Bereitstellen von luftgespaltener OT-Sensorverwaltung (Legacy)
Wichtig
Defender für IoT empfiehlt jetzt die Verwendung von Microsoft-Clouddiensten oder vorhandener IT-Infrastruktur für die zentrale Überwachung und Sensorverwaltung und plant, die lokale Verwaltungskonsole am 1. Januar 2025 zurückzuziehen.
Weitere Informationen finden Sie unter Bereitstellen einer hybriden oder luftgespaltenen OT-Sensorverwaltung.
Wenn Sie mit mehreren Air Gap-OT-Sensoren arbeiten, die nicht vom Azure-Portal verwaltet werden können, empfiehlt es sich, eine lokale Verwaltungskonsole bereitzustellen, um Ihre Air Gap-OT-Sensoren zu verwalten.
In der folgenden Abbildung werden die Schritte für die Bereitstellung einer lokalen Verwaltungskonsole beschrieben. Weitere Informationen zu den einzelnen Bereitstellungsschritten finden Sie in den folgenden Abschnitten, einschließlich relevanter Querverweise für weitere Details.
Die Bereitstellung einer lokalen Verwaltungskonsole erfolgt durch Ihr Bereitstellungsteam. Sie können eine lokale Verwaltungskonsole vor oder nach der Bereitstellung Ihrer OT-Sensoren oder parallel bereitstellen.
Bereitstellungsschritte
| Schritt | BESCHREIBUNG |
|---|---|
| Vorbereiten einer Appliance für die lokale Verwaltungskonsole | Bereiten Sie eine Anwendung für Ihre lokale Verwaltungskonsole auf dieselbe Weise vor wie die lokale Anwendung für Ihre OT-Sensoren zuvor. Um ein von der Zertifizierungsstelle signiertes Zertifikat für Produktionsumgebungen bereitzustellen, müssen Sie auch Ihr Zertifikat vorbereiten. |
| Installieren lokaler Verwaltungskonsolensoftware für Microsoft Defender for IoT | Laden Sie Installationssoftware aus dem Azure-Portal herunter, und installieren Sie sie auf Ihrer lokalen Verwaltungskonsolen-Appliance. |
| Aktivieren und Einrichten einer lokalen Verwaltungskonsole | Verwenden Sie eine aus dem Azure-Portal heruntergeladene Aktivierungsdatei, um Ihre lokale Verwaltungskonsole zu aktivieren. |
| Erstellen von OT-Standorten und -Zonen in einer lokalen Verwaltungskonsole | Wenn Sie mit einer großen Air Gap-Bereitstellung arbeiten, empfiehlt es sich, Websites und Zonen auf Ihrer lokalen Verwaltungskonsole zu erstellen, wodurch Sie nicht autorisierten Datenverkehr über Netzwerksegmente überwachen können. Das ist Teil der Bereitstellung von Defender for IoT mit Zero Trust-Prinzipien. |
| Verbinden von OT-Netzwerksensoren mit der lokalen Verwaltungskonsole | Verbinden Sie Ihre Air Gap-OT-Sensoren mit Ihrer lokalen Verwaltungskonsole, um aggregierte Daten anzuzeigen und weitere Einstellungen für alle verbundenen Systeme zu konfigurieren. |
Hinweis
Standorte und Zonen, die im Azure-Portal konfiguriert sind, werden nicht mit Standorten und Zonen synchronisiert, die in einer lokalen Verwaltungskonsole konfiguriert sind.
Wenn Sie mit einer großen Bereitstellung arbeiten, empfiehlt es sich, das Azure-Portal zum Verwalten von mit der Cloud verbundenen Sensoren und eine lokale Verwaltungskonsole zum Verwalten lokal verwalteter Sensoren zu verwenden.
Optionale Konfigurationen
Wenn Sie eine lokale Verwaltungskonsole bereitstellen, können Sie auch folgende Optionen konfigurieren:
Active Directory-Integration, damit sich Active Directory-Benutzer bei Ihrer lokalen Verwaltungskonsole anmelden, Active Directory-Gruppen verwenden und globale Zugriffsgruppen konfigurieren können.
Proxy-Tunnelingzugriff von OT-Netzwerksensoren zur Verbesserung der Systemsicherheit in Ihrem Defender for IoT-System
Hochverfügbarkeit für lokale Verwaltungskonsolen, um das Risiko für Ihre OT-Sensorverwaltungsressourcen zu verringern
Zugreifen auf OT-Netzwerksensoren über Proxy-Tunneling
Sie können die Systemsicherheit verbessern, indem Sie verhindern, dass die lokale Verwaltungskonsole direkt auf OT-Sensoren zugreifen kann.
Konfigurieren Sie in solchen Fällen das Proxy-Tunneling in Ihrer lokalen Verwaltungskonsole, damit Benutzer über die lokale Verwaltungskonsole eine Verbindung mit OT-Sensoren herstellen können. Beispiel:
Nach der Anmeldung beim OT-Sensor bleibt die Benutzererfahrung unverändert. Weitere Informationen finden Sie unter Konfigurieren des OT-Sensorzugriffs über Tunneling.
Hochverfügbarkeit für lokale Verwaltungskonsolen
Wenn Sie ein großes OT-Überwachungssystem mit Defender for IoT bereitstellen, sollten Sie ein Paar von primären und sekundären Computern verwenden, um Hochverfügbarkeit auf Ihrer lokalen Verwaltungskonsole zu gewährleisten.
Bei Verwendung einer Architektur mit Hochverfügbarkeit:
| Funktion | BESCHREIBUNG |
|---|---|
| Sichere Verbindungen | Zum Erstellen einer sicheren Verbindung zwischen der primären und sekundären Appliance wird für die lokale Verwaltungskonsole ein SLL/TLS-Zertifikat verwendet. Verwenden Sie ein von der Zertifizierungsstelle signiertes Zertifikat oder das selbstsignierte Zertifikat, das während der Installation generiert wurde. Weitere Informationen finden Sie unter: - SSL/TLS-Zertifikatanforderungen für lokale Ressourcen - Erstellen von SSL/TLS-Zertifikaten für OT-Appliances - Verwalten von SSL/TLS-Zertifikaten |
| Datensicherungen | Die Daten der primären lokalen Verwaltungskonsole werden automatisch alle 10 Minuten auf der sekundären lokalen Verwaltungskonsole gesichert. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der lokalen Verwaltungskonsole. |
| Systemeinstellungen | Die Systemeinstellungen, die für die primäre lokale Verwaltungskonsole definiert sind, werden auf der sekundären Seite dupliziert. Wenn z. B. die Systemeinstellungen auf der primären Verwaltungskonsole aktualisiert werden, so werden sie auch auf der sekundären Konsole aktualisiert. |
Weitere Informationen finden Sie unter Über Hochverfügbarkeit.