Guia de segurança do IoT Central

  • Artigo

Um aplicativo do IoT Central permite monitorar e gerenciar seus dispositivos, permitindo que você avalie rapidamente seu cenário de IoT. Este guia destina-se a administradores que gerenciam aplicativos IoT Central.

No IoT Central, você pode configurar e gerenciar a segurança nas seguintes áreas:

  • Acesso do usuário ao seu aplicativo.
  • Acesso do dispositivo ao seu aplicativo.
  • Acesso programático ao seu aplicativo.
  • Autenticação do seu aplicativo em outros serviços.
  • Use uma rede virtual segura.
  • Os logs de auditoria rastreiam a atividade no aplicativo.

Gerenciar o acesso de usuário

Cada usuário deve ter uma conta de usuário antes de poder entrar e acessar um aplicativo IoT Central. Atualmente, o IoT Central dá suporte a contas Microsoft e contas do Microsoft Entra, mas não a grupos do Microsoft Entra.

As funções permitem controlar quem na sua organização pode executar várias tarefas no IoT Central. Cada função tem um conjunto específico de permissões que determinam o que um usuário na função pode ver e fazer no aplicativo. Existem três funções que você pode atribuir aos usuários do seu aplicativo. Você também poderá criar funções personalizadas com permissões específicas se precisar de um controle mais refinado.

As organizações permitem definir uma hierarquia para gerenciar quais usuários podem ver quais dispositivos no aplicativo IoT Central. A função do usuário determina as permissões sobre os dispositivos que ele vê e as experiências que ele pode acessar. Use organizações para implementar um aplicativo com multilocatário.

Para obter mais informações, consulte:

Gerenciar o acesso de dispositivo

A autenticação de dispositivos com o aplicativo do IoT Central ocorre por meio de um token de SAS (Assinatura de Acesso Compartilhado) ou de um certificado X.509. Os certificados X.509 são recomendados para ambientes de produção.

No IoT Central, você usa grupos de conexão de dispositivo para gerenciar as opções de autenticação de dispositivo no aplicativo do IoT Central.

Para obter mais informações, consulte:

Controles de rede para acesso ao dispositivo

Por padrão, os dispositivos se conectam ao IoT Central pela internet pública. Para aumentar a segurança, conecte seus dispositivos ao seu aplicativo IoT Central usando um ponto de extremidade privado em uma Rede Virtual do Microsoft Azure.

Os pontos de extremidade privados usam endereços IP privados de um espaço de endereço de rede virtual para conectar seus dispositivos de forma privada ao seu aplicativo IoT Central. O tráfego de rede entre os dispositivos na rede virtual e a plataforma IoT atravessa a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição na Internet pública.

Para saber mais, use Segurança de rede para IoT Central usando pontos de extremidade privados.

Gerenciar acesso programático

A API REST do IoT Central permite que você desenvolva aplicativos cliente que se integram aos aplicativos do IoT Central. Use a API REST para trabalhar com recursos no aplicativo do IoT Central, como modelos de dispositivo, dispositivos, trabalhos, usuários e funções.

Cada chamada à API REST do IoT Central exige um cabeçalho de autorização que o IoT Central usa para determinar a identidade do chamador e as permissões que ele recebeu no aplicativo.

Para acessar um aplicativo do IoT Central usando a API REST, você pode usar um:

  • Token de portador do Microsoft Entra. Um token de portador está associado a uma conta de usuário do Microsoft Entra ou a uma entidade de serviço. O token concede ao chamador as mesmas permissões do usuário ou entidade de serviço no aplicativo do IoT Central.
  • Token de API do IoT Central. Um token de API está associado a uma função no aplicativo do IoT Central.

Para saber mais, confira Como autenticar e autorizar chamadas à API REST do IoT Central.

Autenticar em outros serviços

Ao configurar uma exportação contínua de dados do aplicativo IoT Central para o Armazenamento de Blobs do Azure, o Barramento de Serviço do Azure ou o Hubs de Eventos do Azure, você pode usar uma cadeia de conexão ou uma identidade gerenciada para autenticar. Ao configurar uma exportação de dados contínua de seu aplicativo IoT Central para o Azure Data Explorer, você pode usar uma entidade de serviço ou uma identidade gerenciada para autenticar.

As identidades gerenciadas são mais seguras porque:

  • Você não armazena as credenciais do recurso em uma cadeia de conexão no aplicativo IoT Central.
  • As credenciais são vinculadas automaticamente ao tempo de vida do aplicativo IoT Central.
  • As identidades gerenciadas giram automaticamente suas chaves de segurança de forma regular.

Para obter mais informações, consulte:

Conectar-se a um destino em uma rede virtual segura

A exportação de dados no IoT Central permite transmitir continuamente dados do dispositivo para destinos como o Armazenamento de Blobs do Azure, os Hubs de Eventos do Azure, e Mensagens do Barramento de Serviço do Azure. Você pode optar por bloquear esses destinos usando uma Rede Virtual do Microsoft Azure e pontos de extremidade privados. Para permitir que o IoT Central se conecte a um destino em uma rede virtual segura, configure uma exceção de firewall. Para saber mais, confira Exportar dados para um destino seguro em uma Rede Virtual do Azure.

Logs de auditoria

Os logs de auditoria permitem que os administradores rastreiem a atividade em seu aplicativo IoT Central. Os administradores podem ver quem fez quais alterações e em que momentos. Para saber mais, confira Usar logs de auditoria para rastrear a atividade em seu aplicativo IoT Central.

Próximas etapas

Agora que você aprendeu sobre a segurança no seu aplicativo Azure IoT Central, a próxima etapa sugerida é aprender a gerenciar usuários e funções no Azure IoT Central.