IoT Central 보안 가이드

IoT Central 애플리케이션을 사용하면 디바이스를 모니터링하고 관리할 수 있으므로 IoT 시나리오를 신속하게 평가할 수 있습니다. 이 가이드는 IoT Central 애플리케이션에서 보안을 관리하는 관리자를 위한 것입니다.

IoT Central에서 다음 영역에 대한 보안을 구성하고 관리할 수 있습니다.

• 애플리케이션에 대한 사용자 액세스.
• 애플리케이션에 대한 디바이스 액세스.
• 애플리케이션에 프로그래밍 방식으로 액세스합니다.
• 애플리케이션에서 다른 서비스에 대해 인증
• 보안 가상 네트워크를 사용합니다.
• 감사 로그는 애플리케이션의 활동을 추적합니다.

사용자 액세스 관리

모든 사용자는 IoT Central 애플리케이션에 로그인하고 액세스하려면 사용자 계정이 있어야 합니다. IoT Central은 현재 Microsoft 계정과 Microsoft Entra 계정을 지원하지만 Microsoft Entra 그룹은 지원하지 않습니다.

역할을 통해 조직 내에서 다양한 IoT Central 작업 수행이 허용된 사용자를 제어할 수 있습니다. 각 역할에는 역할의 사용자가 애플리케이션에서 보고 수행할 수 있는 작업을 결정하는 특정 권한 세트가 있습니다. 애플리케이션의 사용자에게 할당할 수 있는 세 가지 기본 제공 역할이 있습니다. 세분화된 제어가 필요한 경우 특정 권한이 있는 사용자 지정 역할을 만들 수도 있습니다.

조직을 사용하면 IoT Central 애플리케이션에서 어떤 사용자가 어떤 디바이스를 볼 수 있는지 관리하는 데 사용하는 계층 구조를 정의할 수 있습니다. 사용자의 역할에 따라 사용자가 보는 디바이스와 액세스할 수 있는 환경에 대한 권한이 결정됩니다. 조직을 사용하여 다중 테넌트 애플리케이션을 구현합니다.

자세한 내용은 다음을 참조하세요.

• IoT Central 애플리케이션에서 사용자 및 역할 관리
• IoT Central 조직 관리
• IoT Central REST API를 사용하여 사용자 및 역할을 관리하는 방법
• IoT Central REST API를 사용하여 조직을 관리하는 방법

디바이스 액세스 관리

디바이스는 SAS(공유 액세스 서명) 토큰 또는 X.509 인증서를 사용하여 IoT Central 애플리케이션을 통해 인증합니다. X.509 인증서는 프로덕션 환경에서 사용하는 것이 좋습니다.

IoT Central에서는 디바이스 연결 그룹을 사용하여 IoT Central 애플리케이션에서 디바이스 인증 옵션을 관리합니다.

자세한 내용은 다음을 참조하세요.

• IoT Central의 디바이스 인증 개념
• X.509 인증서가 있는 디바이스를 IoT Central 애플리케이션에 연결하는 방법

디바이스 액세스에 대한 네트워크 제어

기본적으로 디바이스는 공용 인터넷을 통해 IoT Central에 연결됩니다. 보안을 강화하려면 Azure Virtual Network에서 프라이빗 엔드포인트를 사용하여 디바이스를 IoT Central 애플리케이션에 연결합니다.

프라이빗 엔드포인트는 가상 네트워크 주소 공간의 개인 IP 주소를 사용하여 디바이스를 IoT Central 애플리케이션에 비공개로 연결합니다. 가상 네트워크의 디바이스와 IoT 플랫폼 간의 네트워크 트래픽이 Microsoft 백본 네트워크에서 가상 네트워크와 프라이빗 링크를 통과하며 공용 인터넷에서의 노출을 제거합니다.

자세한 내용은 프라이빗 엔드포인트를 사용하는 IoT Central에 대한 네트워크 보안을 참조하세요.

프로그래밍 방식 액세스 관리

IoT Central REST API를 사용하면 IoT Central 애플리케이션과 통합되는 클라이언트 애플리케이션을 개발할 수 있습니다. REST API를 사용하여 디바이스 템플릿, 디바이스, 작업, 사용자, 역할과 같은 IoT Central 애플리케이션에서 리소스 작업을 수행할 수 있습니다.

모든 IoT Central REST API 호출에는 IoT Central이 호출자의 ID를 확인하는 데 사용하는 권한 부여 헤더와 애플리케이션 내에서 호출자에게 부여되는 사용 권한이 필요합니다.

REST API를 사용하여 IoT Central 애플리케이션에 액세스하려면 다음을 사용하면 됩니다.

• Microsoft Entra 전달자 토큰. 전달자 토큰은 Microsoft Entra 사용자 계정 또는 서비스 주체와 연결됩니다. 토큰은 사용자나 서비스 주체가 IoT Central 애플리케이션에서 가진 사용 권한과 동일한 권한을 호출자에게 부여합니다.
• IoT Central API 토큰. API 토큰은 IoT Central 애플리케이션의 역할과 연결됩니다.

자세히 알아보려면 IoT Central REST API 호출을 인증하고 권한을 부여하는 방법을 참조하세요.

다른 서비스에 인증

IoT Central 애플리케이션에서 Azure Blob Storage, Azure Service Bus 또는 Azure Event Hubs로 연속 데이터 내보내기를 구성하는 경우 연결 문자열 또는 관리 ID를 사용하여 인증할 수 있습니다. IoT Central 애플리케이션에서 Azure Data Explorer로 연속 데이터 내보내기를 구성하는 경우 서비스 주체 또는 관리 ID를 사용하여 인증할 수 있습니다.

관리 ID는 다음과 같은 이유로 더 안전합니다.

• IoT Central 애플리케이션의 연결 문자열에 리소스에 대한 자격 증명을 저장하지 않습니다.
• 자격 증명은 IoT Central 애플리케이션의 수명에 자동으로 연결됩니다.
• 관리 ID는 보안 키를 정기적으로 자동 회전합니다.

자세한 내용은 다음을 참조하세요.

• Blob 스토리지를 사용하여 IoT 데이터를 클라우드 대상으로 내보내기
• 관리 ID 구성

보안 가상 네트워크의 대상에 연결

IoT Central의 데이터 내보내기를 사용하면 디바이스 데이터를 Azure Blob Storage, Azure Event Hubs, Azure Service Bus 메시징과 같은 대상으로 지속적으로 스트리밍할 수 있습니다. Azure Virtual Network 및 프라이빗 엔드포인트를 사용하여 이러한 대상을 잠그도록 선택할 수 있습니다. IoT Central이 보안 가상 네트워크의 대상에 연결할 수 있도록 하려면 방화벽 예외를 구성합니다. 자세한 내용은 Azure Virtual Network의 안전한 대상으로 데이터 내보내기를 참조하세요.

감사 로그

감사 로그를 사용하면 관리자가 IoT Central 애플리케이션 내의 작업을 추적할 수 있습니다. 관리자는 누가 언제 무엇을 변경했는지 확인할 수 있습니다. 자세한 내용은 감사 로그를 사용하여 IoT Central 애플리케이션에서 작업 추적을 참조하세요.

다음 단계

이제 Azure IoT Central 애플리케이션의 보안에 대해 학습했으므로 다음 단계로 Azure IoT Central에서 사용자 및 역할 관리에 대해 알아보는 것을 제안합니다.