Sdílet prostřednictvím


Konfigurace nastavení proxy serveru na senzoru OT

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT a popisuje, jak nakonfigurovat nastavení proxy serveru na senzoru OT pro připojení k Azure.

Diagram indikátoru průběhu se zvýrazněnou možností Nasadit senzory

Tento krok můžete přeskočit v následujících případech:

Požadavky

K provedení kroků popsaných v tomto článku budete potřebovat:

Tento krok provádí týmy nasazení a připojení.

Konfigurace nastavení proxy serveru na senzoru OT

Tato část popisuje, jak nakonfigurovat nastavení existujícího proxy serveru v konzole senzoru OT. Pokud ještě nemáte proxy server, nakonfigurujte ho pomocí následujících postupů:

Definování nastavení proxy serveru na senzoru OT:

  1. Přihlaste se ke snímači OT a vyberte Nastavení > sítě senzoru nastavení systému.

  2. Zapněte možnost Povolit proxy server a zadejte následující podrobnosti pro váš proxy server:

    • Hostitel proxy serveru
    • Proxy Port
    • Proxy uživatelské jméno (volitelné)
    • Proxy heslo (volitelné)

    Příklad:

    Snímek obrazovky se stránkou nastavení proxy serveru

  3. Pokud je to relevantní, vyberte klientský certifikát a nahrajte ověřovací certifikát proxy serveru pro přístup k proxy serveru SSL/TLS.

    Poznámka:

    Klientský certifikát SSL/TLS se vyžaduje pro proxy servery, které kontrolují provoz SSL/TLS, například při používání služeb, jako je Zscaler a Palo Alto Prisma.

  4. Zvolte Uložit.

Nastavení proxy serveru Azure

K připojení senzoru k Defenderu pro IoT můžete použít proxy Azure v následujících situacích:

  • Potřebujete privátní připojení mezi senzorem a Azure.
  • Váš web je připojený k Azure přes ExpressRoute
  • Váš web je připojený k Azure přes síť VPN.

Pokud už máte proxy server nakonfigurovaný, pokračujte přímo definováním nastavení proxy serveru v konzole senzoru.

Pokud ještě nemáte nakonfigurovaný proxy server, nastavte ho ve virtuální síti Azure pomocí postupů v této části.

Požadavky

Než začnete, ujistěte se, že máte:

  • Pracovní prostor služby Log Analytics pro protokoly monitorování

  • Připojení vzdálené lokality k virtuální síti Azure

  • Odchozí provoz HTTPS na portu 443 povolený z vašeho senzoru do požadovaných koncových bodů pro Defender for IoT. Další informace najdete v tématu Zřizování senzorů OT pro správu cloudu.

  • Prostředek proxy serveru s oprávněními brány firewall pro přístup ke cloudovým službám Microsoftu. Postup popsaný v tomto článku používá server squid hostovaný v Azure.

Důležité

Microsoft Defender pro IoT nenabízí podporu pro squid ani žádné jiné proxy služby. Je zodpovědností zákazníka nastavit a udržovat proxy službu.

Konfigurace nastavení proxy serveru senzoru

Tato část popisuje, jak nakonfigurovat proxy server ve virtuální síti Azure pro použití se senzorem OT a zahrnuje následující kroky:

  1. Definování účtu úložiště pro protokoly NSG
  2. Definování virtuálních sítí a podsítí
  3. Definování brány virtuální nebo místní sítě
  4. Definování skupin zabezpečení sítě
  5. Definování škálovací sady virtuálních počítačů Azure
  6. Vytvoření nástroje pro vyrovnávání zatížení Azure
  7. Konfigurace služby NAT Gateway

Krok 1: Definování účtu úložiště pro protokoly NSG

Na webu Azure Portal vytvořte nový účet úložiště s následujícím nastavením:

Plocha Nastavení
Základy Výkon: Standard
Druh účtu: Blob Storage
Replikace: LRS
Síť Metoda připojení: Veřejný koncový bod (vybraná síť)
Ve virtuálních sítích: Žádné
Předvolba směrování: Směrování sítě Microsoftu
Ochrana dat Zachovat všechny možnosti nezaškrtané
Rozšířené Zachovat všechny výchozí hodnoty

Krok 2: Definování virtuálních sítí a podsítí

Vytvořte následující virtuální síť a obsažené podsítě:

Název Doporučená velikost
MD4IoT-VNET /26 nebo /25 s bastionem
Podsítě:
- GatewaySubnet /27
- ProxyserverSubnet /27
- AzureBastionSubnet (volitelné) /26

Krok 3: Definování brány virtuální nebo místní sítě

Vytvořte bránu VPN nebo ExpressRoute pro virtuální brány nebo vytvořte místní bránu v závislosti na tom, jak připojíte místní síť k Azure.

Připojte bránu GatewaySubnet k podsíti, kterou jste vytvořili dříve.

Další informace naleznete v tématu:

Krok 4: Definování skupin zabezpečení sítě

  1. Vytvořte skupinu zabezpečení sítě a definujte následující příchozí pravidla:

    • Vytvořte pravidlo 100 , které povolí provoz ze senzorů (zdrojů) na privátní IP adresu nástroje pro vyrovnávání zatížení (cíl). Použijte port tcp3128.

    • Vytvořte pravidlo 4095 jako duplikát systémového 65001 pravidla. Je to proto, že pravidlo 65001 se přepíše pravidlem 4096.

    • Vytvořte pravidlo 4096 pro odepření veškerého provozu pro mikros segmentaci.

    • Nepovinné. Pokud používáte Bastion, vytvořte pravidlo 4094 , které povolí Bastion SSH serverům. Jako zdroj použijte podsíť Bastion.

  2. Přiřaďte skupinu zabezpečení sítě k ProxyserverSubnet dříve vytvořené skupině zabezpečení sítě.

  3. Definujte protokolování NSG:

    1. Vyberte novou skupinu zabezpečení sítě a pak vyberte Nastavení > diagnostiky Přidat nastavení diagnostiky.

    2. Zadejte název vašeho nastavení diagnostiky. V části Kategorie vyberte všechnylogy.

    3. Vyberte Možnost Odesláno do pracovního prostoru služby Log Analytics a pak vyberte pracovní prostor služby Log Analytics, který chcete použít.

    4. Vyberte odesílání protokolů toku NSG a pak definujte následující hodnoty:

      Na kartě Základy:

      • Zadejte smysluplný název.
      • Vyberte účet úložiště, který jste vytvořili dříve.
      • Definování požadovaných dnů uchovávání

      Na kartě Konfigurace:

      • Vyberte verzi 2.
      • Výběr možnosti Povolit analýzu provozu
      • Vyberte pracovní prostor služby Log Analytics

Krok 5: Definování škálovací sady virtuálních počítačů Azure

Definujte škálovací sadu virtuálních počítačů Azure pro vytvoření a správu skupiny virtuálních počítačů s vyrovnáváním zatížení, kde můžete podle potřeby automaticky zvýšit nebo snížit počet virtuálních počítačů.

Další informace najdete v tématu Co jsou škálovací sady virtuálních počítačů?

Vytvoření škálovací sady pro použití s připojením senzoru:

  1. Vytvořte škálovací sadu s následujícími definicemi parametrů:

    • Režim orchestrace: Jednotný
    • Typ zabezpečení: standardní
    • Obrázek: Ubuntu Server 18.04 LTS – Gen1
    • Velikost: Standard_DS1_V2
    • Ověřování: Na základě firemního standardu

    Ponechte výchozí hodnotu pro nastavení Disků .

  2. Vytvořte v Proxyserver podsíti, kterou jste vytvořili dříve, síťové rozhraní, ale ještě nedefinujte nástroj pro vyrovnávání zatížení.

  3. Nastavení škálování definujte následujícím způsobem:

    • Definování počátečního počtu instancí jako 1
    • Definování zásad škálování jako ručních
  4. Definujte následující nastavení správy:

    • V režimu upgradu vyberte Možnost Automaticky – instance se spustí s upgradem.
    • Zakázání diagnostiky spouštění
    • Vymazání nastavení identity a ID Microsoft Entra
    • Výběr nadměrného zřízení
    • Výběr možnosti Povolit automatické upgrady operačního systému
  5. Definujte následující nastavení stavu:

    • Vyberte Povolit monitorování stavu aplikace.
    • Vyberte protokol TCP a port 3128.
  6. V rozšířených nastaveních definujte algoritmus šíření jako max. šíření.

  7. Pro vlastní datový skript postupujte takto:

    1. V závislosti na portu a službách, které používáte, vytvořte následující konfigurační skript:

      # Recommended minimum configuration:
      # Squid listening port
      http_port 3128
      # Do not allow caching
      cache deny all
      # allowlist sites allowed
      acl allowed_http_sites dstdomain .azure-devices.net
      acl allowed_http_sites dstdomain .blob.core.windows.net
      acl allowed_http_sites dstdomain .servicebus.windows.net
      acl allowed_http_sites dstdomain .download.microsoft.com
      http_access allow allowed_http_sites
      # allowlisting
      acl SSL_ports port 443
      acl CONNECT method CONNECT
      # Deny CONNECT to other unsecure ports
      http_access deny CONNECT !SSL_ports
      # default network rules
      http_access allow localhost
      http_access deny all
      
    2. Zakódujte obsah souboru skriptu v base-64.

    3. Zkopírujte obsah zakódovaného souboru a vytvořte následující konfigurační skript:

      #cloud-config
      # updates packages
      apt_upgrade: true
      # Install squid packages
      packages:
       - squid
      run cmd:
       - systemctl stop squid
       - mv /etc/squid/squid.conf /etc/squid/squid.conf.factory
      write_files:
      - encoding: b64
        content: <replace with base64 encoded text>
        path: /etc/squid/squid.conf
        permissions: '0644'
      run cmd:
       - systemctl start squid
       - apt-get -y upgrade; [ -e /var/run/reboot-required ] && reboot
      

Krok 6: Vytvoření nástroje pro vyrovnávání zatížení Azure

Azure Load Balancer je nástroj pro vyrovnávání zatížení vrstvy 4, který distribuuje příchozí provoz mezi instancemi virtuálních počítačů, které jsou v pořádku, pomocí distribučního algoritmu založeného na hodnotě hash.

Další informace najdete v dokumentaci k Azure Load Balanceru.

Vytvoření nástroje pro vyrovnávání zatížení Azure pro připojení senzoru:

  1. Vytvořte nástroj pro vyrovnávání zatížení se standardní skladovou jednotkou a interním typem, abyste zajistili, že je nástroj pro vyrovnávání zatížení zavřený na internetu.

  2. Definujte dynamickou front-endovou IP adresu v proxysrv podsíti, kterou jste vytvořili dříve, a nastavujte tak dostupnost na zónově redundantní.

  3. U back-endu zvolte škálovací sadu virtuálních počítačů, kterou jste vytvořili v předchozích krocích.

  4. Na portu definovaném v senzoru vytvořte pravidlo vyrovnávání zatížení TCP připojující front-endovou IP adresu s back-endovým fondem. Výchozí port je 3128.

  5. Vytvořte novou sondu stavu a definujte sondu stavu PROTOKOLU TCP na portu 3128.

  6. Definujte protokolování nástroje pro vyrovnávání zatížení:

    1. Na webu Azure Portal přejděte do nástroje pro vyrovnávání zatížení, který jste vytvořili.

    2. Vyberte Nastavení>diagnostiky Přidat nastavení diagnostiky.

    3. Zadejte smysluplný název a definujte kategorii jako všechny metriky.

    4. Vyberte Odeslaná do pracovního prostoru služby Log Analytics a pak vyberte pracovní prostor služby Log Analytics.

Krok 7: Konfigurace služby NAT Gateway

Konfigurace služby NAT Gateway pro připojení senzoru:

  1. Vytvořte novou službu NAT Gateway.

  2. Na kartě Odchozí IP adresa vyberte Vytvořit novou veřejnou IP adresu.

  3. Na kartě Podsíť vyberte ProxyserverSubnet podsíť, kterou jste vytvořili dříve.

Váš proxy server je teď plně nakonfigurovaný. Pokračujte definováním nastavení proxy serveru na senzoru OT.

Připojení přes řetězení proxy serveru

Senzor můžete připojit k Defenderu for IoT v Azure pomocí řetězení proxy serveru v následujících situacích:

  • Váš senzor potřebuje proxy server pro přístup ze sítě OT do cloudu.
  • Chcete, aby se několik senzorů připojilo k Azure prostřednictvím jednoho bodu.

Pokud už máte proxy server nakonfigurovaný, pokračujte přímo definováním nastavení proxy serveru v konzole senzoru.

Pokud ještě nemáte nakonfigurovaný proxy server, nakonfigurujte řetězení proxy pomocí postupů v této části.

Další informace najdete v tématu Připojení proxy serveru s řetězení proxy serveru.

Požadavky

Než začnete, ujistěte se, že máte hostitelský server, na kterém běží proces proxy serveru v síti lokality. Proces proxy serveru musí být přístupný pro senzor i další proxy server v řetězci.

Tento postup jsme ověřili pomocí opensourcového proxy squidu . Tento proxy server používá pro připojení tunelování HTTP a příkaz HTTP CONNECT. Pro tuto metodu připojení lze použít jakékoli jiné zřetězování proxy serveru, které podporuje příkaz CONNECT.

Důležité

Microsoft Defender pro IoT nenabízí podporu pro squid ani žádné jiné proxy služby. Je zodpovědností zákazníka nastavit a udržovat proxy službu.

