Métodos para conectar sensores ao Azure
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.
Use o conteúdo abaixo para saber mais sobre as arquiteturas e os métodos com suporte para conectar sensores do Defender para IoT ao portal do Azure na nuvem.
Os sensores de rede se conectam ao Azure para fornecer dados sobre dispositivos detectados, alertas e integridade do sensor, para acessar pacotes de inteligência contra ameaças e muito mais. Por exemplo, os serviços conectados do Azure incluem o Hub IoT, o Armazenamento de Blobs, os Hubs de Eventos, o Aria e o Centro de Download da Microsoft.
Todos os métodos de conexão fornecem:
Segurança aprimorada, sem configurações de segurança adicionais. Conectar-se ao Azure usando pontos de extremidade específicos e seguros, sem a necessidade de curingas.
Criptografia, o protocolo TLS (TLS1.2/AES-256) fornece comunicação criptografada entre o sensor e os recursos do Azure.
Escalabilidade para novos recursos com suporte apenas na nuvem
Importante
Para garantir que a rede esteja pronta, recomendamos que você execute primeiro suas conexões em um ambiente de laboratório ou teste para que você possa validar com segurança suas configurações de serviço do Azure.
Escolha um método de conexão do sensor
Use esta seção para ajudar a determinar qual método de conexão é adequado para seu sensor Defender para IoT conectado à nuvem.
Se... | ... Em seguida, use |
---|---|
- Você deseja conectar seu sensor diretamente ao Azure | Conexões diretas |
- Seu sensor precisa de um proxy para alcançar a rede de OT para a nuvem ou - Você deseja que vários sensores se conectem ao Azure por meio de um único ponto |
Conexões de proxy com o encadeamento de proxy |
- Você precisa de conectividade privada entre o sensor e o Azure, - Seu site está conectado ao Azure via ExpressRoute ou - Seu site está conectado ao Azure por meio de uma VPN |
Conexões de proxy com um proxy do Azure |
- Você tem sensores hospedados em várias nuvens públicas | Conexões multinuvem |
Observação
Embora a maioria dos métodos de conexão sejam relevantes apenas para sensores de OT, as Conexões diretas também são usadas para Sensores de IoT empresarial.
Conexões diretas
A imagem a seguir mostra como você pode conectar seus sensores ao portal do Defender para IoT no Azure diretamente pela Internet de sites remotos, sem reverter a rede corporativa.
Com conexões diretas:
Todos os sensores conectados aos data centers do Azure diretamente pela Internet ou pelo Azure ExpressRoute têm uma conexão segura e criptografada com os data centers do Azure. O protocolo TLS (TLS1.2/AES-256) fornece comunicação sempre ativa entre o sensor e os recursos do Azure.
O sensor inicia todas as conexões com a portal do Azure. Iniciar conexões somente do sensor protege dispositivos de rede internos de conexões de entrada não solicitadas, mas também significa que você não precisa configurar nenhuma regra de firewall de entrada.
Para obter mais informações, confira o artigo Provisionar sensores para o gerenciamento de nuvem.
Conexões de proxy com o encadeamento de proxy
A imagem a seguir mostra como você pode conectar seus sensores ao portal do Defender para IoT no Azure por meio de vários proxies, usando níveis diferentes do modelo Purdue e a hierarquia de rede corporativa.
Este método dá suporte à conexão de seus sensores com acesso direto à internet, VPN privado ou ExpressRoute. O sensor estabelecerá um túnel criptografo por SSL para transferir dados do sensor para o ponto de extremidade de serviço por meio de vários servidores proxy. O servidor proxy não executa nenhuma inspeção, análise ou armazenamento de dados em cache.
É responsabilidade do cliente configurar e manter serviços de proxy de terceiros com encadeamento de proxy. A Microsoft não oferece suporte para eles.
Para saber mais, confira Conectar por meio do encadeamento de proxy.
Conexões de proxy com um proxy do Azure
A imagem a seguir mostra como conectar os sensores ao portal Defender para IoT no Azure por meio de um proxy na VNET do Azure. Essa configuração garante a confidencialidade da comunicação entre o sensor e o Azure.
Dependendo de sua configuração de rede, você pode acessar a VNET por meio de uma conexão VPN ou uma conexão de ExpressRoute.
Esse método usa um servidor proxy hospedado no Azure. Para lidar com o balanceamento de carga e o failover, o proxy é configurado para escalar automaticamente por trás de um balanceador de carga.
Para saber mais, confira Conectar por meio de um proxy do Azure.
Conexões multinuvem
É possível conectar seus sensores ao portal do defender para IoT no Azure de outras nuvens públicas para o monitoramento do processo de gerenciamento de OT/IoT.
Dependendo da configuração do seu ambiente, você pode se conectar usando um dos seguintes métodos:
ExpressRoute com roteamento gerenciado pelo cliente
ExpressRoute com um provedor de troca de nuvem
Uma VPN site a site pela internet.
Para obter mais informações, consulte Conexão por meio de fornecedores de multinuvem.