majd adja meg a proxykiszolgáló következő adatait:

    • Proxy gazdagép
    • Proxyport
    • Proxy felhasználónév (nem kötelező)
    • Proxyjelszó (nem kötelező)

    Példa:

    Képernyőkép a proxybeállítási oldalról.

  3. Ha szükséges, válassza az ügyféltanúsítványt egy proxyhitelesítési tanúsítvány feltöltéséhez az SSL/TLS proxykiszolgálóhoz való hozzáféréshez.

    Feljegyzés

    Az SSL/TLS-forgalmat vizsgáló proxykiszolgálókhoz ügyfél SSL/TLS-tanúsítvány szükséges, például olyan szolgáltatások használatakor, mint a Zscaler és a Palo Alto Prisma.

  4. Válassza a Mentés lehetőséget.

Azure-proxy beállítása

Azure-proxy használatával csatlakoztathatja az érzékelőt a Defender for IoT-hez az alábbi helyzetekben:

  • Privát kapcsolatot igényel az érzékelő és az Azure között
  • A webhely az ExpressRoute-on keresztül csatlakozik az Azure-hoz
  • A webhely VPN-en keresztül csatlakozik az Azure-hoz

Ha már konfigurált proxyt, folytassa a proxybeállítások meghatározásával az érzékelőkonzolon.

Ha még nincs konfigurálva proxy, az ebben a szakaszban ismertetett eljárásokkal állíthat be egyet az Azure VNET-ben.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy a következőt szeretné:

  • Log Analytics-munkaterület naplók figyeléséhez

  • Távoli helykapcsolat az Azure VNET-hez

  • A 443-as porton kimenő HTTPS-forgalom engedélyezett az érzékelőről az IoT-hez készült Defender szükséges végpontjai felé. További információ: OT-érzékelők kiépítése felhőfelügyelethez.

  • Proxykiszolgáló-erőforrás, amely tűzfalengedélyekkel rendelkezik a Microsoft felhőszolgáltatásaihoz való hozzáféréshez. A cikkben ismertetett eljárás egy Azure-ban üzemeltetett Squid-kiszolgálót használ.

Fontos

A Microsoft Defender for IoT nem nyújt támogatást a Squidhez vagy más proxyszolgáltatásokhoz. A proxyszolgáltatás beállítása és fenntartása az ügyfél feladata.

Érzékelőproxy-beállítások konfigurálása

Ez a szakasz bemutatja, hogyan konfigurálhat proxyt az Azure-beli virtuális hálózaton egy OT-érzékelővel való használatra, és az alábbi lépéseket tartalmazza:

  1. Tárfiók definiálása NSG-naplókhoz
  2. Virtuális hálózatok és alhálózatok definiálása
  3. Virtuális vagy helyi hálózati átjáró definiálása
  4. Hálózati biztonsági csoportok definiálása
  5. Azure-beli virtuálisgép-méretezési csoport definiálása
  6. Azure-terheléselosztó létrehozása
  7. NAT-átjáró konfigurálása

1. lépés: Tárfiók meghatározása NSG-naplókhoz

Az Azure Portalon hozzon létre egy új tárfiókot a következő beállításokkal:

Terület Beállítások
Alapvető beállítások Teljesítmény: Standard
Fiók típusa: Blob Storage
Replikáció: LRS
Hálózat Kapcsolati módszer: Nyilvános végpont (kijelölt hálózat)
Virtuális hálózatokban: Nincs
Útválasztási beállítás: Microsoft hálózati útválasztás
Adatvédelem Az összes beállítás törlése
Speciális Az összes alapértelmezett érték megtartva

2. lépés: Virtuális hálózatok és alhálózatok definiálása

Hozza létre a következő virtuális hálózatot és a benne foglalt alhálózatokat:

Név Javasolt méret
MD4IoT-VNET /26 vagy /25 Bastionnal
Alhálózatok:
- GatewaySubnet /27
- ProxyserverSubnet /27
- AzureBastionSubnet (nem kötelező) /26

3. lépés: Virtuális vagy helyi hálózati átjáró definiálása

Hozzon létre VPN- vagy ExpressRoute-átjárót virtuális átjárókhoz, vagy hozzon létre egy helyi átjárót attól függően, hogy hogyan csatlakoztatja a helyszíni hálózatot az Azure-hoz.

Csatolja az átjárót a GatewaySubnet korábban létrehozott alhálózathoz.

További információk:

4. lépés: Hálózati biztonsági csoportok meghatározása

  1. Hozzon létre egy NSG-t, és határozza meg a következő bejövő szabályokat:

    • Hozzon létre egy szabályt 100 , amely engedélyezi az érzékelőktől (a forrásoktól) a terheléselosztó privát IP-címére (a célhelyre) érkező forgalmat. tcp3128Port használata.

    • Hozza létre a szabályt 4095 a 65001 rendszerszabály duplikátumaként. Ennek az az oka, hogy a szabály 65001 felülírja a szabályt 4096.

    • Hozzon létre egy szabályt 4096 , amely megtagadja a mikroszegmentálás összes forgalmát.

    • Opcionális. Ha a Bastiont használja, hozzon létre egy szabályt 4094 , amely engedélyezi a Bastion SSH-t a kiszolgálóknak. Forrásként használja a Bastion alhálózatot.

  2. Rendelje hozzá az NSG-t a ProxyserverSubnet korábban létrehozotthoz.

  3. Adja meg az NSG-naplózást:

    1. Válassza ki az új NSG-t, majd válassza a Diagnosztikai beállítás diagnosztikai beállítás > hozzáadása lehetőséget.

    2. Írja be a diagnosztikai beállítás nevét. A Kategória csoportban válassza ki az összes naplót.

    3. Válassza az Elküldött log Analytics-munkaterületet, majd válassza ki a használni kívánt Log Analytics-munkaterületet.

    4. Válassza ki az NSG-folyamatnaplók küldését, majd adja meg a következő értékeket:

      Az Alapismeretek lapon:

      • Adjon meg egy értelmes nevet
      • Válassza ki a korábban létrehozott tárfiókot
      • A szükséges megőrzési napok meghatározása

      A Konfiguráció lapon:

      • A 2. verzió kiválasztása
      • Válassza a Traffic Analytics engedélyezése lehetőséget
      • Válassza ki a naplóelemzési munkaterületét

5. lépés: Azure-beli virtuálisgép-méretezési csoport definiálása

Definiáljon egy Azure-beli virtuálisgép-méretezési csoportot a terheléselosztásos virtuális gépek egy csoportjának létrehozásához és kezeléséhez, ahol szükség szerint automatikusan növelheti vagy csökkentheti a virtuális gépek számát.

További információ: Mik azok a virtuálisgép-méretezési csoportok?

Az érzékelőkapcsolattal használható méretezési csoport létrehozása:

  1. Hozzon létre egy méretezési csoportot a következő paraméterdefiníciókkal:

    • Vezénylési mód: egységes
    • Biztonsági típus: standard
    • Kép: Ubuntu server 18.04 LTS – Gen1
    • Méret: Standard_DS1_V2
    • Hitelesítés: A vállalati szabvány alapján

    Tartsa meg a Lemezek beállításainak alapértelmezett értékét.

  2. Hozzon létre egy hálózati adaptert a Proxyserver korábban létrehozott alhálózatban, de még ne definiáljon terheléselosztót.

  3. A méretezési beállításokat az alábbiak szerint határozhatja meg:

    • A kezdeti példányok számának meghatározása 1-ként
    • A skálázási szabályzat meghatározása manuálisként

  4. Adja meg a következő felügyeleti beállításokat:

    • A frissítési módhoz válassza az Automatikus – a példány elkezdi a frissítést
    • Rendszerindítási diagnosztika letiltása
    • Az Identitás és a Microsoft Entra-azonosító beállításainak törlése
    • Válassza a Túlbontás lehetőséget
    • Az engedélyezett automatikus operációsrendszer-frissítések kiválasztása

  5. Adja meg a következő állapotbeállításokat:

    • Válassza az Alkalmazásállapot-figyelés engedélyezése lehetőséget
    • Válassza ki a TCP protokollt és a 3128-at

  6. A speciális beállítások között adja meg a szórási algoritmust max. szórásként.

  7. Az egyéni adatszkript esetében tegye a következőket:

    1. Hozza létre a következő konfigurációs szkriptet a használt porttól és szolgáltatásoktól függően:

      # Recommended minimum configuration:
# Squid listening port
http_port 3128
# Do not allow caching
cache deny all
# allowlist sites allowed
acl allowed_http_sites dstdomain .azure-devices.net
acl allowed_http_sites dstdomain .blob.core.windows.net
acl allowed_http_sites dstdomain .servicebus.windows.net
acl allowed_http_sites dstdomain .download.microsoft.com
http_access allow allowed_http_sites
# allowlisting
acl SSL_ports port 443
acl CONNECT method CONNECT
# Deny CONNECT to other unsecure ports
http_access deny CONNECT !SSL_ports
# default network rules
http_access allow localhost
http_access deny all

    2. Kódolja a szkriptfájl tartalmát a base-64-ben.

    3. Másolja ki a kódolt fájl tartalmát, majd hozza létre a következő konfigurációs szkriptet:

      #cloud-config
# updates packages
apt_upgrade: true
# Install squid packages
packages:
 - squid
run cmd:
 - systemctl stop squid
 - mv /etc/squid/squid.conf /etc/squid/squid.conf.factory
write_files:
- encoding: b64
  content: <replace with base64 encoded text>
  path: /etc/squid/squid.conf
  permissions: '0644'
run cmd:
 - systemctl start squid
 - apt-get -y upgrade; [ -e /var/run/reboot-required ] && reboot

6. lépés: Azure-terheléselosztó létrehozása

Az Azure Load Balancer egy 4. rétegbeli terheléselosztó, amely kivonatalapú terjesztési algoritmus használatával osztja el a bejövő forgalmat az kifogástalan állapotú virtuálisgép-példányok között.

További információkért tekintse meg az Azure Load Balancer dokumentációját.

Azure-terheléselosztó létrehozása az érzékelőkapcsolathoz:

  1. Hozzon létre egy terheléselosztót standard termékváltozattal és belső típussal, hogy a terheléselosztó az internethez legyen zárva.

  2. Definiáljon egy dinamikus előtérbeli IP-címet a proxysrv korábban létrehozott alhálózatban, és állítsa a rendelkezésre állást zónaredundánsra.

  3. Háttérrendszer esetén válassza ki a korábban létrehozott virtuálisgép-méretezési csoportot.

  4. Az érzékelőben definiált porton hozzon létre egy TCP terheléselosztási szabályt, amely összeköti az előtérbeli IP-címet a háttérkészlettel. Az alapértelmezett port a 3128.

  5. Hozzon létre egy új állapotmintát, és definiáljon egy TCP-állapotmintát a 3128-as porton.

  6. A terheléselosztó naplózásának meghatározása:

    1. Az Azure Portalon nyissa meg a létrehozott terheléselosztót.

    2. Válassza a Diagnosztikai beállítás>Diagnosztikai beállítás hozzáadása lehetőséget.

    3. Adjon meg egy értelmes nevet, és definiálja a kategóriát allMetrics néven.

    4. Válassza az Elküldött log Analytics-munkaterületet, majd válassza ki a Log Analytics-munkaterületet.

7. lépés: NAT-átjáró konfigurálása

NAT-átjáró konfigurálása az érzékelőkapcsolathoz:

  1. Hozzon létre egy új NAT-átjárót.

  2. A Kimenő IP-cím lapon válassza az Új nyilvános IP-cím létrehozása lehetőséget.

  3. Az Alhálózat lapon válassza ki a ProxyserverSubnet korábban létrehozott alhálózatot.

A proxy most már teljesen konfigurálva van. Folytassa a proxybeállítások megadásával az OT-érzékelőn.

Csatlakozás proxyláncolással

A következő helyzetekben proxyláncolással csatlakoztathatja az érzékelőt az Azure-beli Defender for IoT-hez:

  • Az érzékelőnek proxyra van szüksége az OT-hálózatról a felhőbe való eléréséhez
  • Azt szeretné, hogy több érzékelő egyetlen ponton keresztül csatlakozzon az Azure-hoz

Ha már konfigurált proxyt, folytassa a proxybeállítások meghatározásával az érzékelőkonzolon.

Ha még nincs konfigurálva proxy, az ebben a szakaszban ismertetett eljárásokkal konfigurálhatja a proxyláncolást.

További információ: Proxykapcsolatok proxyláncolással.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy van egy proxyfolyamatot futtató gazdakiszolgáló a helyhálózaton belül. A proxyfolyamatnak elérhetőnek kell lennie az érzékelő és a lánc következő proxyja számára is.

Ezt az eljárást a nyílt forráskódú Squid-proxy használatával ellenőriztük. Ez a proxy HTTP-bújtatást és HTTP CONNECT-parancsot használ a kapcsolathoz. Ehhez a kapcsolati módszerhez bármely más proxyláncoló kapcsolat használható, amely támogatja a CONNECT parancsot.

Fontos

A Microsoft Defender for IoT nem nyújt támogatást a Squidhez vagy más proxyszolgáltatásokhoz. A proxyszolgáltatás beállítása és fenntartása az ügyfél feladata.

Proxyláncoló kapcsolat konfigurálása

Ez az eljárás azt ismerteti, hogyan telepíthet és konfigurálhat kapcsolatot az érzékelők és az IoT Defender között a Squid legújabb verziójával egy Ubuntu-kiszolgálón.

  1. Adja meg a proxybeállításokat az egyes érzékelőkön:

    1. Jelentkezzen be az OT-érzékelőbe, és válassza a Rendszerbeállítások > érzékelő hálózati beállításai lehetőséget.

    2. Váltson a Proxy engedélyezése beállításra, és adja meg a proxy gazdagépét, portját, felhasználónevét és jelszavát.

  2. Telepítse a Squid proxyt:

    1. Jelentkezzen be a proxy Ubuntu gépére, és nyisson meg egy terminálablakot.

    2. Frissítse a rendszert, és telepítse a Squid-t. Példa:

      sudo apt-get update
sudo apt-get install squid

    3. Keresse meg a Squid konfigurációs fájlt. Megnyithatja például /etc/squid/squid.conf a fájlt egy szövegszerkesztőben, vagy /etc/squid/conf.d/megnyithatja azt.

    4. A Squid konfigurációs fájlban keresse meg a következő szöveget: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS.

    5. Adja hozzá acl <sensor-name> src <sensor-ip>és http_access allow <sensor-name> adja hozzá a fájlhoz. Példa:

      # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl sensor1 src 10.100.100.1
http_access allow sensor1

      Szükség szerint további érzékelők hozzáadásával további vonalakat adhat hozzá az érzékelőhöz.

    6. Konfigurálja a Squid szolgáltatást indításkor. Futtatás:

      sudo systemctl enable squid

  3. Csatlakoztassa a proxyt az IoT Defenderhez. Győződjön meg arról, hogy a 443-as porton kimenő HTTPS-forgalom engedélyezett az érzékelőről az IoT Defender szükséges végpontjaira.

    További információ: OT-érzékelők kiépítése felhőfelügyelethez.

A proxy most már teljesen konfigurálva van. Folytassa a proxybeállítások megadásával az OT-érzékelőn.

Kapcsolat beállítása többfelhős környezetekhez

Ez a szakasz azt ismerteti, hogyan csatlakoztathatja az érzékelőt az Azure-beli Defender for IoT-hez egy vagy több nyilvános felhőben üzembe helyezett érzékelőkből. További információ: Többfelhős kapcsolatok.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy egy nyilvános felhőben , például az AWS-ben vagy a Google Cloudban üzembe helyezett érzékelővel rendelkezik, és konfigurálva van a SPAN-forgalom figyelésére.

Többfelhős kapcsolati módszer kiválasztása

A következő folyamatábra segítségével állapítsa meg, hogy melyik csatlakozási módszert használja:

Folyamatábra annak meghatározásához, hogy melyik kapcsolati módszert kell használni.

  • Nyilvános IP-címek használata az interneten keresztül, ha nem kell privát IP-címekkel adatokat cserélnie

  • Csak akkor használja a helyek közötti VPN-t az interneten keresztül, ha nem* igényli az alábbiak valamelyikét:

    • Kiszámítható átviteli sebesség
    • SLA
    • Nagy adatmennyiség-átvitel
    • A nyilvános interneten keresztüli kapcsolatok elkerülése

  • Használja az ExpressRoute-ot , ha kiszámítható átviteli sebességet, SLA-t, nagy adatmennyiség-átvitelt vagy a nyilvános interneten keresztüli kapcsolatok elkerülését igényli.

    Ebben az esetben:

    • Ha a kapcsolatot létesítő útválasztókat szeretné birtokolni és felügyelni, használja az ExpressRoute-ot az ügyfél által felügyelt útválasztással.
    • Ha nem kell birtokolnia és felügyelnie a kapcsolatot létesítő útválasztókat, használja az ExpressRoute-ot egy felhőcsere-szolgáltatóval.

Konfiguráció

  1. Konfigurálja az érzékelőt a felhőhöz való csatlakozáshoz az Azure felhőadaptálási keretrendszer ajánlott módszerek egyikével. További információ: Kapcsolat más felhőszolgáltatókkal.

  2. A VPN-ek és a Defender for IoT közötti privát kapcsolat engedélyezéséhez csatlakoztassa a VPC-t egy Azure-beli virtuális hálózathoz VPN-kapcsolaton keresztül. Ha például egy AWS VPC-ből csatlakozik, tekintse meg a TechCommunity blogot: VPN létrehozása az Azure és az AWS között csak felügyelt megoldások használatával.

  3. A VPC és a VNET konfigurálása után adja meg a proxybeállításokat az OT-érzékelőn.

Következő lépések

Javasoljuk, hogy konfiguráljon egy Active Directory-kapcsolatot a helyszíni felhasználók felügyeletéhez az OT-érzékelőn, valamint állítsa be az érzékelő állapotfigyelését az SNMP-n keresztül.

Ha az üzembe helyezés során nem konfigurálja ezeket a beállításokat, később is visszatérhet és konfigurálhatja őket. További információk:

« Kezdeti beállítások konfigurálása és az OT hálózati érzékelő aktiválása

Az IoT-hez készült Microsoft Defender által figyelt OT-forgalom szabályozása »