Métodos para conectar sensores a Azure
Este artículo forma parte de una serie de artículos que describen la ruta de acceso de implementación para la supervisión de OT con Microsoft Defender para IoT.
Use el contenido siguiente para obtener información sobre las arquitecturas y los métodos admitidos para conectar sensores de Defender para IoT a Azure Portal en la nube.
Los sensores de red se conectan a Azure para proporcionar alertas, datos de los dispositivos detectados y mensajes del estado de los sensores, acceder a paquetes de inteligencia sobre amenazas, etc. Por ejemplo, entre los servicios conectados de Azure se incluyen IoT Hub, Blob Storage, Event Hubs, Aria y el Centro de descarga de Microsoft.
Todos los métodos de conexión proporcionan:
Seguridad mejorada, sin configuraciones de seguridad adicionales. Conexión a Azure mediante puntos de conexión específicos y seguros, sin necesidad de caracteres comodín.
Cifrado, el protocolo Seguridad de la capa de transporte (TLS1.2/AES-256) proporciona comunicación cifrada entre el sensor y los recursos de Azure.
Escalabilidad de nuevas características admitidas solo en la nube
Importante
Para asegurarse de que la red está lista, se recomienda ejecutar primero las conexiones en un entorno de laboratorio o de prueba para que pueda validar de forma segura las configuraciones del servicio de Azure.
Elección de un método de conexión de sensores
Use esta sección como ayuda para determinar qué método de conexión es adecuado para su sensor de Defender para IoT conectado a la nube.
Si ... | ... A continuación, use |
---|---|
- Quiere conectar el sensor a Azure directamente. | Conexiones directas |
- El sensor necesita un proxy para acceder a la nube desde la red de OT. - Quiere que varios sensores se conecten a Azure a través de un único punto. |
Conexiones de proxy con encadenamiento de proxy |
- Necesita conectividad privada entre el sensor y Azure. - El sitio está conectado a Azure a través de ExpressRoute. - El sitio está conectado a Azure a través de una VPN. |
Conexiones de proxy con un proxy de Azure |
- Tiene sensores hospedados en varias nubes públicas. | Conexiones multinube |
Nota
Aunque la mayoría de los métodos de conexión solo son relevantes para los sensores de OT, las conexiones directas también se usan para los sensores de IoT empresarial.
Conexiones directas
En la imagen siguiente, se muestra cómo puede conectar los sensores al portal de Defender para IoT en Azure directamente a través de Internet desde sitios remotos, sin atravesar la red empresarial.
Con conexiones directas:
Los sensores conectados a los centros de datos de Azure directamente a través de Internet o Azure ExpressRoute tienen una conexión segura y cifrada a los centros de datos de Azure. Seguridad de la capa de transporte (TLS1.2/AES-256) proporciona comunicación siempre activa entre el sensor y los recursos de Azure.
El sensor inicia todas las conexiones al Azure Portal. Iniciar conexiones solo desde el sensor protege los dispositivos de red internos de las conexiones entrantes no solicitadas, pero también significa que no es necesario configurar ninguna regla de firewall de entrada.
Para más información, consulte Aprovisionamiento de sensores para la administración en la nube.
Conexiones de proxy con encadenamiento de proxy
En la imagen siguiente se muestra cómo puede conectar los sensores al portal de Defender para IoT en Azure a través de varios servidores proxy, mediante diferentes niveles del modelo Purdue y la jerarquía de red empresarial.
Este método admite la conexión de los sensores con el acceso directo a Internet, VPN privada o ExpressRoute. El sensor establecerá un túnel cifrado con SSL para transferir datos desde el sensor al punto de conexión de servicio a través de varios servidores proxy. El servidor proxy no realiza ninguna inspección, análisis o almacenamiento en caché de datos.
Es responsabilidad del cliente configurar y mantener servicios proxy de terceros con encadenamiento de proxy. Microsoft no proporciona soporte técnico para ellos.
Para más información, consulte Conectar a través del encadenamiento de proxy.
Conexiones de proxy con un proxy de Azure
En la imagen siguiente se muestra cómo puede conectar los sensores al portal de Defender para IoT en Azure a través de un proxy en la red virtual de Azure. Esta configuración garantiza la confidencialidad de todas las comunicaciones entre el sensor y Azure.
En función de la configuración de red, puede acceder a la red virtual a través de una conexión VPN o una conexión ExpressRoute.
Este método usa un servidor proxy hospedado en Azure. Para controlar el equilibrio de carga y la conmutación por error, el proxy está configurado para escalar automáticamente detrás de un equilibrador de carga.
Para obtener más información, consulte Conexión a través de un proxy de Azure.
Conexiones multinube
Puede conectar los sensores al portal de Defender para IoT en Azure desde otras nubes públicas para la supervisión del proceso de administración de OT/IoT.
En función de la configuración del entorno, puede conectarse mediante uno de los métodos siguientes:
ExpressRoute con enrutamiento administrado por el cliente
ExpressRoute con un proveedor de intercambio en la nube
Una VPN de sitio a sitio a través de Internet.
Para más información, consulte Conexión a través de proveedores de nubes múltiples.