Condividi tramite

Informazioni sulla disponibilità elevata (legacy)

  • Articolo

Importante

Defender per IoT consiglia ora di usare i servizi cloud Microsoft o l'infrastruttura IT esistente per il monitoraggio centrale e la gestione dei sensori e prevede di ritirare la console di gestione locale il 1° gennaio 2025.

Per altre informazioni, vedere Distribuire la gestione dei sensori OT ibrida o air-gapped.

Aumentare la resilienza della distribuzione di Defender per IoT configurando la disponibilità elevata nella console di gestione locale. Le distribuzioni a disponibilità elevata assicurano che i sensori gestiti vengano costantemente inviati a una console di gestione locale attiva.

Questa distribuzione viene implementata con una coppia di console di gestione locale che include un'appliance primaria e secondaria.

Nota

In questo documento, la console di gestione locale principale è denominata primaria e l'agente viene definito secondario.

Prerequisiti

Prima di eseguire le procedure descritte in questo articolo, verificare di aver soddisfatto i prerequisiti seguenti:

  • Assicurarsi di disporre di una console di gestione locale installata sia in un'appliance primaria che in un'appliance secondaria.

    • Sia le appliance della console di gestione locale primaria che quella secondaria devono eseguire modelli hardware e versioni software identiche.
    • Per eseguire i comandi dell'interfaccia della riga di comando, è necessario essere in grado di accedere alle console di gestione locali primarie e secondarie come utente con privilegi. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT.

  • Assicurarsi che la console di gestione locale primaria sia completamente configurata, inclusi almeno due sensori di rete OT connessi e visibili nell'interfaccia utente della console, nonché i backup pianificati o le impostazioni VLAN. Tutte le impostazioni vengono applicate automaticamente all'appliance secondaria dopo l'associazione.

  • Assicurarsi che i certificati SSL/TLS soddisfino i criteri richiesti. Per altre informazioni, vedere Requisiti dei certificati SSL/TLS per le risorse locali.

  • Assicurarsi che i criteri di sicurezza dell'organizzazione concedono l'accesso ai servizi seguenti, nella console di gestione locale primaria e secondaria. Questi servizi consentono anche la connessione tra i sensori e la console di gestione locale secondaria:

    Porta Servizio Descrizione
    443 o TCP HTTPS Concede l'accesso alla console Web della console di gestione locale.
    22 o TCP SSH Sincronizza i dati tra le appliance della console di gestione locale primaria e secondaria
    123 o UDP NTP Sincronizzazione dell'ora NTP della console di gestione locale. Verificare che le appliance attive e passive siano definite con lo stesso fuso orario.

Creare la coppia primaria e secondaria

Importante

Eseguire i comandi con sudo solo dove indicato. Se non indicato, non eseguire con sudo.

  1. Accendere le appliance della console di gestione locale primaria e secondaria.

  2. Nell'appliance secondaria seguire questa procedura per copiare i stringa di connessione negli Appunti:

    1. Accedere alla console di gestione locale secondaria e selezionare Impostazioni di sistema.

    2. Nell'area Sensor Setup - Connessione ion String (Imposta sensore - Stringa di Connessione Connessione ion) selezionare il pulsante per visualizzare il stringa di connessione completo.

    3. Il stringa di connessione è composto dall'indirizzo IP e dal token. L'indirizzo IP è prima dei due punti e il token è dopo i due punti. Copiare separatamente l'indirizzo IP e il token. Ad esempio, se il stringa di connessione è 172.10.246.232:a2c4gv9de23f56n078a44e12gf2ce77f, copiare l'indirizzo 172.10.246.232 IP e il token a2c4gv9de23f56n078a44e12gf2ce77f separatamente.

      Screenshot showing to copy each part of the connection string to use in the following command.

  3. Nell'appliance primaria seguire questa procedura per connettere l'appliance secondaria alla replica primaria tramite l'interfaccia della riga di comando:

    1. Accedere alla console di gestione locale primaria tramite SSH per accedere all'interfaccia della riga di comando e quindi eseguire:

      sudo cyberx-management-trusted-hosts-add -ip <Secondary IP> -token <Secondary token>

      dove <Secondary IP> è l'indirizzo IP dell'appliance secondaria ed <Secondary token> è la seconda parte del stringa di connessione dopo i due punti, copiati negli Appunti in precedenza.

      Ad esempio:

      sudo cyberx-management-trusted-hosts-add -ip 172.10.246.232 -token a2c4gv9de23f56n078a44e12gf2ce77f

      L'indirizzo IP viene convalidato, il certificato SSL/TLS viene scaricato nell'appliance primaria e tutti i sensori connessi all'appliance primaria sono connessi all'appliance secondaria.

