IoT Central biztonsági útmutató

  • Cikk

Az IoT Central-alkalmazás lehetővé teszi az eszközök monitorozását és kezelését, így gyorsan kiértékelheti az IoT-forgatókönyvet. Ez az útmutató azoknak a rendszergazdáknak szól, akik az IoT Central-alkalmazások biztonságát kezelik.

Az IoT Centralban a következő területeken konfigurálhatja és kezelheti a biztonságot:

  • Felhasználói hozzáférés az alkalmazáshoz.
  • Eszközhozzáférés az alkalmazáshoz.
  • Programozott hozzáférés az alkalmazáshoz.
  • Hitelesítés más szolgáltatásokhoz az alkalmazásból.
  • Használjon biztonságos virtuális hálózatot.
  • A naplók nyomon követik az alkalmazás tevékenységeit.

Felhasználói hozzáférés kezelése

Minden felhasználónak rendelkeznie kell egy felhasználói fiókkal, mielőtt bejelentkezhet és hozzáférhet egy IoT Central-alkalmazáshoz. Az IoT Central jelenleg a Microsoft-fiókokat és a Microsoft Entra-fiókokat támogatja, a Microsoft Entra-csoportokat azonban nem.

A szerepkörök segítségével szabályozhatja, hogy a szervezeten belül kik végezhetnek különböző feladatokat az IoT Centralban. Minden szerepkör rendelkezik egy adott engedélykészlettel, amely meghatározza, hogy a szerepkör egy felhasználója mit láthat és tehet az alkalmazásban. Három beépített szerepkört rendelhet hozzá az alkalmazás felhasználóihoz. Egyéni szerepköröket is létrehozhat adott engedélyekkel, ha részletesebb vezérlésre van szüksége.

A szervezetek segítségével meghatározhat egy hierarchiát, amellyel kezelheti, hogy mely felhasználók láthatják az IoT Central-alkalmazás mely eszközeit. A felhasználó szerepköre határozza meg az általuk látott eszközökre vonatkozó engedélyeiket, valamint az általuk elérhető szolgáltatásokat. Több-bérlős alkalmazás implementálása szervezetek használatával.

További információ:

Eszközhozzáférés kezelése

Az eszközök közös hozzáférésű jogosultságkód (SAS) jogkivonat vagy X.509-tanúsítvány használatával hitelesíthetők az IoT Central-alkalmazással. Az X.509-tanúsítványok éles környezetben ajánlottak.

Az IoT Centralban eszközkapcsolati csoportokkal kezelheti az IoT Central-alkalmazásban az eszközhitelesítési beállításokat.

További információ:

Eszközhozzáférés hálózati vezérlői

Alapértelmezés szerint az eszközök a nyilvános interneten keresztül csatlakoznak az IoT Centralhoz. A nagyobb biztonság érdekében csatlakoztassa az eszközöket az IoT Central-alkalmazáshoz egy privát végpont használatával egy Azure-beli virtuális hálózaton.

A privát végpontok virtuális hálózati címtérből származó privát IP-címeket használnak az eszközök privát csatlakoztatásához az IoT Central-alkalmazáshoz. A virtuális hálózaton lévő eszközök és az IoT-platform közötti hálózati forgalom áthalad a virtuális hálózaton és egy privát kapcsolaton a Microsoft gerinchálózatán, kiküszöbölve a nyilvános interneten való kitettséget.

További információ: Hálózati biztonság az IoT Centralhoz privát végpontok használatával.

Programozott hozzáférés kezelése

Az IoT Central REST API lehetővé teszi az IoT Central-alkalmazásokkal integrálható ügyfélalkalmazások fejlesztését. A REST API használatával használhatja az IoT Central-alkalmazás erőforrásait, például eszközsablonokat, eszközöket, feladatokat, felhasználókat és szerepköröket.

Minden IoT Central REST API-híváshoz szükség van egy engedélyezési fejlécre, amelyet az IoT Central használ a hívó identitásának és a hívó által az alkalmazásban megadott engedélyek meghatározásához.

Egy IoT Central-alkalmazás REST API-val való eléréséhez használhatja a következőt:

  • Microsoft Entra tulajdonosi jogkivonat. A tulajdonosi jogkivonat egy Microsoft Entra felhasználói fiókhoz vagy egy szolgáltatásnévhez van társítva. A jogkivonat ugyanazokat az engedélyeket adja a hívónak, mint a felhasználó vagy szolgáltatásnév az IoT Central-alkalmazásban.
  • IoT Central API-jogkivonat. Az API-jogkivonat egy szerepkörhöz van társítva az IoT Central-alkalmazásban.

További információ: IoT Central REST API-hívások hitelesítése és engedélyezése.

Hitelesítés más szolgáltatásokban

Ha konfigurál egy folyamatos adatexportálást az IoT Central-alkalmazásból az Azure Blob Storage-ba, az Azure Service Busba vagy az Azure Event Hubsba, a hitelesítéshez használhat egy kapcsolati sztring vagy egy felügyelt identitást. Ha konfigurál egy folyamatos adatexportálást az IoT Central-alkalmazásból az Azure Data Explorerbe, a hitelesítéshez használhat szolgáltatásnevet vagy felügyelt identitást.

A felügyelt identitások biztonságosabbak, mert:

  • Nem tárolja az erőforrás hitelesítő adatait egy kapcsolati sztring az IoT Central-alkalmazásban.
  • A hitelesítő adatok automatikusan az IoT Central-alkalmazás élettartamához vannak kötve.
  • A felügyelt identitások rendszeresen automatikusan elforgatják a biztonsági kulcsokat.

További információ:

Csatlakozás biztonságos virtuális hálózaton lévő célhelyre

Az IoT Central adatexportálásával folyamatosan streamelheti az eszközadatokat olyan célhelyekre, mint az Azure Blob Storage, az Azure Event Hubs vagy az Azure Service Bus Messaging. Ezeket a célhelyeket azure-beli virtuális hálózat és privát végpontok használatával zárolhatja. Ha engedélyezni szeretné, hogy az IoT Central biztonságos virtuális hálózaton csatlakozzon egy célhelyhez, konfiguráljon tűzfalkivételt. További információ: Adatok exportálása biztonságos helyre egy Azure-beli virtuális hálózaton.

Naplók

A naplózási naplók segítségével a rendszergazdák nyomon követhetik az IoT Central-alkalmazáson belüli tevékenységeket. Rendszergazda istratorok láthatják, hogy ki milyen módosításokat hajtott végre. További információ: Naplók használata az IoT Central-alkalmazásban végzett tevékenységek nyomon követéséhez.

Következő lépések

Most, hogy megismerkedett az Azure IoT Central-alkalmazás biztonságával, a javasolt következő lépés a felhasználók és szerepkörök kezelése az Azure IoT Centralban.