Sambungkan sensor OT Anda ke cloud

Artikel ini menjelaskan cara menyambungkan sensor Anda ke portal Defender untuk IoT di Azure.

Untuk informasi selengkapnya terkait setiap metode koneksi, lihat Metode koneksi sensor.

Memilih metode koneksi sensor

Gunakan bagian ini untuk membantu menentukan metode koneksi mana yang tepat untuk organisasi Anda.

Jika ...	... Maka
- Anda memerlukan konektivitas privat antara sensor Anda dan Azure, - Situs Anda tersambung ke Azure melalui ExpressRoute, atau - Situs Anda tersambung ke Azure melalui VPN	Menyambungkan melalui proksi Azure
- Sensor Anda membutuhkan proksi untuk menjangkau dari jaringan OT ke cloud, atau - Anda ingin beberapa sensor tersambung ke Azure melalui satu titik	Menyambungkan melalui penautan proksi
- Anda ingin menyambungkan sensor Anda ke Azure secara langsung	Menyambungkan secara langsung
- Anda memiliki sensor yang dihosting di beberapa cloud publik	Menyambungkan melalui vendor multi-cloud

Menyambungkan melalui proksi Azure

Bagian ini menjelaskan cara menyambungkan sensor Anda ke Defender untuk IoT di Azure menggunakan proksi Azure. Gunakan prosedur ini dalam situasi berikut:

• Anda memerlukan konektivitas privat antara sensor Anda dan Azure
• Situs Anda tersambung ke Azure melalui ExpressRoute
• Situs Anda tersambung ke Azure melalui VPN

Untuk informasi selengkapnya, lihat Koneksi proksi dengan proksi Azure.

Prasyarat

Sebelum memulai, pastikan Anda memiliki:

• Langganan Azure dan akun dengan izin Kontributor ke langganan

• Ruang kerja Analitik Log untuk memantau log

• Konektivitas situs jarak jauh ke Azure VNET

• Sumber daya server proksi, dengan izin firewall untuk mengakses layanan cloud Microsoft. Prosedur yang dijelaskan dalam artikel ini menggunakan server Squid yang dihosting di Azure.

• Lalu lintas HTTPS keluar di port 443 ke nama host berikut:

  • IoT Hub: *.azure-devices.net
  • Inteligensi Ancaman: *.blob.core.windows.net
  • EventHub: *.servicebus.windows.net

Penting

Microsoft Defender untuk IoT tidak menawarkan dukungan untuk Squid atau layanan proksi lainnya. Mengatur dan memelihara layanan proksi merupakan tanggung jawab pelanggan.

Mengonfigurasi pengaturan proksi sensor

Jika Anda sudah menyiapkan proksi di Azure VNET, Anda dapat mulai bekerja menggunakan proksi dengan menentukan pengaturan proksi di konsol sensor Anda.

1. Di konsol sensor, buka Pengaturan sistem > Pengaturan Jaringan Sensor.

2. Aktifkan opsi Aktifkan Proksi dan tentukan host proksi, port, nama pengguna, dan kata sandi Anda.

Jika Anda belum memiliki proksi yang dikonfigurasi di Azure VNET, gunakan prosedur berikut untuk mengonfigurasi proksi Anda:

1. Menentukan akun penyimpanan untuk log NSG

2. Menentukan jaringan virtual dan subnet

3. Menentukan gateway jaringan lokal atau virtual

4. Menentukan kelompok keamanan jaringan

5. Menentukan set skala mesin virtual Azure

6. Membuat load balancer Azure

7. Mengonfigurasi gateway NAT

Langkah 1: Menentukan akun penyimpanan untuk log NSG

Di portal Microsoft Azure, buat akun penyimpanan baru dengan pengaturan berikut:

Area	Pengaturan
Dasar	Performa: Standar Jenis akun: Penyimpanan blob Replikasi: LRS
Jaringan	Metode konektivitas: Titik akhir publik (jaringan yang dipilih) Dalam Jaringan Virtual: Tidak Ada Preferensi Perutean: Perutean jaringan Microsoft
Perlindungan Data	Biarkan semua opsi dibersihkan
Lanjutan	Simpan semua nilai default

Langkah 2: Menentukan jaringan virtual dan subnet

Buat VNET berikut dan Subnet yang terkandung:

Nama	Ukuran yang Direkomendasikan
MD4IoT-VNET	/26 atau /25 dengan Bastion
Subnet:
- GatewaySubnet	/27
- ProxyserverSubnet	/27
- AzureBastionSubnet (opsional)	/26

Langkah 3: Menentukan gateway jaringan lokal atau virtual

Buat VPN atau Gateway ExpressRoute untuk gateway virtual, atau buat gateway lokal, tergantung pada cara Anda menyambungkan jaringan lokal Anda ke Azure.

Lampirkan gateway ke subnet GatewaySubnet yang Anda buat sebelumnya.

Untuk informasi selengkapnya, lihat:

• VPN Gateway
• Menghubungkan jaringan virtual ke sirkuit ExpressRoute menggunakan portal
• Ubah pengaturan gateway jaringan lokal dengan menggunakan portal Microsoft Azure

Langkah 4: Menentukan kelompok keamanan jaringan

1. Buat NSG dan tentukan aturan masuk berikut:

   • Buat aturan 100 untuk mengizinkan lalu lintas dari sensor Anda (sumber) ke alamat IP privat penyeimbang muatan (tujuan). Gunakan port tcp3128.

   • Buat aturan 4095 sebagai duplikat dari aturan sistem 65001. Hal ini karena aturan 65001 akan ditimpa oleh aturan 4096.

   • Buat aturan 4096 untuk menolak semua lalu lintas untuk segmentasi mikro.

   • Opsional. Jika Anda menggunakan Bastion, buat aturan 4094 untuk mengizinkan SSH Bastion ke server. Gunakan subnet Bastion sebagai sumber.

2. Tetapkan NSG ke ProxyserverSubnet yang Anda buat sebelumnya.

3. Tentukan pengelogan NSG Anda:

   1. Pilih NSG baru Anda lalu pilih Pengaturan diagnostik > Tambahkan pengaturan diagnostik.

   2. Pilih nama untuk pengaturan diagnostik Anda. Di bawah Kategori, pilih allLogs.

   3. Pilih Ruang kerja Dikirim ke Analitik Log, lalu pilih ruang kerja Analitik Log yang ingin Anda gunakan.

   4. Pilih untuk mengirim log alur NSG lalu tentukan nilai berikut:

      Pada tab Dasar:

      • Masukkan nama yang bermakna
      • Pilih akun penyimpanan yang anda buat sebelumnya
      • Tentukan hari retensi yang diperlukan

      Pada tab Konfigurasi:

      • PilihVersi 2
      • Pilih Aktifkan Analitik Lalu Lintas
      • Pilih ruang kerja Analitik Log Anda

Langkah 5: Menentukan set skala mesin virtual Azure

Tentukan set skala mesin virtual Azure untuk membuat dan mengelola sekelompok mesin virtual dengan beban seimbang, tempat Anda dapat secara otomatis menambah atau mengurangi jumlah mesin virtual sesuai kebutuhan.

Gunakan prosedur berikut untuk membuat set skala yang akan digunakan dengan koneksi sensor Anda. Untuk informasi selengkapnya, lihat Apa itu set skala mesin virtual?

1. Buat set skala dengan definisi parameter berikut:

   • Mode Orkestrasi: Seragam
   • Jenis Keamanan: standar
   • Gambar: Server Ubuntu 18.04 LTS – Gen1
   • Ukuran: Standard_DS1_V2
   • Autentikasi: Berdasarkan standar perusahaan Anda

   Pertahankan nilai default untuk pengaturan Disk.

2. Buat antarmuka jaringan di subnet Proxyserver yang Anda buat sebelumnya, tetapi jangan menentukan penyeimbang muatan terlebih dahulu.

3. Tentukan pengaturan penskalaan Anda sebagai berikut:

   • Tentukan jumlah instans awal sebagai 1
   • Tentukan kebijakan penskalaan sebagai Manual

4. Tentukan pengaturan manajemen berikut:

   • Untuk mode peningkatan, pilih Otomatis - instans akan mulai meningkatkan
   • Nonaktifkan diagnostik boot
   • Hapus pengaturan untuk Identitas dan Microsoft Azure AD
   • Pilih Provisi berlebih
   • Pilih Peningkatan OS otomatis diaktifkan

5. Tentukan pengaturan kesehatan berikut:

   • Pilih Aktifkan pemantauan kesehatan aplikasi
   • Pilih protokol TCP dan port 3128

6. Di bagian pengaturan tingkat lanjut, tentukan Algoritma penyebaran sebagai Penyebaran Maksimum.

7. Untuk skrip data kustom, lakukan hal berikut:

   1. Buat skrip konfigurasi berikut, tergantung pada port dan layanan yang Anda gunakan:

      # Recommended minimum configuration:
      # Squid listening port
      http_port 3128
      # Do not allow caching
      cache deny all
      # allowlist sites allowed
      acl allowed_http_sites dstdomain .azure-devices.net
      acl allowed_http_sites dstdomain .blob.core.windows.net
      acl allowed_http_sites dstdomain .servicebus.windows.net
      http_access allow allowed_http_sites
      # allowlisting
      acl SSL_ports port 443
      acl CONNECT method CONNECT
      # Deny CONNECT to other unsecure ports
      http_access deny CONNECT !SSL_ports
      # default network rules
      http_access allow localhost
      http_access deny all
      

   2. Kodekan konten file skrip Anda di basis-64.

   3. Salin konten file yang dikodekan, lalu buat skrip konfigurasi berikut:

      #cloud-config
      # updates packages
      apt_upgrade: true
      # Install squid packages
      packages:
       - squid
      run cmd:
       - systemctl stop squid
       - mv /etc/squid/squid.conf /etc/squid/squid.conf.factory
      write_files:
      - encoding: b64
        content: <replace with base64 encoded text>
        path: /etc/squid/squid.conf
        permissions: '0644'
      run cmd:
       - systemctl start squid
       - apt-get -y upgrade; [ -e /var/run/reboot-required ] && reboot
      

Langkah 6: Membuat penyeimbang muatan Azure

Azure Load Balancer adalah penyeimbang muatan lapis-4 yang mendistribusikan lalu lintas masuk di antara instans mesin virtual yang sehat menggunakan algoritma distribusi berbasis hash.

Untuk informasi selengkapnya, lihat dokumentasi Azure Load Balancer.

Guna membuat penyeimbang muatan Azure untuk koneksi sensor Anda:

1. Buat penyeimbang muatan dengan SKU standar dan jenis Internal guna memastikan bahwa penyeimbang muatan tertutup ke internet.

2. Tentukan alamat IP frontend dinamis di subnet proxysrv yang Anda buat sebelumnya, atur ketersediaan ke zona-redundan.

3. Untuk backend, pilih set skala mesin virtual yang Anda buat sebelumnya.

4. Pada port yang ditentukan dalam sensor, buat aturan penyeimbangan muatan TCP yang menyambungkan alamat IP frontend dengan kumpulan backend. Port default adalah 3128.

5. Buat pemeriksaan kesehatan baru, dan tentukan pemeriksaan kesehatan TCP pada port 3128.

6. Tentukan pengelogan penyeimbang muatan Anda:

   1. Buka penyeimbang muatan yang baru saja Anda buat di portal Microsoft Azure.

   2. Pilih Pengaturan diagnostik>Tambahkan pengaturan diagnostik.

   3. Masukkan nama yang bermakna, dan tentukan kategori sebagai allMetrics.

   4. Pilih Ruang kerja Dikirim ke Log Analytics, lalu pilih ruang kerja Analitik Log Anda.

Langkah 7: Mengonfigurasi gateway NAT

Guna mengonfigurasi gateway NAT untuk koneksi sensor Anda:

1. Buat NAT Gateway baru.

2. Di tab IP Keluar, pilih Buat alamat IP publik baru.

3. Di tab Subnet, pilih subnet ProxyserverSubnet yang Anda buat sebelumnya.

Menyambungkan melalui penautan proksi

Bagian ini menjelaskan cara menyambungkan sensor Anda ke Defender untuk IoT di Azure menggunakan penautan proksi. Gunakan prosedur ini dalam situasi berikut:

• Sensor Anda memerlukan proksi untuk menjangkau dari jaringan OT ke cloud
• Anda ingin beberapa sensor tersambung ke Azure melalui satu titik

Untuk informasi selengkapnya, lihat Koneksi proksi dengan penautan proksi.

Prasyarat

Sebelum memulai, pastikan Anda memiliki server host yang menjalankan proses proksi dalam jaringan situs. Proses proksi harus dapat diakses oleh sensor dan proksi berikutnya dalam rantai.

Kami telah memvalidasi prosedur ini menggunakan proksi Squid sumber terbuka. Proksi ini menggunakan penerowongan HTTP dan perintah HTTP CONNECT untuk konektivitas. Koneksi penautan proksi lain yang mendukung perintah CONNECT dapat digunakan untuk metode koneksi ini.

Penting

Microsoft Defender untuk IoT tidak menawarkan dukungan untuk Squid atau layanan proksi lainnya. Mengatur dan memelihara layanan proksi merupakan tanggung jawab pelanggan.

Konfigurasi

Prosedur ini menjelaskan cara menginstal dan mengonfigurasi koneksi antara sensor Anda dan Defender untuk IoT menggunakan Squid versi terbaru di server Ubuntu.

1. Tentukan pengaturan proksi Anda pada setiap sensor:

   1. Di konsol sensor, buka Pengaturan sistem > Pengaturan Jaringan Sensor.

   2. Aktifkan opsi Aktifkan Proksi dan tentukan host proksi, port, nama pengguna, dan kata sandi Anda.

2. Instal proksi Squid:

   1. Masuk ke mesin Ubuntu proksi Anda dan luncurkan jendela terminal.

   2. Perbarui sistem Anda dan instal Squid. Contohnya:

      sudo apt-get update
      sudu apt-get install squid
      

   3. Temukan file konfigurasi Squid. Misalnya, pada /etc/squid/squid.conf atau /etc/squid/conf.d/, dan buka file di editor teks.

   4. Dalam file konfigurasi Squid, cari teks berikut: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS.

   5. Tambahkan acl <sensor-name> src <sensor-ip>, dan http_access allow <sensor-name> ke dalam file. Contohnya:

      # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
      acl sensor1 src 10.100.100.1
      http_access allow sensor1
      

      Tambahkan lebih banyak sensor sesuai kebutuhan dengan menambahkan garis tambahan untuk sensor.

   6. Konfigurasikan layanan Squid untuk memulai saat peluncuran. Jalankan:

      sudo systemctl enable squid
      

3. Sambungkan proksi Anda ke Defender untuk IoT. Aktifkan lalu lintas HTTP keluar pada port 443 dari sensor ke nama host Azure berikut:

   • IoT Hub: *.azure-devices.net
   • Inteligensi Ancaman: *.blob.core.windows.net
   • Eventhub: *.servicebus.windows.net

Penting

Beberapa organisasi harus menentukan aturan firewall berdasarkan alamat IP. Jika ini berlaku untuk organisasi Anda, penting untuk mengetahui bahwa rentang IP publik Azure diperbarui setiap minggu.

Pastikan untuk mengunduh file JSON baru setiap minggu dan lakukan perubahan yang diperlukan di situs Anda guna mengidentifikasi layanan yang berjalan di Azure dengan benar. Anda memerlukan rentang IP yang diperbarui untuk AzureIoTHub, Storage, dan EventHub. Lihat rentang IP terbaru.

Menyambungkan secara langsung

Bagian ini menjelaskan apa yang Anda butuhkan untuk mengonfigurasi koneksi sensor langsung ke Defender untuk IoT di Azure. Untuk informasi selengkapnya, lihat Koneksi langsung.

1. Pastikan sensor Anda dapat mengakses cloud menggunakan HTTP pada port 443 ke domain Microsoft berikut:

   • IoT Hub: *.azure-devices.net
   • Inteligensi Ancaman: *.blob.core.windows.net
   • Eventhub: *.servicebus.windows.net

2. Alamat IP publik Azure diperbarui setiap minggu. Jika Anda harus menentukan aturan firewall berdasarkan alamat IP, pastikan untuk mengunduh file JSON baru setiap minggu dan membuat perubahan yang diperlukan di situs Anda guna mengidentifikasi layanan yang berjalan di Azure dengan benar. Anda memerlukan rentang IP yang diperbarui untuk AzureIoTHub, Storage, dan EventHub. Lihat rentang IP terbaru.

Menyambungkan melalui vendor multi-cloud

Bagian ini menjelaskan cara menyambungkan sensor Anda ke Defender untuk IoT di Azure dari sensor yang disebarkan di satu atau beberapa cloud publik. Untuk informasi selengkapnya, lihat Koneksi multi-cloud.

Prasyarat

Sebelum memulai:

• Pastikan Anda memiliki sensor yang disebarkan di cloud publik, seperti AWS atau Google Cloud, dan dikonfigurasi untuk memantau lalu lintas SPAN.

• Pilih metode konektivitas multi-cloud yang tepat untuk organisasi Anda:

  Gunakan bagan alur berikut untuk menentukan metode konektivitas mana yang akan digunakan:

  

  • Gunakan alamat IP publik melalui internet jika Anda tidak perlu bertukar data menggunakan alamat IP privat

  • Gunakan VPN situs-ke-situs melalui internet hanya jika Anda tidak* memerlukan hal-hal berikut:

    • Throughput yang dapat diprediksi
    • SLA
    • Transfer volume data yang tinggi
    • Menghindari koneksi melalui internet publik

  • Gunakan ExpressRoute jika Anda memerlukan throughput yang dapat diprediksi, SLA, transfer volume data yang tinggi, atau untuk menghindari koneksi melalui internet publik.

    Dalam hal ini:

    • Jika Anda ingin memiliki dan mengelola perute yang membuat koneksi, gunakan ExpressRoute dengan perutean yang dikelola pelanggan.
    • Jika Anda tidak perlu memiliki dan mengelola router yang membuat koneksi, gunakan ExpressRoute dengan penyedia pertukaran cloud.

Konfigurasi

1. Konfigurasikan sensor Anda untuk tersambung ke cloud menggunakan salah satu metode yang direkomendasikan Kerangka Kerja Adopsi Cloud Azure. Untuk informasi selengkapnya, lihat Konektivitas ke penyedia cloud lain.

2. Untuk mengaktifkan konektivitas privat antara VPC dan Defender untuk IoT Anda, sambungkan VPC Anda ke Azure VNET melalui koneksi VPN. Misalnya jika Anda tersambung dari VPC AWS, lihat blog TechCommunity kami: Cara membuat VPN antara Azure dan AWS dengan hanya menggunakan solusi terkelola.

3. Setelah VPC dan VNET Anda dikonfigurasi, sambungkan ke Defender untuk IoT seperti yang Anda lakukan saat tersambung melalui proksi Azure. Untuk informasi selengkapnya, baca Menyambungkan melalui proksi Azure.

Migrasi untuk pelanggan yang sudah ada

Jika Anda adalah pelanggan lama dengan penyebaran produksi dan sensor yang tersambung menggunakan metode IoT Hub lama, mulailah dengan langkah-langkah berikut guna memastikan migrasi penuh dan aman ke metode koneksi yang diperbarui.

1. Tinjau penyebaran produksi Anda yang ada dan cara sensor saat ini tersambung ke Azure. Konfirmasikan bahwa sensor dalam jaringan produksi dapat mencapai rentang sumber daya pusat data Azure.

2. Tentukan metode koneksi mana yang tepat untuk setiap lokasi produksi. Untuk informasi selengkapnya, lihat Memilih metode koneksi sensor.

3. Konfigurasikan sumber daya tambahan apa pun yang diperlukan seperti yang dijelaskan pada prosedur dalam artikel ini untuk metode konektivitas yang Anda pilih. Misalnya, sumber daya tambahan mungkin termasuk proksi, VPN, atau ExpressRoute.

   Untuk sumber daya konektivitas apa pun di luar Defender untuk IoT, seperti VPN atau proksi, konsultasikan dengan arsitek solusi Microsoft untuk memastikan konfigurasi, keamanan, dan ketersediaan tinggi yang benar.

4. Jika Anda memiliki sensor versi lama terinstal, kami sarankan Anda memperbarui sensor Anda setidaknya ke versi 22.1.x atau yang lebih tinggi. Dalam hal ini, pastikan Anda mengaktifkan kembali setiap sensor dan memperbarui aturan firewall Anda.

   Masuk ke setiap sensor setelah pembaruan untuk memverifikasi bahwa file aktivasi berhasil diterapkan. Periksa juga halaman Defender untuk IoT Situs dan sensor di portal Microsoft Azure untuk memastikan bahwa sensor yang diperbarui ditampilkan sebagai Tersambung.

   Untuk informasi selengkapnya, lihat Memperbarui versi sensor mandiri dan Akses sensor ke portal Microsoft Azure.

5. Mulai bermigrasi dengan lab uji atau proyek referensi tempat Anda dapat memvalidasi koneksi dan memperbaiki masalah apa pun yang ditemukan.

6. Buat rencana tindakan untuk migrasi Anda, termasuk merencanakan jendela pemeliharaan apa pun yang diperlukan.

7. Setelah migrasi di lingkungan produksi Anda, Anda dapat menghapus IoT Hub sebelumnya yang telah Anda gunakan sebelum migrasi. Pastikan bahwa IoT Hub apa pun yang Anda hapus tidak digunakan oleh layanan lain:

   • Jika Anda telah meningkatkan versi, pastikan semua sensor yang diperbarui menunjukkan perangkat lunak versi 22.1.x atau yang lebih tinggi.

   • Periksa sumber daya aktif di akun Anda dan pastikan tidak ada layanan lain yang tersambung ke IoT Hub Anda.

   • Jika Anda menjalankan lingkungan hibrida dengan beberapa versi sensor, pastikan sensor apa pun dengan perangkat lunak versi 22.1.x dapat tersambung ke Azure. Gunakan aturan firewall yang memungkinkan lalu lintas HTTPS keluar di port 443 ke nama host berikut:

     • IoT Hub: *.azure-devices.net
     • Inteligensi Ancaman: *.blob.core.windows.net
     • EventHub: *.servicebus.windows.net

Meskipun Anda harus memigrasikan koneksi sebelum versi lama mencapai akhir dukungan, Anda saat ini dapat menyebarkan jaringan sensor hibrida, termasuk versi perangkat lunak lama dengan koneksi IoT Hub mereka, dan sensor dengan metode koneksi yang dijelaskan dalam artikel ini.

Langkah berikutnya

Untuk informasi selengkapnya, lihat Metode koneksi sensor.