Wdrażanie odizolowanego zarządzania czujnikami OT (wersja legacy)
Ważny
Usługa Defender for IoT zaleca teraz używanie usług w chmurze firmy Microsoft lub istniejącej infrastruktury IT do centralnego monitorowania i zarządzania czujnikami, a planuje wycofanie lokalnej konsoli zarządzania1 stycznia 2025 r..
Aby uzyskać więcej informacji, zobacz wdrażanie zarządzania hybrydowymi lub odizolowanymi czujnikami OT .
Podczas pracy z wieloma odizolowanymi czujnikami OT, które nie mogą być zarządzane przez portal Azure, zalecamy wdrożenie lokalnej konsoli zarządzania w celu zarządzania odizolowanymi czujnikami OT.
Na poniższej ilustracji opisano kroki zawarte w wdrażaniu lokalnej konsoli zarządzania. Dowiedz się więcej o każdym kroku wdrażania w poniższych sekcjach, w tym o odpowiednich odwołaniach krzyżowych, aby uzyskać więcej szczegółów.
Wdrażanie lokalnej konsoli zarządzania odbywa się przez zespół wdrożeniowy. Lokalną konsolę zarządzania można wdrożyć przed lub po wdrożeniu czujników OT lub równolegle.
Kroki wdrażania
| Krok | Opis |
|---|---|
| Przygotowanie lokalnego urządzenia konsoli zarządzania | Podobnie jak przygotowałeś urządzenie lokalne (appliance) dla czujników OT, przygotuj urządzenie do lokalnej konsoli zarządzania. Aby wdrożyć certyfikat podpisany przez urząd certyfikacji do środowisk produkcyjnych, przygotuj również swój certyfikat. |
| instalowanie lokalnego oprogramowania konsoli zarządzania Microsoft Defender dla IoT | Pobierz oprogramowanie instalacyjne z witryny Azure Portal i zainstaluj je na lokalnym urządzeniu konsoli zarządzania. |
| uaktywnić i skonfigurować lokalną konsolę zarządzania | Użyj pliku aktywacji pobranego z witryny Azure Portal, aby aktywować lokalną konsolę zarządzania. |
| tworzenie lokacji i stref OT w lokalnej konsoli zarządzania | Jeśli pracujesz z dużym wdrożeniem w izolowanym środowisku, zalecamy utworzenie lokacji i stref w lokalnej konsoli zarządzania, które ułatwiają monitorowanie nieautoryzowanego ruchu przekraczającego segmenty sieciowe i są częścią wdrażania usługi Defender for IoT zgodnie z zasadami Zero Trust. |
| Połącz czujniki sieciowe OT z lokalną konsolą zarządzania | Połącz odizolowane czujniki OT z lokalną konsolą zarządzania, aby wyświetlić zagregowane dane i skonfigurować dalsze ustawienia we wszystkich połączonych systemach. |
Notatka
Lokacje i strefy skonfigurowane w witrynie Azure Portal nie są synchronizowane z lokacjami i strefami skonfigurowanymi w lokalnej konsoli zarządzania.
Podczas pracy z dużym wdrożeniem zalecamy korzystanie z portalu Azure do zarządzania czujnikami podłączonymi do chmury oraz lokalną konsolą zarządzania do zarządzania lokalnymi czujnikami.
Konfiguracje opcjonalne
Podczas wdrażania lokalnej konsoli zarządzania można również skonfigurować następujące opcje:
integracji usługi Active Directory, aby umożliwić użytkownikom usługi Active Directory logowanie się do lokalnej konsoli zarządzania, używanie grup usługi Active Directory i konfigurowanie globalnych grup dostępu.
dostęp do tunelowania serwera proxy z czujników sieci OT, zwiększając bezpieczeństwo systemu w systemie Defender for IoT
wysokiej dostępności dla lokalnych konsol zarządzania, obniżając ryzyko związane z zasobami zarządzania czujnikami OT
Dostęp do czujników sieci OT za pośrednictwem tunelowania proxy
Warto zwiększyć bezpieczeństwo systemu, uniemożliwiając lokalnej konsoli zarządzania bezpośredni dostęp do czujników OT.
W takich przypadkach skonfiguruj tunelowanie serwera proxy w lokalnej konsoli zarządzania, aby umożliwić użytkownikom łączenie się z czujnikami OT za pośrednictwem lokalnej konsoli zarządzania. Na przykład:
Po zalogowaniu się do czujnika OT środowisko użytkownika pozostaje takie samo. Aby uzyskać więcej informacji, zobacz Skonfiguruj dostęp do czujnika OT przez tunelowanie.
Wysoka dostępność lokalnych konsol zarządzania
Podczas wdrażania dużego systemu monitorowania OT za pomocą usługi Defender dla IoT można użyć pary maszyn podstawowych i pomocniczych w celu zapewnienia wysokiej dostępności w lokalnej konsoli zarządzania.
W przypadku korzystania z architektury wysokiej dostępności:
| Cecha | Opis |
|---|---|
| Bezpieczne połączenia | Aby utworzyć bezpieczne połączenie między głównymi i podrzędnymi urządzeniami, stosowany jest certyfikat SSL/TLS konsoli zarządzania dostępnej na miejscu. Użyj certyfikatu podpisanego przez urząd certyfikacji lub certyfikatu z podpisem własnym wygenerowanego podczas instalacji. Aby uzyskać więcej informacji, zobacz: - wymagania dotyczące certyfikatów SSL/TLS dla zasobów lokalnych - tworzenie certyfikatów SSL/TLS dla urządzeń OT - zarządzanie certyfikatami SSL/TLS |
| kopie zapasowe danych | Dane głównej lokalnej konsoli zarządzania są automatycznie kopiowane do wtórnej lokalnej konsoli zarządzania co 10 minut. Aby uzyskać więcej informacji, zobacz Kopia zapasowa i przywracanie lokalnej konsoli zarządzania. |
| ustawienia systemu | Ustawienia systemowe zdefiniowane w podstawowej lokalnej konsoli zarządzania są zduplikowane w pomocniczej. Jeśli na przykład ustawienia systemowe są aktualizowane na systemie głównym, są również aktualizowane na systemie zapasowym. |
Aby uzyskać więcej informacji, zobacz Informacje o wysokiej dostępności.