Konfigurace připojení zřetězování proxy serveru

Tento postup popisuje, jak nainstalovat a nakonfigurovat připojení mezi senzory a Defenderem pro IoT pomocí nejnovější verze Squid na serveru Ubuntu.

  1. Definujte nastavení proxy serveru na každém senzoru:

    1. Přihlaste se ke snímači OT a vyberte Nastavení > sítě senzoru nastavení systému.

    2. Zapněte možnost Povolit proxy a definujte svého hostitele proxy serveru, port, uživatelské jméno a heslo.

  2. Nainstalujte proxy squid:

    1. Přihlaste se k počítači s Ubuntu proxy a spusťte okno terminálu.

    2. Aktualizujte systém a nainstalujte squid. Příklad:

      sudo apt-get update
      sudo apt-get install squid
      
    3. Vyhledejte konfigurační soubor squid. Například na /etc/squid/squid.conf adrese nebo /etc/squid/conf.d/a otevřete soubor v textovém editoru.

    4. V konfiguračním souboru squid vyhledejte následující text: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS.

    5. Přidejte acl <sensor-name> src <sensor-ip>do souboru a http_access allow <sensor-name> do souboru. Příklad:

      # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
      acl sensor1 src 10.100.100.1
      http_access allow sensor1
      

      Přidejte další senzory podle potřeby přidáním dalších čar pro senzor.

    6. Nakonfigurujte službu Squid tak, aby se spustila při spuštění. Run (Spuštění):

      sudo systemctl enable squid
      
  3. Připojte proxy server k Defenderu for IoT. Ujistěte se, že odchozí provoz HTTPS na portu 443 je povolený z vašeho senzoru do požadovaných koncových bodů pro Defender for IoT.

    Další informace najdete v tématu Zřizování senzorů OT pro správu cloudu.

Váš proxy server je teď plně nakonfigurovaný. Pokračujte definováním nastavení proxy serveru na senzoru OT.

Nastavení připojení pro prostředí s více cloudy

Tato část popisuje, jak připojit senzor k Defenderu pro IoT v Azure ze senzorů nasazených v jednom nebo několika veřejných cloudech. Další informace najdete v tématu Připojení multicloudu.

Požadavky

Než začnete, ujistěte se, že máte senzor nasazený ve veřejném cloudu, jako je AWS nebo Google Cloud, a nakonfigurujte monitorování provozu SPAN.

Výběr metody připojení s více cloudy

Pomocí následujícího vývojového diagramu určete, kterou metodu připojení použít:

Vývojový diagram k určení metody připojení, která se má použít

  • Pokud nepotřebujete vyměňovat data pomocí privátních IP adres, použijte veřejné IP adresy přes internet .

  • Vpn typu site-to-site používejte přes internet jenom v případě, že ho nepotřebujete:

    • Předvídatelná propustnost
    • SLA
    • Přenosy velkých objemů dat
    • Vyhněte se připojení přes veřejný internet
  • ExpressRoute použijte, pokud potřebujete předvídatelnou propustnost, smlouvu SLA, přenosy velkých objemů dat nebo se vyhnout připojení přes veřejný internet.

    V tomto případě:

    • Pokud chcete vlastnit a spravovat směrovače provádějící připojení, použijte ExpressRoute se směrováním spravovaným zákazníkem.
    • Pokud nepotřebujete vlastnit a spravovat směrovače, které vytvářejí připojení, použijte ExpressRoute s poskytovatelem cloudové výměny.

Konfigurace

  1. Nakonfigurujte senzor tak, aby se připojil ke cloudu pomocí některé z doporučených metod architektury přechodu na cloud Azure. Další informace najdete v tématu Připojení k dalším poskytovatelům cloudu.

  2. Pokud chcete povolit privátní připojení mezi vašimi vpc a Defenderem pro IoT, připojte svůj VPC k virtuální síti Azure přes připojení VPN. Pokud se například připojujete z AWS VPC, podívejte se na náš blog TechCommunity: Vytvoření sítě VPN mezi Azure a AWS pomocí pouze spravovaných řešení.

  3. Po nakonfigurování VPC a virtuální sítě definujte nastavení proxy serveru na senzoru OT.

Další kroky

Doporučujeme nakonfigurovat připojení služby Active Directory pro správu místních uživatelů na senzoru OT a také nastavení monitorování stavu snímačů přes protokol SNMP.

Pokud tato nastavení během nasazování nenakonfigurujete, můžete je později vrátit a nakonfigurovat. Další informace naleznete v tématu: