部署空封 OT 感測器管理 (舊版)
重要
適用於 IoT 的 Defender 現在建議使用 Microsoft 雲端服務或現有的 IT 基礎結構進行集中監視和感測器管理,
如需詳細資訊,請參閱 部署混合式或隔離的 OT 感測器管理。
當您使用多個無法由 Azure 入口網站管理的隔離 OT 感測器時,建議您部署本地管理控制台來管理這些感測器。
下圖說明部署內部部署管理控制台中包含的步驟。 深入瞭解下列各節中的每個部署步驟,包括相關交叉參考以取得詳細數據。
部署本地管理控制台是由您的部署團隊完成。 您可以在部署 OT 感測器之前、之後或同時部署內部部署的管理主控台。
部署步驟
| 步 | 描述 |
|---|---|
| 準備內部部署管理控制台設備 | 如同您 為 OT 感測器準備內部部署裝置,請為內部部署管理控制台準備設備。 若要為生產環境部署 CA 簽署的憑證,請務必也準備您的憑證。 |
| 安裝 Microsoft Defender for IoT 內部部署管理控制台軟體 | 從 Azure 入口網站下載安裝軟體,並將其安裝在您的內部部署管理控制台設備上。 |
| 啟動並設定內部部署管理主控台 | 使用從 Azure 入口網站下載的啟用檔案來啟用您的內部部署管理主控台。 |
| 在本地管理控管台上建立OT站點和區域 | 如果您正在使用大型的物理隔離的部署,建議您在內部部署管理主控台上建立網站和區域,以協助您監控跨網路區段的未經授權流量,這也是根據 零信任 原則部署 IoT 版 Defender 的一部分。 |
| 將 OT 網路感測器連線到內部部署管理控制台 | 將您的隔離網路的 OT 感測器連接到內部部署管理控制台,以查看匯總的資料,並配置所有連線系統的其他設定。 |
注意
在 Azure 入口網站上設定的網站和區域不會與在內部部署管理控制臺上設定的 網站和區域同步處理。
使用大型部署時,建議您使用 Azure 入口網站來管理雲端連線的感測器,以及內部部署管理控制台來管理本機管理的感測器。
選擇性組態
部署內部部署管理主控台時,您可能也想要設定下列選項:
Active Directory 整合,讓 Active Directory 用戶能夠登入您的內部部署管理控制台、使用 Active Directory 群組,以及設定全域存取群組。
透過代理隧道從 OT 網路感測器進行存取,提升整個 IoT Defender 系統的安全性。
內部部署管理控制台的高可用性,降低OT感測器管理資源的風險
透過 Proxy 通道存取 OT 網路感測器
您可能會想要防止內部部署管理控制台直接存取 OT 感測器,來增強系統安全性。
在這種情況下,請在內部部署管理控制台上設定 Proxy 通道,以允許使用者透過內部部署管理控制台連線到 OT 感測器。 例如:
登入 OT 感測器之後,用戶體驗會維持不變。 如需詳細資訊,請參閱 透過通道設定OT感測器存取。
內部部署管理主控台的高可用性
使用適用於IoT的Defender部署大型OT監視系統時,您可能會想要在內部部署管理控制臺上使用一對主要和次要機器,以取得高可用性。
使用高可用性架構時:
| 特徵 | 描述 |
|---|---|
| 安全連線 | 內部部署管理控制台的 SSL/TLS 憑證會被套用,以在主要和次要設施之間建立安全連線。 使用 CA 簽署的憑證或安裝期間產生的自我簽署憑證。 如需詳細資訊,請參閱: - 內部部署資源的 SSL/TLS 憑證需求 - 為 OT 設備建立 SSL/TLS 憑證 - 管理 SSL/TLS 憑證 |
| 數據備份 | 主要內部部署管理主控台資料會每隔 10 分鐘自動備份到次要內部部署管理主控台。 如需詳細資訊,請參閱 備份和還原內部部署管理主控台。 |
| 系統設定 | 主要內部部署管理控制台上定義的系統設定會在次要伺服器上重複。 例如,如果系統設定在主系統上更新,它們也會在次系統上更新。 |
如需詳細資訊,請參閱 關於高可用性。