Методы подключения датчиков к Azure
Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.
Используйте приведенное ниже содержимое, чтобы узнать об архитектуре и методах, поддерживаемых для подключения датчиков Defender для Интернета вещей к портал Azure в облаке.
Сетевые датчики подключаются к Azure для предоставления данных об обнаруженных устройствах, оповещениях и работоспособности датчиков, доступ к пакетам аналитики угроз и т. д. Например, подключенные службы Azure включают Центр Интернета вещей, БОЛЬШОЙ двоичный объект служба хранилища, Центры событий, Aria, Центр загрузки Майкрософт.
Все методы подключения предоставляют:
Улучшена безопасность без дополнительных конфигураций безопасности. Подключение в Azure с помощью конкретных и безопасных конечных точек без необходимости использовать дикие карта.
Шифрование, tls1.2/AES-256 обеспечивает зашифрованное взаимодействие между датчиком и ресурсами Azure.
Масштабируемость новых функций, поддерживаемых только в облаке.
Внимание
Чтобы убедиться, что сеть готова, рекомендуется сначала запустить подключения в лабораторной или тестовой среде, чтобы безопасно проверить конфигурации службы Azure.
Выбор режима подключения датчика
Используйте этот раздел, чтобы определить, какой метод подключения подходит для датчика IoT, подключенного к облаку.
| Если... | ... Затем используйте |
|---|---|
| – необходимо подключить датчик к Azure напрямую | Прямые подключения |
| — датчику требуется прокси-сервер для доступа от сети OT к облаку или – вы хотите подключить несколько датчиков к Azure через единую точку |
Подключения прокси-сервера с цепочкой прокси-серверов |
| — Вам требуется частное подключение между датчиком и Azure. — Ваш сайт подключен к Azure через ExpressRoute или – ваш сайт подключен к Azure через VPN |
Прокси-подключения с прокси-сервером Azure |
| – есть датчики, размещенные в нескольких общедоступных облаках | Многооблачные подключения |
Примечание.
Хотя большинство методов подключения относятся только к датчикам OT, прямые подключения также используются для датчиков Enterprise IoT.
Прямые подключения
На следующем рисунке показано, как подключить датчики к порталу Defender для Интернета вещей в Azure непосредственно через Интернет с удаленных сайтов без обхода корпоративной сети.
При прямых подключениях происходит следующее:
Все датчики, подключенные к центрам обработки данных Azure непосредственно через Интернет или Azure ExpressRoute, имеют безопасное и зашифрованное подключение к центрам обработки данных Azure. Транспортная безопасность (TLS1.2/AES-256) обеспечивает постоянное взаимодействие между датчиком и ресурсами Azure.
Датчик инициирует все подключения к порталу Azure. Инициализация подключений исключительно с датчика защищает внутренние сетевые устройства от незапрошенных входящих подключений, а также устраняет потребность в настройке правил брандмауэра для входящего трафика.
Дополнительные сведения см. в разделе "Подготовка датчиков для управления облаком".
Прокси-подключения с цепочкой прокси-серверов
На следующем рисунке показано, как можно подключить датчики к порталу Defender для Интернета вещей в Azure с помощью нескольких прокси-серверов, используя разные уровни модели по Пердью и иерархию корпоративной сети.
Этот метод поддерживает подключение датчиков с прямым доступом к Интернету, частным VPN или ExpressRoute, датчик установит туннель, зашифрованный SSL, для передачи данных из датчика в конечную точку службы через несколько прокси-серверов. Прокси-сервер не выполняет проверку, анализ или кэширование данных.
Это ответственность клиента за настройку и обслуживание сторонних прокси-служб с помощью цепочки прокси-серверов; Корпорация Майкрософт не предоставляет поддержку для них.
Дополнительные сведения см. в статье Подключение через цепочку прокси.
Прокси-подключения с помощью прокси-сервера Azure
На следующем рисунке показано, как подключить датчики к порталу Defender для Интернета вещей в Azure через прокси-сервер в виртуальной сети Azure. Эта конфигурация обеспечивает конфиденциальность всех взаимодействий между датчиком и Azure.
В зависимости от конфигурации сети вы можете получить доступ к виртуальной сети через VPN-подключение или подключение ExpressRoute.
В этом методе используется прокси-сервер, размещенный в Azure. Для обеспечения балансировки нагрузки и отработки отказа прокси-сервер настроен для автоматического масштабирования за подсистемой балансировки нагрузки.
Дополнительные сведения см. в статье Подключение через прокси-сервер Azure.
Многооблачные подключения
Вы можете подключить датчики к порталу Defender для Интернета вещей в Azure из других общедоступных облаков для мониторинга процессов управления OT и Интернета вещей.
В зависимости от конфигурации среды вы можете подключиться одним из следующих способов:
ExpressRoute с маршрутизацией, управляемой клиентом
ExpressRoute с поставщиком услуг по обмене данными с облаком
VPN типа "сеть — сеть" через Интернет
Дополнительные сведения см. в разделе Подключение через поставщиков нескольких облаков.