Segurança de rede para IoT Central usando pontos de extremidade privados
Os pontos de extremidade padrão do IoT Central para conectividade de dispositivo são acessados usando URLs públicas. Qualquer dispositivo com uma identidade válida pode se conectar ao seu aplicativo IoT Central de qualquer local.
Use pontos de extremidade privados para limitar e proteger a conectividade do dispositivo com seu aplicativo IoT Central e permitir acesso somente por meio de sua rede virtual privada.
Os pontos de extremidade privados usam endereços IP privados de um espaço de endereço de rede virtual para conectar seus dispositivos de forma privada ao seu aplicativo IoT Central. O tráfego de rede entre os dispositivos na rede virtual e a plataforma IoT atravessa a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição na Internet pública.
Para saber mais sobre a Rede Virtual do Azure, consulte:
Pontos de extremidade privados em seu aplicativo IoT Central permitem que você:
- Projeta seu cluster configurando o firewall para bloquear todas as conexões de dispositivo no ponto de extremidade público.
- Aumente a segurança da rede virtual, permitindo que você proteja os dados na rede virtual.
- Conecte dispositivos com segurança ao IoT Central a partir de redes locais que se conectam à rede virtual por meio de um gateway de VPN ou emparelhamento privado do ExpressRoute.
O uso de pontos de extremidade privados no IoT Central é apropriado para dispositivos conectados a uma rede local. Você não deve usar pontos de extremidade privados para dispositivos implantados em uma rede de longa distância, como a Internet.
O que é um ponto de extremidade privado?
Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua rede virtual à qual são atribuídos endereços IP do intervalo de endereços IP de sua rede virtual. O ponto de extremidade privado fornece conectividade segura entre os dispositivos na rede virtual e a plataforma IoT à qual eles se conectam. A conexão entre o ponto de extremidade privado e a plataforma da Internet das Coisas do Azure usa um link privado seguro:
Os dispositivos conectados à rede virtual podem se conectar diretamente ao cluster por meio do ponto de extremidade privado. Os mecanismos de autorização são os mesmos que você usaria para se conectar aos pontos de extremidade públicos. No entanto, você precisa atualizar o URL de conexão do DPS porque o URL do host global.azure-devices-provisioning.net de provisionamento global não é resolvida quando o acesso à rede pública está desabilitado para seu aplicativo.
Quando você cria um ponto de extremidade privado para um cluster em sua rede virtual, uma solicitação de consentimento é enviada para aprovação pelo proprietário da assinatura. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário da assinatura, a solicitação será aprovada automaticamente. Os proprietários de assinaturas podem gerenciar solicitações de consentimento e pontos de extremidade privados para o cluster no portal do Azure, em Pontos de extremidade privados.
Cada aplicativo IoT Central pode dar suporte a vários pontos de extremidade privados, cada um dos quais pode estar localizado em uma rede virtual em uma região diferente. Se você planeja usar vários pontos de extremidade privados, tome cuidado adicional para configurar o DNS e para planejar o tamanho de suas sub-redes de rede virtual.
Planejar o tamanho da sub-rede em sua rede virtual
O tamanho da sub-rede em sua rede virtual não pode ser alterado após a criação da sub-rede. Portanto, é importante planejar o tamanho da sub-rede e permitir o crescimento futuro.
O IoT Central cria vários FQDNs visíveis do cliente como parte de uma implantação de ponto de extremidade privado. Além do FQDN para o IoT Central, há FQDNs para os recursos subjacentes de Hub IoT, Hubs de Eventos e Serviço de Provisionamento de Dispositivos.
O ponto de extremidade privado do IoT Central usa vários endereços IP de sua rede virtual e sub-rede. Além disso, com base no perfil de carga do aplicativo, o IoT Central dimensiona automaticamente seus Hubs IOT subjacentes para que o número de endereços IP usados por um ponto de extremidade privado possa aumentar. Planeje esse possível aumento ao determinar o tamanho da sub-rede.
Use as informações a seguir para ajudar a determinar o número total de endereços IP necessários em sua sub-rede:
| Uso | Número de endereços IP por ponto de extremidade privado |
|---|---|
| URL da Central de IoT | 1 |
| Hubs IoT subjacentes | 2–50 |
| Hubs de Eventos correspondentes aos Hubs IoT | 2–50 |
| Serviço de Provisionamento de Dispositivos | 1 |
| Endereços reservados do Azure | 5 |
| Total | 11-107 |
Para saber mais, confira as perguntas frequentes sobre o Azure Rede Virtual.
Observação
O tamanho mínimo da sub-rede é /28 (14 endereços IP utilizáveis). Para uso com um ponto de extremidade privado do IoT Central /24 é recomendado, o que ajuda com cargas de trabalho extremas.
Próximas etapas
Agora que você aprendeu sobre o uso de pontos de extremidade privados para conectar o dispositivo ao seu aplicativo, aqui está a próxima etapa sugerida: