Bereitstellen von luftgespaltener OT-Sensorverwaltung (Legacy)
Wichtig
Defender für IoT empfiehlt jetzt die Verwendung von Microsoft-Clouddiensten oder vorhandener IT-Infrastruktur für die zentrale Überwachung und Sensorverwaltung, und plant, die lokale Verwaltungskonsole am 1. Januar 2025außer Betrieb zu nehmen.
Weitere Informationen finden Sie unter Bereitstellen einer hybriden oder luftgespaltenen OT-Sensorverwaltung.
Wenn Sie mit mehreren, luftgespaltenen OT-Sensoren arbeiten, die nicht vom Azure-Portal verwaltet werden können, empfehlen wir die Bereitstellung einer lokalen Verwaltungskonsole zum Verwalten Ihrer luftspaltigen OT-Sensoren.
Die folgende Abbildung beschreibt die Schritte zum Bereitstellen einer lokalen Verwaltungskonsole. Weitere Informationen zu den einzelnen Bereitstellungsschritten finden Sie in den folgenden Abschnitten, einschließlich relevanter Querverweise.
Die Bereitstellung einer lokalen Verwaltungskonsole erfolgt durch Ihr Bereitstellungsteam. Sie können eine lokale Verwaltungskonsole vor oder nach der Bereitstellung Ihrer OT-Sensoren oder parallel bereitstellen.
Implementierungsschritte
| Schritt | Beschreibung |
|---|---|
| Vorbereiten einer lokalen Verwaltungskonsolen-Appliance | Genau wie Sie eine lokale Appliance für Ihre OT-Sensoren vorbereitet |
| Installieren Sie die lokale Verwaltungskonsole-Software von Microsoft Defender für IoT | Laden Sie Installationssoftware aus dem Azure-Portal herunter, und installieren Sie sie auf Ihrer lokalen Verwaltungskonsolen-Appliance. |
| Aktivieren und Einrichten einer lokalen Verwaltungskonsole | Verwenden Sie eine aktivierungsdatei, die aus dem Azure-Portal heruntergeladen wurde, um Ihre lokale Verwaltungskonsole zu aktivieren. |
| Erstellen von OT-Sites und Zonen auf einer Vor-Ort-Verwaltungskonsole | Wenn Sie mit einer großen, luftgespaltenen Bereitstellung arbeiten, empfehlen wir, Websites und Zonen in Ihrer lokalen Verwaltungskonsole zu erstellen, die Ihnen dabei helfen, nicht autorisierte Datenverkehrsüberquerungsnetzwerksegmente zu überwachen, und ist Teil der Bereitstellung von Defender für IoT mit Zero Trust- Prinzipien. |
| Verbinden Sie OT-Netzwerksensoren mit der lokalen Verwaltungskonsole | Verbinden Sie Ihre luftgespaltenen OT-Sensoren mit Ihrer lokalen Verwaltungskonsole, um aggregierte Daten anzuzeigen und weitere Einstellungen für alle verbundenen Systeme zu konfigurieren. |
Anmerkung
Websites und Zonen, die im Azure-Portal konfiguriert sind, werden nicht mit Websites und Zonen synchronisiert, die in einer lokalen Verwaltungskonsolekonfiguriert sind.
Wenn Sie mit einer großen Bereitstellung arbeiten, empfiehlt es sich, das Azure-Portal zum Verwalten von mit der Cloud verbundenen Sensoren und einer lokalen Verwaltungskonsole zum Verwalten lokal verwalteter Sensoren zu verwenden.
Optionale Konfigurationen
Wenn Sie eine lokale Verwaltungskonsole bereitstellen, können Sie auch die folgenden Optionen konfigurieren:
Active Directory-Integration, damit Active Directory-Benutzer sich bei Ihrer lokalen Verwaltungskonsole anmelden, Active Directory-Gruppen verwenden und globale Zugriffsgruppen konfigurieren können.
Proxytunnelzugriff von OT-Netzwerksensoren aus, wodurch die Systemsicherheit in Ihrem Defender for IoT-System verbessert wird
Hohe Verfügbarkeit für lokale Verwaltungskonsolen, wodurch das Risiko für Ihre OT-Sensor-Verwaltungsressourcen verringert wird
Zugriff auf OT-Netzwerksensoren über Proxytunneling
Möglicherweise möchten Sie Ihre Systemsicherheit verbessern, indem Sie die lokale Verwaltungskonsole daran hindern, direkt auf OT-Sensoren zuzugreifen.
Konfigurieren Sie in solchen Fällen die Proxytunnelung in Ihrer lokalen Verwaltungskonsole, damit Benutzer über die lokale Verwaltungskonsole eine Verbindung mit OT-Sensoren herstellen können. Zum Beispiel:
Sobald sie beim OT-Sensor angemeldet sind, bleibt die Benutzererfahrung gleich. Weitere Informationen finden Sie unter „OT-Sensorzugriff über Tunneling konfigurieren“.
Hohe Verfügbarkeit für lokale Verwaltungskonsolen
Wenn Sie ein großes OT-Überwachungssystem mit Defender für IoT bereitstellen, können Sie ein Paar primärer und sekundärer Computer für hohe Verfügbarkeit in Ihrer lokalen Verwaltungskonsole verwenden.
Bei Verwendung einer Hochverfügbarkeitsarchitektur:
| Merkmal | Beschreibung |
|---|---|
| sichere Verbindungen | Es wird ein lokales Verwaltungskonsolen-SSL/TLS-Zertifikat angewendet, um eine sichere Verbindung zwischen den primären und sekundären Appliances zu erstellen. Verwenden Sie ein von der Zertifizierungsstelle signiertes Zertifikat oder das selbstsignierte Zertifikat, das während der Installation generiert wurde. Weitere Informationen finden Sie unter: - SSL/TLS-Zertifikatanforderungen für lokale Ressourcen - Erstellen von SSL/TLS-Zertifikaten für OT-Appliances - Verwalten von SSL/TLS-Zertifikaten |
| Datensicherungen | Die primären lokalen Verwaltungskonsolendaten werden alle 10 Minuten automatisch auf der sekundären lokalen Verwaltungskonsole gesichert. Weitere Informationen finden Sie unter Sicherung und Wiederherstellung der lokalen Verwaltungskonsole. |
| Systemeinstellungen | Die Systemeinstellungen, die auf der primären vor Ort-Verwaltungskonsole definiert wurden, werden auf der sekundären Konsole dupliziert. Wenn die Systemeinstellungen beispielsweise auf der primären Seite aktualisiert werden, werden sie auch auf der sekundären Seite aktualisiert. |
Weitere Informationen finden Sie unter Über Hochverfügbarkeit.