    2. Applicare le modifiche nell'appliance primaria. Terza fase

      sudo cyberx-management-trusted-hosts-apply

    3. Verificare che il certificato sia installato correttamente nell'appliance primaria. Terza fase

      cyberx-management-trusted-hosts-list

  4. Consentire la connessione tra il processo di backup e ripristino delle appliance primarie e secondarie:

    • Nell'appliance primaria eseguire:

      cyberx-management-deploy-ssh-key <secondary appliance IP address>

    • Nell'appliance secondaria accedere tramite SSH per accedere all'interfaccia della riga di comando ed eseguire:

      cyberx-management-deploy-ssh-key <primary appliance IP address>

  5. Verificare che le modifiche siano state applicate nell'appliance secondaria. Nell'appliance secondaria eseguire:

    cyberx-management-trusted-hosts-list

Tenere traccia dell'attività a disponibilità elevata

I log principali delle applicazioni possono essere esportati nel team di supporto di Defender per IoT per gestire eventuali problemi di disponibilità elevata.

Per accedere ai log principali:

  1. Accedere alla console di gestione locale e selezionare System Impostazioni Export (Sistema Impostazioni> Export). Per altre informazioni sull'esportazione dei log da inviare al team di supporto, vedere Esportare i log dalla console di gestione locale per la risoluzione dei problemi.

Aggiornare la console di gestione locale con disponibilità elevata

Per aggiornare una console di gestione locale con disponibilità elevata configurata, è necessario:

  1. Disconnettere la disponibilità elevata dalle appliance primarie e secondarie.
  2. Aggiornare le appliance alla nuova versione.
  3. Riconfigurare la disponibilità elevata in entrambe le appliance.

Eseguire l'aggiornamento nell'ordine seguente. Assicurarsi che ogni passaggio sia completato prima di iniziare un nuovo passaggio.

Per aggiornare una console di gestione locale con disponibilità elevata configurata:

  1. Disconnettere la disponibilità elevata dalle appliance primarie e secondarie:

    Nel database primario:

    1. Ottenere l'elenco delle appliance attualmente connesse. Terza fase

      cyberx-management-trusted-hosts-list

    2. Trovare il dominio associato all'appliance secondaria e copiarlo negli Appunti. Ad esempio:

      Screenshot showing the domain associated with the secondary appliance.

    3. Rimuovere il dominio secondario dall'elenco di host attendibili. Terza fase

      sudo cyberx-management-trusted-hosts-remove -d [Secondary domain]

    4. Verificare che il certificato sia installato correttamente. Terza fase

      sudo cyberx-management-trusted-hosts-apply

    Nel database secondario:

    1. Ottenere l'elenco delle appliance attualmente connesse. Terza fase

      cyberx-management-trusted-hosts-list

    2. Trovare il dominio associato all'appliance primaria e copiarlo negli Appunti.

    3. Rimuovere il dominio primario dall'elenco di host attendibili. Terza fase

      sudo cyberx-management-trusted-hosts-remove -d [Primary domain]

    4. Verificare che il certificato sia installato correttamente. Terza fase

      sudo cyberx-management-trusted-hosts-apply

  2. Aggiornare le appliance primarie e secondarie alla nuova versione. Per altre informazioni, vedere Aggiornare una console di gestione locale.

  3. Configurare di nuovo la disponibilità elevata nelle appliance primarie e secondarie. Per altre informazioni, vedere Creare la coppia primaria e secondaria.

Processo di failover

Dopo aver configurato la disponibilità elevata, i sensori OT si connettono automaticamente a una console di gestione locale secondaria se non riesce a connettersi al database primario. Se meno della metà dei sensori OT comunicano attualmente con il computer secondario, il sistema è supportato contemporaneamente dai computer primari e secondari. Se più della metà dei sensori OT comunica con la macchina secondaria, la macchina secondaria acquisisce tutte le comunicazioni del sensore OT. Il failover dal server primario al computer secondario richiede circa tre minuti.

Quando si verifica il failover, la console di gestione locale primaria si blocca ed è possibile accedere al database secondario usando le stesse credenziali di accesso.

Durante il failover, i sensori continuano a tentare di comunicare con l'appliance primaria. Quando più della metà dei sensori gestiti riesce a comunicare con il database primario, viene ripristinato il database primario. Quando viene ripristinato il database primario, viene visualizzato il messaggio seguente nella console secondaria:

Screenshot of a message that appears at the secondary console when the primary is restored.

Accedere nuovamente all'appliance primaria dopo il reindirizzamento.

Gestire i file di attivazione scaduti

I file di attivazione possono essere aggiornati solo nella console di gestione locale primaria.

Prima che il file di attivazione scada nel computer secondario, definirlo come computer primario in modo da poter aggiornare la licenza.

Per altre informazioni, vedere Caricare un nuovo file di attivazione.

Passaggi successivi

Per altre informazioni, vedere Attivare e configurare una console di gestione locale.