Seguridad de red para IoT Central mediante puntos de conexión privados
Los puntos de conexión IoT Central estándar para la conectividad de dispositivos son accesibles mediante direcciones URL públicas. Cualquier dispositivo con una identidad válida puede conectarse a IoT Central desde cualquier ubicación.
Use puntos de conexión privados para limitar y proteger la conectividad de dispositivos con IoT Central y permitir solo el acceso a través de la red virtual privada.
Los puntos de conexión privados usan direcciones IP privadas de un espacio de direcciones de red virtual para conectar los dispositivos de forma privada a la aplicación de IoT Central. El tráfico de red entre los dispositivos de la red virtual y la plataforma de IoT atraviesa la red virtual y un vínculo privado de la red troncal de Microsoft, lo que elimina la exposición en la red pública de Internet.
Para obtener más información sobre Azure Virtual Network, consulte:
Los puntos de conexión privados de la aplicación de IoT Central le permiten:
- Proteger el clúster mediante la configuración del firewall para bloquear todas las conexiones de dispositivo en el punto de conexión público.
- Aumente la seguridad de la red virtual permitiéndole proteger los datos en la red virtual.
- Conectar dispositivos con seguridad a IoT Central desde redes locales que se conectan a la red virtual mediante un emparejamiento privado de puerta de enlace de VPN o ExpressRoute.
El uso de puntos de conexión privados en IoT Central es adecuado para los dispositivos conectados a una red local. No debe usar puntos de conexión privados para dispositivos implementados en una red de área extensa, como Internet.
¿Qué es un punto de conexión privado?
Un punto de conexión privado es una interfaz de red especial para un servicio de Azure de la red virtual que tiene asignadas direcciones IP del intervalo de direcciones IP de la red virtual. El punto de conexión privado proporciona conectividad segura entre los dispositivos de la red virtual y la plataforma IoT a la que se conectan. La conexión entre el punto de conexión privado y la plataforma de Azure IoT usa un vínculo privado seguro:
Los dispositivos conectados a la red virtual pueden conectarse sin problemas al clúster a través del punto de conexión privado. Los mecanismos de autorización son los mismos que usaría para conectarse a los puntos de conexión públicos. Sin embargo, debe actualizar la dirección URL de conexión de DPS porque la dirección URL del host global.azure-devices-provisioning.net
de aprovisionamiento global no se resuelve cuando el acceso a la red pública está deshabilitado para la aplicación.
Cuando se crea un punto de conexión privado para un clúster en su red virtual, se envía una solicitud de consentimiento para la aprobación del propietario de la suscripción. Si el usuario que solicita la creación del punto de conexión privado también es propietario de la suscripción, la solicitud de consentimiento se aprueba automáticamente. Los propietarios de la suscripción pueden administrar las solicitudes de consentimiento y los puntos de conexión privados para el clúster en Azure Portal, en Puntos de conexión privados.
Cada aplicación de IoT Central puede admitir varios puntos de conexión privados, cada uno de los cuales puede encontrarse en una red virtual en una región diferente. Si tiene previsto usar varios puntos de conexión privados, tenga especial cuidado para configurar el DNS y planear el tamaño de las subredes de la red virtual.
Planeación del tamaño de la subred en la red virtual
El tamaño de la subred de la red virtual no se puede modificar después de crear la subred. Por lo tanto, es importante planear el tamaño de la subred y permitir el crecimiento futuro.
IoT Central crea varios FQDN visibles para el cliente como parte de una implementación de punto de conexión privado. Además del FQDN para IoT Central, hay FQDN para los recursos IoT Hub subyacentes, Event Hubs y Device Provisioning Service.
El punto de conexión privado de IoT Central usa varias direcciones IP de la red virtual y la subred. Además, en función del perfil de carga de la aplicación, IoT Central escala automáticamente sus IoT Hub subyacentes para que el número de direcciones IP que usa un punto de conexión privado pueda aumentar. Planee este posible aumento cuando determine el tamaño de la subred.
Use la siguiente información para ayudar a determinar el número total de direcciones IP necesarias en la subred:
Usar | Número de direcciones IP por punto de conexión privado |
---|---|
Dirección URL de IoT Central | 1 |
Centros de IoT subyacentes | 2-50 |
Event Hubs correspondiente a los centros de IoT | 2-50 |
Servicio Device Provisioning | 1 |
Direcciones reservadas de Azure | 5 |
Total | 11-107 |
Para más información, consulte las preguntas frecuentes sobre Azure Virtual Network.
Nota:
El tamaño mínimo de la subred es /28
(14 direcciones IP utilizables). Para su uso con un IoT Central se recomienda un punto de conexión privado /24
, lo que ayuda con cargas de trabajo extremas.
Pasos siguientes
Ahora que ha aprendido a usar puntos de conexión privados para conectar el dispositivo a la aplicación, este es el siguiente paso sugerido: