Konfigurieren von Proxyeinstellungen auf einem OT-Sensor

Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird. Außerdem wird erläutert, wie Sie Proxyeinstellungen auf Ihrem OT-Sensor für eine Verbindung mit Azure konfigurieren.

Sie können diesen Schritt in folgenden Fällen überspringen:

• Wenn Sie in einer nicht verbundenen Umgebung und mit lokal verwalteten Sensoren arbeiten

• Wenn Sie eine direkte Verbindung zwischen Ihrem OT-Sensor und Azure verwenden In diesem Fall haben Sie beim Bereitstellen des Sensor für die Cloudverwaltung bereits alle erforderlichen Schritte ausgeführt.

Voraussetzungen

Um die in diesem Artikel beschriebenen Schritte durchzuführen, benötigen Sie Folgendes:

• Ein installierter, konfigurierter und aktivierter OT-Netzwerksensor.

• Verständnis der unterstützten Verbindungsmethoden für mit der Cloud verbundene Defender for IoT-Sensoren und einen Plan für Ihre OT-Standortbereitstellung, der die Verbindungsmethode enthält, die Sie für jeden Sensor verwenden möchten.

• Zugriff als Administrator auf den OT-Sensor. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.

Dieser Schritt wird von Ihren Bereitstellungs- und Konnektivitätsteams ausgeführt.

Konfigurieren von Proxyeinstellungen auf Ihrem OT-Sensor

In diesem Abschnitt wird beschrieben, wie Sie in Ihrer OT-Sensorkonsole Einstellungen für einen vorhandenen Proxy konfigurieren. Wenn Sie noch keinen Proxy haben, konfigurieren Sie einen Proxy mit den folgenden Verfahren:

• Einrichten eines Azure-Proxys
• Verbinden über Proxy-Verkettung
• Einrichten der Konnektivität für Multicloudumgebungen

So konfigurieren Sie Proxyeinstellungen auf Ihrem OT-Sensor:

1. Melden Sie sich beim OT-Sensor an, und wählen Sie Systemeinstellungen > Sensornetzwerkeinstellungen aus.

2. Schalten Sie die Option Proxy aktivieren ein, und geben Sie dann die folgenden Details für Ihren Proxyserver ein:

   • Proxyhost
   • Proxyport
   • Proxybenutzername (optional)
   • Proxykennwort (optional)

   Beispiel:

   

3. Wählen Sie ggf. Clientzertifikat aus, um ein Proxyauthentifizierungszertifikat für den Zugriff auf einen SSL/TLS-Proxyserver hochzuladen.

   Hinweis

   Ein SSL/TLS-Clientzertifikat ist für Proxyserver erforderlich, die SSL/TLS-Datenverkehr untersuchen, z. B. bei Verwendung von Diensten wie Zscaler und Palo Alto Prisma.

4. Wählen Sie Speichern aus.

Einrichten eines Azure-Proxys

In den folgenden Situationen können Sie einen Azure-Proxy verwenden, um Ihren Sensor mit Defender for IoT zu verbinden:

• Sie benötigen private Konnektivität zwischen Ihrem Sensor und Azure
• Ihre Site ist über ExpressRoute mit Azure verbunden
• Ihre Site ist über ein VPN mit Azure verbunden

Wenn Sie bereits einen Proxy konfiguriert haben, fahren Sie direkt mit Definieren der Proxyeinstellungen in Ihrer Sensorkonsole fort.

Wenn Sie noch keinen Proxy konfiguriert haben, verwenden Sie die Verfahren in diesem Abschnitt, um einen Proxy in Ihrem Azure-VNet einzurichten.

Voraussetzungen

Stellen Sie zunächst sicher, dass Sie über Folgendes verfügen:

• Einen Log Analytics-Arbeitsbereich für die Überwachung von Protokollen

• Remotestandortkonnektivität mit dem Azure-VNET

• Ausgehender HTTPS-Datenverkehr an Port 443 vom Sensor zu den erforderlichen Endpunkten für Defender for IoT wird zugelassen. Weitere Informationen finden Sie unter Bereitstellen von OT-Sensoren für die Cloudverwaltung.

• Eine Proxyserverressource mit Firewallberechtigungen für den Zugriff auf Microsoft Cloud Services. Für das in diesem Artikel beschriebene Verfahren wird ein in Azure gehosteter Squid-Server verwendet.

Wichtig

Microsoft Defender für IoT bietet keine Unterstützung für Squid oder einen anderen Proxydienst. Es liegt in der Verantwortung des Kunden, den Proxydienst einzurichten und zu verwalten.

Konfigurieren der Sensorproxyeinstellungen

In diesem Abschnitt wird beschrieben, wie Sie einen Proxy in Ihrem Azure-VNet für die Verwendung mit einem OT-Sensor konfigurieren. Dies umfasst die folgenden Schritte:

1. Erstellen eines Speicherkontos für NSG-Protokolle
2. Definieren von virtuellen Netzwerken und Subnetzen
3. Definieren eines Gateways für virtuelle oder lokale Netzwerke
4. Definieren von Netzwerksicherheitsgruppen
5. Definieren einer Azure-VM-Skalierungsgruppe
6. Erstellen eines Azure Load Balancer-Instanz
7. Konfigurieren eines NAT-Gateways

Schritt 1: Definieren eines Speicherkontos für NSG-Protokolle

Erstellen Sie im Azure-Portal mit den folgenden Einstellungen ein neues Speicherkonto:

Bereich	Einstellungen
Grundlagen	Leistung: Standard Kontoart: Blob Storage Replikation: LRS
Network	Konnektivitätsmethode: Öffentlicher Endpunkt (ausgewähltes Netzwerk) In virtuellen Netzwerken: Keine Routingpräferenz: Microsoft Netzwerkrouting
Schutz von Daten	Alle Optionen freilassen
Erweitert	Alle Standardwerte belassen

Schritt 2: Definieren von virtuellen Netzwerken und Subnetzen

Erstellen Sie das folgende VNET und die enthaltenen Subnetze:

Name	Empfohlene Größe
MD4IoT-VNET	/26 oder /25 mit Bastion
Subnetze:
- GatewaySubnet	/27
- ProxyserverSubnet	/27
- AzureBastionSubnet (optional)	/26

Schritt 3: Definieren eines Gateways für virtuelle oder lokale Netzwerke

Erstellen Sie ein VPN- oder ExpressRoute-Gateway für virtuelle Gateways oder ein lokales Gateway, je nachdem, wie Sie Ihr lokales Netzwerk mit Azure verbinden.

Verbinden Sie das Gateway mit dem GatewaySubnet Subnetz, das Sie zuvor erstellt haben.

Weitere Informationen finden Sie unter

• Informationen zu VPN-Gateways
• Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung mithilfe des Portals
• Ändern der Einstellungen des lokalen Netzwerkgateways mithilfe des Azure-Portals

Schritt 4: Definieren von Netzwerksicherheitsgruppen

1. Erstellen Sie eine NSG, und definieren Sie die folgenden Eingehenden Regeln:

   • Erstellen Sie Regel 100, um Datenverkehr zwischen Ihren Sensoren (den Quellen) und der privaten IP-Adresse des Lastenausgleichs (das Ziel) zuzulassen. Verwenden Sie Port tcp3128.

   • Erstellen Sie Regel 4095 als Duplikat der 65001-Systemregel. Der Grund hierfür ist, dass die Regel 65001 durch die Regel 4096überschrieben wird.

   • Erstellen Sie Regel 4096, um den gesamten Datenverkehr für die Mikrosegmentierung zu verweigern.

   • Optional. Wenn Sie einen Bastionhost verwenden, erstellen Sie Regel 4094, um Bastion SSH für die Server zuzulassen. Verwenden Sie das Bastion-Subnetz als Quelle.

2. Weisen Sie die NSG dem ProxyserverSubnet zu, das Sie zuvor erstellt haben.

3. Definieren Sie die NSG-Protokollierung:

   1. Wählen Sie die neue NSG aus, und klicken Sie auf Diagnoseeinstellungen> Diagnoseeinstellung hinzufügen.

   2. Geben Sie einen Namen für die Diagnoseeinstellung ein. Wählen Sie unter Kategorie die Option allLogs.

   3. Wählen Sie An Log Analytics-Arbeitsbereich gesendet und dann den Log Analytics-Arbeitsbereich aus, den Sie verwenden möchten.

   4. Wählen Sie diese Option aus, um NSG-Flussprotokolle zu senden , und definieren Sie dann die folgenden Werte:

      Gehen Sie auf der Registerkarte „Grundlagen“ folgendermaßen vor:

      • Geben Sie einen aussagekräftigen Namen für Ihre App ein.
      • Wählen Sie das zuvor erstellte Speicherkonto aus.
      • Definieren Sie die erforderlichen Aufbewahrungstage.

      Gehen Sie auf der Registerkarte „Konfiguration“ fogendermaßen vor:

      • Wählen Sie Version 2 aus.
      • Wählen Sie Traffic Analytics aktivieren aus.
      • Auswählen Ihres Log Analytics-Arbeitsbereichs

Schritt 5: Definieren einer Azure-VM-Skalierungsgruppe

Definieren Sie eine Azure-VM-Skalierungsgruppe, um eine Gruppe virtueller Computer mit Lastenausgleich zu erstellen und zu verwalten, in der Sie die Anzahl der virtuellen Computer bei Bedarf automatisch erhöhen oder verringern können.

Weitere Informationen finden Sie unter Was sind VM-Skalierungsgruppen?.

So erstellen Sie eine Skalierungsgruppe, die mit Ihrer Sensorverbindung verwendet werden soll:

1. Erstellen Sie eine Skalierungsgruppe mit den folgenden Parameterdefinitionen:

   • Orchestrierungsmodus: Uniform
   • Sicherheitstyp: Standard
   • Image: Ubuntu Server 18.04 LTS – Gen1
   • Größe: Standard_DS1_V2
   • Authentifizierung: Basierend auf Ihrem Unternehmensstandard

   Behalten Sie den Standardwert für Datenträgereinstellungen bei.

2. Erstellen Sie eine Netzwerkschnittstelle in dem Proxyserver-Subnetz, das Sie zuvor erstellt haben, aber definieren Sie noch keinen Lastenausgleich.

3. Definieren Sie Ihre Skalierungseinstellungen wie folgt:

   • Definieren der anfänglichen Anzahl der Instanzen als 1
   • Definieren der Skalierungsrichtlinie als manuell

4. Definieren Sie die folgenden Verwaltungseinstellungen:

   • Wählen Sie für den Upgrademodus Automatisch -Die Instanz beginnt mit dem Upgrade aus
   • Deaktivieren der Startdiagnose
   • Löschen Sie die Einstellungen für Identitätund Microsoft Entra ID
   • Wählen Sie Überbereitstellung aus
   • Wählen Sie Automatische Betriebssystemupgrades aktiviert aus

5. Definieren Sie die folgenden Integritätseinstellungen:

   • Wählen Sie Integritätsüberwachung für Anwendung aktivieren aus
   • Wählen Sie das Protokoll TCP und Port 3128 aus.

6. Definieren Sie unter den erweiterten Einstellungen den Zuweisungsalgorithmus als Maximale Verteilung.

7. Gehen Sie für das benutzerdefinierte Datenskript wie folgt vor:

   1. Erstellen Sie je nach dem Port und den Diensten, die Sie verwenden, das folgende Konfigurationsskript:

      # Recommended minimum configuration:
      # Squid listening port
      http_port 3128
      # Do not allow caching
      cache deny all
      # allowlist sites allowed
      acl allowed_http_sites dstdomain .azure-devices.net
      acl allowed_http_sites dstdomain .blob.core.windows.net
      acl allowed_http_sites dstdomain .servicebus.windows.net
      acl allowed_http_sites dstdomain .download.microsoft.com
      http_access allow allowed_http_sites
      # allowlisting
      acl SSL_ports port 443
      acl CONNECT method CONNECT
      # Deny CONNECT to other unsecure ports
      http_access deny CONNECT !SSL_ports
      # default network rules
      http_access allow localhost
      http_access deny all
      

   2. Codieren Sie den Inhalt Ihrer Skriptdatei in base-64.

   3. Kopieren Sie den Inhalt der codierten Datei, und erstellen Sie dann das folgende Konfigurationsskript:

      #cloud-config
      # updates packages
      apt_upgrade: true
      # Install squid packages
      packages:
       - squid
      run cmd:
       - systemctl stop squid
       - mv /etc/squid/squid.conf /etc/squid/squid.conf.factory
      write_files:
      - encoding: b64
        content: <replace with base64 encoded text>
        path: /etc/squid/squid.conf
        permissions: '0644'
      run cmd:
       - systemctl start squid
       - apt-get -y upgrade; [ -e /var/run/reboot-required ] && reboot
      

Schritt 6: Erstellen einer Azure Load Balancer-Instanz

Azure Load Balancer ist ein Layer-4-Lastenausgleich, der eingehenden Datenverkehr mithilfe eines hashbasierten Verteilungsalgorithmus auf fehlerfreie Instanzen virtueller Computer verteilt.

Weitere Informationen finden Sie in der Dokumentation zu Azure Load Balancer.

So erstellen Sie einen Azure Lastenausgleich für Ihre Sensorverbindung:

1. Erstellen Sie einen Lastenausgleich mit einer Standard-SKU und einem internen Typ, um sicherzustellen, dass der Lastenausgleich für das Internet geschlossen ist.

2. Definieren Sie eine dynamische Front-End-IP-Adresse in dem proxysrv-Subnetz, das Sie zuvor erstellt haben, und legen Sie die Verfügbarkeit auf zonenredundant fest.

3. Wählen Sie als Back-End die VM-Skalierungsgruppe aus, die Sie in zuvor erstellt haben.

4. Erstellen Sie auf dem im Sensor definierten Port eine TCP-Lastenausgleichsregel, die die Front-End-IP-Adresse mit dem Back-End-Pool verbindet. Der Standardport lautet 3128.

5. Erstellen Sie einen neuen Integritätstest, und definieren Sie einen TCP-Integritätstest auf Port 3128.

6. Definieren Sie Ihre Load Balancer-Protokollierung:

   1. Navigieren Sie im Azure-Portal zu dem von Ihnen erstellten Lastenausgleich.

   2. Wählen Sie Diagnoseeinstellung>Diagnoseeinstellung hinzufügen.

   3. Geben Sie einen aussagekräftigen Namen ein, und legen Sie die Kategorie als allMetrics fest.

   4. Wählen Sie An Log Analytics-Arbeitsbereich gesendet und dann den Log Analytics-Arbeitsbereich aus.

Schritt 7: Konfigurieren eines NAT-Gateways

So konfigurieren Sie ein NAT-Gateway für Ihre Sensorverbindung:

1. Erstellen Sie ein neues NAT Gateway.

2. Wählen Sie auf der Registerkarte Ausgehende IP-Adresse die Option Neue öffentliche IP-Adresse erstellen aus.

3. Wählen Sie auf der Registerkarte Subnetz das ProxyserverSubnet-Subnetz aus, das Sie zuvor erstellt haben.

Ihr Proxy ist jetzt vollständig konfiguriert. Fahren Sie fort, indem Sie die Proxyeinstellungen auf Ihrem OT-Sensor definieren.

Verbinden über Proxy-Verkettung

In den folgenden Situationen können Sie in Azure Ihren Sensor mithilfe von Proxyverkettung mit Defender for IoT verbinden:

• Ihr Sensor benötigt einen Proxy, um aus dem OT-Netzwerk in die Cloud zu gelangen
• Sie möchten, dass mehrere Sensoren über einen einzelnen Punkt eine Verbindung mit Azure herstellen.

Wenn Sie bereits einen Proxy konfiguriert haben, fahren Sie direkt mit Definieren der Proxyeinstellungen in Ihrer Sensorkonsole fort.

Wenn Sie noch keinen Proxy konfiguriert haben, verwenden Sie die Verfahren in diesem Abschnitt, um Ihre Proxyverkettung zu konfigurieren.

Weitere Informationen finden Sie unter Proxyverbindungen per Proxy-Verkettung.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass sie über einen Hostserver verfügen, auf dem ein Proxyprozess innerhalb des Standortnetzwerks ausgeführt wird. Der Proxyprozess muss sowohl für den Sensor als auch für den nächsten Proxy in der Kette zugänglich sein.

Wir haben dieses Verfahren mithilfe des Open-Source-Proxys Squid überprüft. Dieser Proxy verwendet HTTP-Tunneling und den HTTP CONNECT-Befehl für die Konnektivität. Jede andere Proxy-Verkettung, die den CONNECT-Befehl unterstützt, kann für diese Verbindungsmethode verwendet werden.

Wichtig

Microsoft Defender für IoT bietet keine Unterstützung für Squid oder einen anderen Proxydienst. Es liegt in der Verantwortung des Kunden, den Proxydienst einzurichten und zu verwalten.

Konfigurieren einer Proxyverkettungsverbindung

In diesem Verfahren wird beschrieben, wie Sie eine Verbindung zwischen Ihren Sensoren und Defender für IoT mithilfe der neuesten Version von Squid auf einem Ubuntu-Server installieren und konfigurieren.

1. Definieren Sie Ihre Proxyeinstellungen auf jedem der Sensoren:

   1. Melden Sie sich beim OT-Sensor an, und wählen Sie Systemeinstellungen > Sensornetzwerkeinstellungen aus.

   2. Schalten Sie die Option Proxy aktivieren ein, und legen Sie Ihren Proxyhost, Port, Benutzernamen und Ihr Kennwort fest.

2. Installieren Sie den Squid-Proxy:

   1. Melden Sie sich bei Ihrem Ubuntu-Proxycomputer an, und starten Sie ein Terminalfenster.

   2. Aktualisieren Sie Ihr System, und installieren Sie Squid. Beispiel:

      sudo apt-get update
      sudo apt-get install squid
      

   3. Suchen Sie die Squid-Konfigurationsdatei. Beispielsweise unter /etc/squid/squid.conf oder /etc/squid/conf.d/, und öffnen Sie die Datei in einem Text-Editor.

   4. Suchen Sie in der Squid-Konfigurationsdatei nach folgendem Text: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS.

   5. Fügen Sie acl <sensor-name> src <sensor-ip> und http_access allow <sensor-name> in die Datei ein. Beispiel:

      # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
      acl sensor1 src 10.100.100.1
      http_access allow sensor1
      

      Fügen Sie bei Bedarf weitere Sensoren hinzu, indem Sie zusätzliche Zeilen für den Sensor hinzufügen.

   6. Konfigurieren Sie den Squid-Dienst, sodass er beim Start ausgeführt wird. Führen Sie Folgendes aus:

      sudo systemctl enable squid
      

3. Verbinden Sie Ihren Proxy mit Defender für IoT. Stellen Sie sicher, dass ausgehender HTTPS-Datenverkehr an Port 443 vom Sensor zu den erforderlichen Endpunkten für Defender for IoT zugelassen wird.

   Weitere Informationen finden Sie unter Bereitstellen von OT-Sensoren für die Cloudverwaltung.

Ihr Proxy ist jetzt vollständig konfiguriert. Fahren Sie fort, indem Sie die Proxyeinstellungen auf Ihrem OT-Sensor definieren.

Einrichten der Konnektivität für Multicloudumgebungen

In diesem Abschnitt wird beschrieben, wie Sie Ihren Sensor von Sensoren, die in einer oder mehrere öffentliche Clouds bereitgestellt werden, mit Defender für IoT in Azure verbinden. Weitere Informationen finden Sie unter Multi-Cloud-Verbindungen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie einen Sensor in einer öffentlichen Cloud wie z. B. AWS oder Google Cloud bereitgestellt und für die Überwachung des SPAN-Datenverkehrs konfiguriert haben.

Auswählen einer Multicloud-Konnektivitätsmethode

Sie können die geeignete Konnektivitätsmethode anhand des folgenden Flussdiagramms ermitteln:

• Verwenden Sie öffentliche IP-Adressen über das Internet, wenn Sie keine Daten über private IP-Adressen austauschen müssen.

• Verwenden Sie Site-to-Site-VPN über das Internet nur dann, wenn Sie keine* der folgenden Anforderungen benötigen:

  • Vorhersagbarer Durchsatz
  • SLA
  • Übertragungen mit hohem Datenvolumen
  • Vermeiden von Verbindungen über das öffentliche Internet

• Verwenden Sie ExpressRoute, wenn Sie vorhersagbaren Durchsatz, SLAs, Übertragungen mit hohem Datenvolumen benötigen oder Verbindungen über das öffentliche Internet vermeiden möchten.

  In diesem Fall:

  • Wenn Sie die Router besitzen und verwalten möchten, die die Verbindung herstellen, verwenden Sie ExpressRoute mit kundenseitig verwaltetem Routing.
  • Wenn Sie dies nicht möchten, verwenden Sie ExpressRoute mit einem Cloud Exchange-Anbieter.

Konfiguration

1. Konfigurieren Sie Ihren Sensor für die Verbindung mit der Cloud mithilfe einer der empfohlenen Azure Cloud Adoption Framework-Methoden. Weitere Informationen finden Sie unter Konnektivität mit anderen Cloudanbietern

2. Um die private Konnektivität zwischen Ihren VPCs und Defender für IoT zu ermöglichen, verbinden Sie Ihren VPC über eine VPN-Verbindung mit einem Azure-VNET. Wenn Sie beispielsweise eine Verbindung von einem AWS VPC aus herstellen, lesen Sie unseren TechCommunity-Blog: How to create a VPN between Azure and AWS using only managed solutions (Erstellen eines VPN zwischen Azure und AWS nur mithilfe von verwalteten Lösungen).

3. Nachdem Ihre VPC und das VNet konfiguriert wurden, definieren Sie die Proxyeinstellungen auf Ihrem OT-Sensor.

Nächste Schritte

Es wird empfohlen, eine Active Directory-Verbindung für die Verwaltung lokaler Benutzer*innen auf Ihrem OT-Sensor zu konfigurieren und darüber hinaus die Überwachung der Sensorintegrität über SNMP einzurichten.

Wenn Sie diese Einstellungen während der Bereitstellung nicht konfigurieren, können Sie dies auch später erledigen. Weitere Informationen finden Sie unter:

• Einrichten der SNMP MIB-Überwachung auf einem OT-Sensor
• Konfigurieren einer Active Directory-Verbindung

« Konfigurieren der Anfangseinstellungen und Aktivieren des OT-Netzwerksensors

Steuern des von Microsoft Defender for IoT überwachten OT-Datenverkehrs »