エアギャップ OT センサー管理の展開 (レガシ)
重要
Defender for IoT では、Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用して一元的な監視とセンサー管理を行うことを推奨し、2025 年 1 月 1 日にオンプレミスの管理コンソールを廃止する予定です。
詳細については、「ハイブリッドまたはエアギャップ OT センサー管理のデプロイ」を参照してください。
Azure portal で管理できないエアギャップ OT センサーを複数使用する場合、エアギャップ OT センサーを管理するためにオンプレミス管理コンソールをデプロイすることをお勧めします。
次の図は、オンプレミス管理コンソールのデプロイに関連する手順を表しています。 以下のセクションで各デプロイ手順について詳しく説明します (関連する相互参照が含まれます)。
オンプレミス管理コンソールのデプロイは、デプロイ チームが行います。 オンプレミス管理コンソールは、OT センサーをデプロイする前、またはデプロイした後にデプロイすること、あるいは OT センサーと並行してデプロイすることができます。
デプロイメントの手順
手順 | 説明 |
---|---|
オンプレミス管理コンソール アプライアンスを準備する | OT センサー用にオンプレミス アプライアンスを準備したのと同様に、オンプレミス管理コンソール用にアプライアンスを準備します。 運用環境に CA 署名証明書をデプロイするために、証明書も準備してください。 |
Microsoft Defender for IoT のオンプレミス管理コンソール ソフトウェアをインストールする | Azure portal からインストール ソフトウェアをダウンロードし、オンプレミス管理コンソール アプライアンスにインストールします。 |
オンプレミス管理コンソールをアクティブにして設定する | Azure portal からダウンロードしたアクティブ化ファイルを使用して、オンプレミス管理コンソールをアクティブ化します。 |
オンプレミス管理コンソールで OT サイトとゾーンを作成する | 大規模なエアギャップ デプロイを使用する場合、オンプレミス管理コンソールでサイトとゾーンを作成することをお勧めします。これは、ネットワーク セグメントを通過する未承認のトラフィックを監視するのに役立ちます。またこれは、ゼロ トラストの原則を使用して Defender for IoT をデプロイすることの一部でもあります。 |
OT ネットワーク センサーをオンプレミス管理コンソールに接続する | エアギャップ OT センサーをオンプレミス管理コンソールに接続して集計データを表示し、接続されているすべてのシステムでさらに設定を構成します。 |
注意
Azure portal で構成されたサイトおよびゾーンは、オンプレミス管理コンソールで構成されたサイトおよびゾーンと同期されません。
大規模なデプロイを使用する場合、クラウド接続センサーの管理には Azure portal を使用し、ローカル管理センサーの管理にはオンプレミス管理コンソールを使用することをお勧めします。
オプションの構成
オンプレミス管理コンソールをデプロイする場合、次のオプションも構成できます。
Active Directory 統合: Active Directory ユーザーがオンプレミス管理コンソールにサインインできるようにするには、Active Directory グループを使用し、グローバル アクセス グループを構成します。
OT ネットワーク センサーからのプロキシ トンネリング アクセス: これにより、Defender for IoT システム全体のシステム セキュリティが強化されます
オンプレミス管理コンソールの高可用性: これにより、OT センサー管理リソースに関するリスクが低下します
プロキシ トンネリングを使用して OT ネットワーク センサーにアクセスする
オンプレミス管理コンソールが OT センサーに直接アクセスできないようにすることで、システムのセキュリティを強化できます。
このような場合、オンプレミス管理コンソールでプロキシ トンネリングを構成して、ユーザーがオンプレミス管理コンソールを介して OT センサーに接続できるようにします。 次に例を示します。
OT センサーにサインインした後のユーザー エクスペリエンスは同じままです。 詳細については、トンネリングを使用した OT センサー アクセスの構成に関するページを参照してください。
オンプレミス管理コンソールの高可用性
Defender for IoT を使用して大規模な OT 監視システムをデプロイする場合、オンプレミス管理コンソールの高可用性のために、プライマリ マシンとセカンダリ マシンのペアを使用できます。
高可用性アーキテクチャを使用する場合:
機能 | 説明 |
---|---|
セキュリティで保護された接続 | プライマリ アプライアンスとセカンダリ アプライアンスの間にセキュリティで保護された接続を作成するために、オンプレミス管理コンソールの SSL/TLS 証明書が適用されます。 CA 署名証明書またはインストール時に生成された自己署名証明書を使用します。 詳細については、以下を参照してください。 - オンプレミス リソースの SSL/TLS 証明書の要件 - OT アプライアンスの SSL/TLS 証明書を作成する - SSL/TLS 証明書を管理する |
データのバックアップ | プライマリ オンプレミス管理コンソール データは、10 分ごとにセカンダリ オンプレミス管理コンソールに自動的にバックアップされます。 詳細については、オンプレミス管理コンソールのバックアップと復元に関するページを参照してください。 |
システムの設定 | プライマリ オンプレミス管理コンソールで定義されているシステム設定は、セカンダリで複製されます。 たとえば、システム設定がプライマリで更新された場合は、セカンダリでも更新されます。 |
詳細については、「高可用性について」を参照してください。