Partilhar via


Segurança de rede para IoT Central usando pontos de extremidade privados

Os pontos de extremidade padrão do IoT Central para conectividade de dispositivos são acessados usando URLs públicas. Qualquer dispositivo com uma identidade válida pode se conectar ao seu aplicativo IoT Central de qualquer local.

Use pontos de extremidade privados para limitar e proteger a conectividade do dispositivo ao seu aplicativo IoT Central e permita o acesso apenas por meio de sua rede virtual privada.

Os pontos de extremidade privados usam endereços IP privados de um espaço de endereço de rede virtual para conectar seus dispositivos de forma privada ao seu aplicativo IoT Central. O tráfego de rede entre dispositivos na rede virtual e a plataforma IoT atravessa a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição na internet pública.

Para saber mais sobre as Redes Virtuais do Azure, consulte:

Os pontos de extremidade privados em seu aplicativo IoT Central permitem que você:

  • Proteja seu cluster configurando o firewall para bloquear todas as conexões de dispositivo no ponto de extremidade público.
  • Aumente a segurança da rede virtual, permitindo que você proteja os dados na rede virtual.
  • Conecte dispositivos com segurança ao IoT Central a partir de redes locais que se conectam à rede virtual usando um gateway VPN ou emparelhamento privado da Rota Expressa.

O uso de pontos de extremidade privados no IoT Central é apropriado para dispositivos conectados a uma rede local. Você não deve usar pontos de extremidade privados para dispositivos implantados em uma rede de área ampla, como a Internet.

O que é um ponto final privado?

Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua rede virtual que recebe endereços IP do intervalo de endereços IP de sua rede virtual. O ponto de extremidade privado fornece conectividade segura entre seus dispositivos na rede virtual e a plataforma IoT à qual eles se conectam. A conexão entre o ponto de extremidade privado e a plataforma IoT do Azure usa um link privado seguro:

Diagrama que mostra o uso de um ponto de extremidade privado.

Os dispositivos conectados à rede virtual podem se conectar perfeitamente ao cluster através do ponto de extremidade privado. Os mecanismos de autorização são os mesmos que você usaria para se conectar aos pontos de extremidade públicos. No entanto, você precisa atualizar a URL de conexão DPS porque a URL do host global.azure-devices-provisioning.net de provisionamento global não resolve quando o acesso à rede pública está desabilitado para seu aplicativo.

Quando você cria um ponto de extremidade privado para um cluster em sua rede virtual, uma solicitação de consentimento é enviada para aprovação pelo proprietário da assinatura. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário da assinatura, a solicitação será aprovada automaticamente. Os proprietários de assinaturas podem gerenciar solicitações de consentimento e pontos de extremidade privados para o cluster no portal do Azure, em Pontos de extremidade privados.

Cada aplicativo do IoT Central pode oferecer suporte a vários pontos de extremidade privados, cada um dos quais pode estar localizado em uma rede virtual em uma região diferente. Se você planeja usar vários pontos de extremidade privados, tome cuidado extra para configurar seu DNS e planejar o tamanho de suas sub-redes de rede virtual.

Planejar o tamanho da sub-rede em sua rede virtual

O tamanho da sub-rede em sua rede virtual não pode ser alterado depois que a sub-rede é criada. Portanto, é importante planejar o tamanho da sub-rede e permitir o crescimento futuro.

O IoT Central cria vários FQDNs visíveis do cliente como parte de uma implantação de ponto de extremidade privado. Além do FQDN para IoT Central, há FQDNs para recursos subjacentes do Hub IoT, Hubs de Eventos e Serviço de Provisionamento de Dispositivos.

Captura de tela do portal do Azure que mostra os FQDNs visíveis do cliente.

O ponto de extremidade privado do IoT Central usa vários endereços IP de sua rede virtual e sub-rede. Além disso, com base no perfil de carga do aplicativo, o IoT Central dimensiona automaticamente seus Hubs IoT subjacentes para que o número de endereços IP usados por um ponto de extremidade privado possa aumentar. Planeje esse possível aumento ao determinar o tamanho da sub-rede.

Use as seguintes informações para ajudar a determinar o número total de endereços IP necessários em sua sub-rede:

Utilizar Número de endereços IP por ponto de extremidade privado
IoT Central URL 1
Hubs IoT subjacentes 2-50
Hubs de eventos correspondentes a hubs IoT 2-50
Serviço de Aprovisionamento do Dispositivos 1
Endereços reservados do Azure 5
Total 11-107

Para saber mais, consulte as Perguntas frequentes sobre a Rede Virtual do Azure Azure.

Nota

O tamanho mínimo para a sub-rede é /28 (14 endereços IP utilizáveis). Para uso com um ponto de extremidade /24 privado do IoT Central, é recomendado, o que ajuda com cargas de trabalho extremas.

Próximos passos

Agora que você aprendeu sobre como usar pontos de extremidade privados para conectar o dispositivo ao seu aplicativo, aqui está a próxima etapa sugerida: