Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure IoT Hub proporciona un centro de mensajes central para la comunicación bidireccional entre las aplicaciones de IoT y los dispositivos que administran. Al implementar este servicio, es importante seguir los procedimientos recomendados de seguridad para proteger los datos, las configuraciones y la infraestructura.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Azure IoT Hub. Si también usa otros servicios de Azure IoT, consulte Protección de las soluciones de IoT.
Seguridad de red
Proteger el acceso de red a IoT Hub es fundamental para evitar el acceso no autorizado y proteger los datos que fluyen entre los dispositivos y la nube.
Habilitación de puntos de conexión privados: elimine la exposición pública de Internet mediante el enrutamiento del tráfico a través de la red virtual con Azure Private Link, lo que permite a los dispositivos conectarse a su centro de IoT sin exposición a la red pública de Internet. Consulte Compatibilidad de IoT Hub con redes virtuales con Azure Private Link.
Deshabilitar el acceso a la red pública: evite el acceso directo desde la red pública de Internet deshabilitando los puntos de conexión públicos cuando puede usar puntos de conexión privados en su lugar. Consulte Administración del acceso a la red pública para ioT Hub.
Configuración del filtrado de IP: restrinja las conexiones a IoT Hub al permitir solo direcciones IP o intervalos específicos, lo que limita la exposición a posibles ataques. Consulte Filtrado de IP de IoT Hub.
Aplicar TLS 1.2 y conjuntos de cifrado seguros: reforzar la seguridad de conexión aplicando el uso de TLS 1.2 y conjuntos de cifrado recomendados para todas las conexiones de dispositivo y servicio. Consulte Compatibilidad de seguridad de la capa de transporte (TLS) en IoT Hub.
Administración de identidades y acceso
La administración adecuada de identidades y acceso es esencial para controlar quién puede administrar ioT Hub y cómo se autentican los dispositivos en él.
Uso de la autenticación de Id. de Entra de Microsoft: implemente microsoft Entra ID (anteriormente Azure AD) para autenticar y autorizar solicitudes de API de servicio, lo que permite un control de acceso más granular que las directivas de acceso compartido. Consulte Control del acceso a IoT Hub mediante Azure Active Directory.
Implementación de Azure RBAC para permisos pormenorizados: asigne el control de acceso basado en roles con privilegios mínimos a los usuarios y aplicaciones que acceden a las API de administración de IoT Hub, lo que reduce el riesgo de operaciones no autorizadas. Consulte Administración del acceso a IoT Hub mediante la asignación de roles RBAC de Azure.
Usar certificados X.509 para la autenticación de dispositivos: implemente la autenticación basada en certificados X.509 en lugar de tokens de SAS para entornos de producción para aumentar la seguridad y habilitar una mejor administración de credenciales. Consulte Autenticación de identidades con certificados X.509.
Evitar claves simétricas compartidas entre dispositivos: asigne credenciales únicas a cada dispositivo para evitar un riesgo generalizado si se filtra una sola clave, lo que limita el impacto de la posible exposición de credenciales. Consulte Prácticas de seguridad para los fabricantes de dispositivos.
Deshabilite las directivas de acceso compartido cuando no sea necesario: reduzca la superficie expuesta a ataques deshabilitando las directivas de acceso compartido y los tokens al usar microsoft Entra ID para la autenticación. Consulte Aplicación de la autenticación de Microsoft Entra.
Protección de los datos
La protección de los datos tanto en tránsito como en reposo es fundamental para mantener la confidencialidad e integridad de la solución de IoT.
Usar módulos de seguridad de hardware para secretos de dispositivo: almacene certificados de dispositivo y claves privadas en módulos de seguridad de hardware (HSM) para protegerse contra la extracción y manipulación, lo que mejora la seguridad de las credenciales de autenticación. Consulte Módulo de seguridad de hardware.
Implementación del cifrado de datos de nivel de dispositivo: cifre datos confidenciales en dispositivos antes de la transmisión a IoT Hub para agregar una capa adicional de protección más allá de TLS, especialmente para información altamente confidencial. Además de cifrar datos confidenciales en dispositivos antes de la transmisión a IoT Hub, asegúrese de que los datos almacenados en componentes con estado de Azure IoT, como los dispositivos gemelos, también están cifrados. Esto se aplica a la comunicación de dispositivo a nube y de nube a dispositivo. Consulte Protección de datos en reposo a través de algoritmos de cifrado estándar.
Use las versiones más recientes del SDK: asegúrese de que usa los SDK de dispositivo ioT Hub más recientes que implementan varias características de seguridad, como el cifrado y la autenticación. Consulte SDK de Azure IoT.
Mantener actualizados los certificados de entidad de certificación raíz raíz: actualice periódicamente los certificados raíz de confianza en los dispositivos para mantener conexiones TLS seguras, lo que evita errores de conexión debidos a certificados expirados o revocados. Consulte Compatibilidad con TLS de IoT Hub.
Registro y supervisión
El registro y la supervisión completos son esenciales para detectar y responder a posibles problemas de seguridad en la solución de IoT.
Habilitación de registros de recursos para conexiones y telemetría de dispositivos: configure la configuración de diagnóstico para enviar registros de recursos de IoT Hub a registros de Azure Monitor para realizar un seguimiento de los intentos de conexión, los errores y las operaciones para la investigación de seguridad. Consulte Supervisión y diagnóstico de problemas en ioT Hub.
Configurar alertas para problemas de conectividad: cree alertas basadas en métricas y registros para detectar patrones inusuales, como errores de autenticación repetidos o desconexiones inesperadas que podrían indicar problemas de seguridad. Consulte Supervisión, diagnóstico y solución de problemas de conectividad de dispositivos de Azure IoT Hub.
Habilitar Microsoft Defender para IoT: active Microsoft Defender para IoT en ioT Hub para obtener supervisión, recomendaciones y alertas de seguridad en tiempo real para posibles amenazas dirigidas a la solución de IoT. Consulte Inicio rápido: Habilitación de Microsoft Defender para IoT en Azure IoT Hub.
Supervisar versiones del SDK de dispositivo: realice un seguimiento de las versiones del SDK que usan los dispositivos para asegurarse de que usan versiones seguras y up-to-date que incluyen las revisiones de seguridad más recientes. Consulte Supervisión de Azure IoT Hub.
Cumplimiento y gobernanza
Establecer una gobernanza adecuada y garantizar el cumplimiento de los estándares de seguridad son aspectos clave del mantenimiento de una solución de IoT segura.
Aplicación de Azure Policy para IoT Hub: implemente Azure Policy para aplicar y auditar las configuraciones de seguridad en los centros de IoT, lo que garantiza que se mantienen los estándares de seguridad coherentes. Consulte Definiciones integradas de Azure Policy para Azure IoT Hub.
Auditar periódicamente los permisos de acceso: revise y valide los permisos de acceso concedidos a usuarios, aplicaciones y dispositivos con regularidad para asegurarse de que cumplen el principio de privilegios mínimos. Consulte Procedimientos recomendados de administración de identidades.
Habilitar la configuración de diagnóstico para la auditoría: configure las opciones de diagnóstico para capturar y archivar los registros de auditoría de IoT Hub para admitir investigaciones de seguridad y requisitos de cumplimiento. Consulte Registros de recursos en IoT Hub debe estar habilitado.
Implementación de la microsegmentación de red: separa lógicamente los dispositivos IoT de otros recursos de la organización mediante la implementación de la microsegmentación de red, lo que limita el radio potencial de explosión de un incidente de seguridad. Consulte Segmentación de red.
Seguridad del dispositivo
La protección de los dispositivos que se conectan a IoT Hub es fundamental para la seguridad general de la solución de IoT.
Usar credenciales de dispositivo renovable: implemente un proceso para actualizar periódicamente las credenciales del dispositivo, como la puesta en marcha de certificados X.509, para limitar el impacto de la autenticación en peligro. Consulte How to roll X.509 device certificates (Cómo implementar certificados de dispositivo X.509).
Implementar agentes de actualización en dispositivos: asegúrese de que los dispositivos tienen agentes de actualización para recibir y aplicar actualizaciones de seguridad, mantener el firmware y el software seguros durante todo el ciclo de vida del dispositivo. Consulte Device Update para IoT Hub.
Implementación de aprovisionamiento seguro de dispositivos: use Azure IoT Hub Device Provisioning Service (DPS) para el aprovisionamiento seguro y sin intervención táctil de los dispositivos a escala con mecanismos de autenticación adecuados. Consulte IoT Hub Device Provisioning Service.
Usar módulos de plataforma segura: implemente dispositivos con características de seguridad basadas en hardware, como módulos de plataforma segura (TPM) para proporcionar almacenamiento seguro para claves criptográficas y protegerse contra alteraciones físicas. Consulte atestación de TPM.
Revocar el acceso a los dispositivos en peligro: implemente procedimientos para revocar rápidamente el acceso a los dispositivos que muestran signos de peligro, lo que les impide conectarse a IoT Hub y afectar potencialmente a otros dispositivos. Consulte Cómo revocar el acceso al dispositivo.