Guida alla sicurezza di IoT Central

  • Articolo

Un'applicazione IoT Central consente di monitorare e gestire i dispositivi, consentendo di valutare rapidamente lo scenario IoT. Questa guida è destinata agli amministratori che gestiscono la sicurezza nelle applicazioni IoT Central.

In IoT Central è possibile configurare e gestire la sicurezza nelle aree seguenti:

  • Accesso degli utenti all'applicazione.
  • Accesso dei dispositivi all'applicazione.
  • Accesso programmatico all'applicazione.
  • Autenticazione ad altri servizi dall'applicazione.
  • Usare una rete virtuale sicura.
  • I log di controllo tengono traccia dell'attività nell'applicazione.

Gestire l'accesso degli utenti

Ogni utente deve avere un account utente prima di poter accedere e accedere a un'applicazione IoT Central. IoT Central supporta attualmente gli account Microsoft e gli account Microsoft Entra, ma non i gruppi di Microsoft Entra.

I ruoli consentono di controllare chi all'interno dell'organizzazione può eseguire varie attività in IoT Central. Ogni ruolo ha un set specifico di autorizzazioni che determinano cosa può vedere e fare un utente nel ruolo nell'applicazione. Esistono tre ruoli predefiniti che è possibile assegnare agli utenti dell'applicazione. È anche possibile creare ruoli personalizzati con autorizzazioni specifiche se è necessario un controllo più dettagliato.

Le organizzazioni consentono di definire una gerarchia usata per gestire quali utenti possono visualizzare i dispositivi nell'applicazione IoT Central. Il ruolo dell'utente determina le autorizzazioni sui dispositivi visualizzati e le esperienze a cui possono accedere. Usare le organizzazioni per implementare un'applicazione multi-tenant.

Per ulteriori informazioni, vedere:

Gestire l'accesso al dispositivo

I dispositivi eseguono l'autenticazione con l'applicazione IoT Central usando un token di firma di accesso condiviso o un certificato X.509. Negli ambienti di produzione è consigliabile usare i certificati X.509.

In IoT Central si usano i gruppi di connessione del dispositivo per gestire le opzioni di autenticazione del dispositivo nell'applicazione IoT Central.

Per ulteriori informazioni, vedere:

Controlli di rete per l'accesso ai dispositivi

Per impostazione predefinita, i dispositivi si connettono a IoT Central tramite la rete Internet pubblica. Per maggiore sicurezza, connettere i dispositivi all'applicazione IoT Central usando un endpoint privato in un'Rete virtuale di Azure.

Gli endpoint privati usano indirizzi IP privati da uno spazio indirizzi di rete virtuale per connettere i dispositivi privatamente all'applicazione IoT Central. Il traffico di rete tra dispositivi nella rete virtuale e la piattaforma IoT attraversa la rete virtuale e un collegamento privato nella rete backbone Microsoft, eliminando l'esposizione su Internet pubblico.

Per altre informazioni, vedere Sicurezza di rete per IoT Central tramite endpoint privati.

Gestire l'accesso a livello di codice

L'API REST di IoT Central consente di sviluppare applicazioni client integrate con le applicazioni IoT Central. Usare l'API REST per usare le risorse nell'applicazione IoT Central, ad esempio modelli di dispositivo, dispositivi, processi, utenti e ruoli.

Ogni chiamata API REST di IoT Central richiede un'intestazione di autorizzazione usata da IoT Central per determinare l'identità del chiamante e le autorizzazioni concesse dal chiamante all'interno dell'applicazione.

Per accedere a un'applicazione IoT Central usando l'API REST, è possibile usare:

  • Token di connessione microsoft Entra. Un token di connessione è associato a un account utente Microsoft Entra o a un'entità servizio. Il token concede al chiamante le stesse autorizzazioni che l'utente o l'entità servizio hanno nell'applicazione IoT Central.
  • Token DELL'API IoT Central. Un token API è associato a un ruolo nell'applicazione IoT Central.

Per altre informazioni, vedere Come autenticare e autorizzare le chiamate API REST di IoT Central.

Eseguire l'autenticazione ad altri servizi

Quando si configura un'esportazione continua di dati dall'applicazione IoT Central ad Archiviazione BLOB di Azure, bus di servizio di Azure o Hub eventi di Azure, è possibile usare un stringa di connessione o un'identità gestita per l'autenticazione. Quando si configura un'esportazione continua di dati dall'applicazione IoT Central ad Azure Esplora dati, è possibile usare un'entità servizio o un'identità gestita per l'autenticazione.

Le identità gestite sono più sicure perché:

  • Non archiviare le credenziali per la risorsa in un stringa di connessione nell'applicazione IoT Central.
  • Le credenziali vengono associate automaticamente alla durata dell'applicazione IoT Central.
  • Le identità gestite ruotano automaticamente le chiavi di sicurezza regolarmente.

Per ulteriori informazioni, vedere:

Connessione a una destinazione in una rete virtuale sicura

L'esportazione dei dati in IoT Central consente di trasmettere continuamente i dati dei dispositivi alle destinazioni, ad esempio Archiviazione BLOB di Azure, Hub eventi di Azure, bus di servizio di Azure Messaggistica. È possibile scegliere di bloccare queste destinazioni usando un Rete virtuale di Azure e endpoint privati. Per consentire a IoT Central di connettersi a una destinazione in una rete virtuale sicura, configurare un'eccezione del firewall. Per altre informazioni, vedere Esportare i dati in una destinazione sicura in un'Rete virtuale di Azure.

Log di audit

I log di controllo consentono agli amministratori di tenere traccia dell'attività all'interno dell'applicazione IoT Central. Amministrazione istrator possono vedere chi ha apportato le modifiche in quali momenti. Per altre informazioni, vedere Usare i log di controllo per tenere traccia dell'attività nell'applicazione IoT Central.

Passaggi successivi

Dopo aver appreso le informazioni sulla sicurezza nell'applicazione Azure IoT Central, il passaggio successivo consigliato consiste nel gestire utenti e ruoli in Azure IoT Central.