Déployer la gestion des capteurs OT isolés physiquement (ancien)
Important
Defender pour IoT recommande désormais d’utiliser des services cloud Microsoft ou une infrastructure informatique existante pour la supervision centralisée et la gestion des capteurs, et prévoit de mettre hors service la console de gestion locale le 1er janvier 2025.
Pour plus d’informations, consultez Gestion des capteurs OT hybrides ou isolés (air-gapped).
Lorsque vous travaillez avec plusieurs capteurs OT isolés qui ne peuvent pas être gérés par le portail Azure, nous vous recommandons de déployer une console de gestion locale pour gérer vos capteurs OT isolés.
L’image suivante décrit les étapes incluses dans le déploiement d’une console de gestion locale. En savoir plus sur chaque étape de déploiement dans les sections ci-dessous, notamment les références croisées pertinentes pour plus d’informations.
Le déploiement d’une console de gestion locale est effectué par votre équipe de déploiement. Vous pouvez déployer une console de gestion locale avant ou après avoir déployé vos capteurs OT, ou en parallèle.
Étapes de déploiement
| Étape | Description |
|---|---|
| Préparer une appliance de console de gestion locale | Tout comme vous avez préparé un appareil local pour vos capteurs OT, préparez un appareil pour votre console de gestion locale. Pour déployer un certificat signé par l’autorité de certification pour les environnements de production, veillez également à préparer votre certificat. |
| installer le logiciel de console de gestion locale Microsoft Defender pour IoT | Téléchargez le logiciel d’installation à partir du portail Azure et installez-le sur votre appliance de console de gestion locale. |
| Activer et configurer une console de gestion locale | Utilisez un fichier d’activation téléchargé à partir du portail Azure pour activer votre console de gestion locale. |
| Créer des sites et des zones OT sur une console de gestion locale | Si vous utilisez un déploiement volumineux en environnement non connecté, nous vous recommandons de créer des sites et des zones sur votre console de gestion locale, ce qui vous aide à surveiller le trafic non autorisé traversant les segments du réseau, faisant partie du déploiement de Defender pour IoT selon les principes de Zero Trust. |
| connecter des capteurs réseau OT à la console de gestion locale | Connectez vos capteurs OT air-gapped à votre console de gestion locale pour afficher les données agrégées et configurer d’autres paramètres sur tous les systèmes connectés. |
Note
Les sites et zones configurés sur le portail Azure ne sont pas synchronisés avec sites et zones configurés sur une console de gestion locale.
Lorsque vous utilisez un déploiement volumineux, nous vous recommandons d’utiliser le portail Azure pour gérer les capteurs connectés au cloud et une console de gestion locale pour gérer les capteurs gérés localement.
Configurations facultatives
Lors du déploiement d’une console de gestion locale, vous pouvez également configurer les options suivantes :
Intégration Active Directory, pour permettre aux utilisateurs d'Active Directory de se connecter à votre console de gestion sur site, d'exploiter des groupes Active Directory et de configurer des groupes d'accès globaux.
l’accès au tunneling proxy à partir des capteurs du réseau OT, améliorant ainsi la sécurité de votre système Defender pour IoT.
haute disponibilité pour les consoles de gestion locales, ce qui réduit le risque sur vos ressources de gestion des capteurs OT
Accéder aux capteurs réseau OT via le tunnel de proxy
Vous pouvez améliorer la sécurité de votre système en empêchant la console de gestion locale d’accéder directement aux capteurs OT.
Dans ce cas, configurez le tunneling proxy sur votre console de gestion locale pour permettre aux utilisateurs de se connecter aux capteurs OT via la console de gestion locale. Par exemple:
Une fois connecté au capteur OT, l’expérience utilisateur reste la même. Pour plus d’informations, consultez Configurer l’accès au capteur OT via le tunneling.
Haute disponibilité pour les consoles de gestion locales
Lors du déploiement d’un système de surveillance OT volumineux avec Defender pour IoT, vous pouvez utiliser une paire de machines primaires et secondaires pour la haute disponibilité sur votre console de gestion locale.
Lors de l’utilisation d’une architecture de haute disponibilité :
| Caractéristique | Description |
|---|---|
| connexions sécurisées | Un certificat SSL/TLS de la console de gestion locale est appliqué pour créer une connexion sécurisée entre les appliances primaires et secondaires. Utilisez un certificat signé par l’autorité de certification ou le certificat auto-signé généré lors de l’installation. Pour plus d’informations, consultez : - exigences de certificat SSL/TLS pour les ressources locales - créer des certificats SSL/TLS pour les appliances OT - Gérer les certificats SSL/TLS |
| sauvegardes de données | Les données de la console de gestion locale principale sont automatiquement sauvegardées dans la console de gestion locale secondaire toutes les 10 minutes. Pour plus d’informations, consultez Sauvegarde et restauration de la console de gestion locale. |
| paramètres système | Les paramètres système définis sur la console de gestion locale principale sont dupliqués sur le serveur secondaire. Par exemple, si les paramètres système sont mis à jour sur le serveur principal, ils sont également mis à jour sur le serveur secondaire. |
Pour plus d’informations, consultez À propos de la haute disponibilité.