Поделиться через


Руководство по безопасности IoT Central

Приложение IoT Central позволяет отслеживать устройства и управлять ими, позволяя быстро оценивать сценарий Интернета вещей. Это руководство предназначено для администраторов, которые управляют безопасностью в приложениях IoT Central.

В IoT Central можно настроить безопасность и управлять ими в следующих областях:

  • Доступ пользователей к приложению.
  • Доступ устройства к приложению.
  • Программный доступ к приложению.
  • Проверка подлинности в других службах из приложения.
  • Используйте безопасную виртуальную сеть.
  • Журналы аудита отслеживают действия в приложении.

Управление доступом пользователей

У каждого пользователя должна быть учетная запись пользователя, прежде чем они смогут войти и получить доступ к приложению IoT Central. IoT Central в настоящее время поддерживает учетные записи Майкрософт и учетные записи Microsoft Entra, но не группы Microsoft Entra.

Роли позволяют контролировать, кто в вашей организации может выполнять различные задачи в IoT Central. Каждая роль имеет определенный набор разрешений, определяющих, что пользователь в роли может видеть и делать в приложении. Есть три встроенные роли, которые вы можете назначить пользователям вашего приложения. Вы также можете создавать пользовательские роли с определенными разрешениями, если требуется более детальное управление.

Организации позволяют определить иерархию, используемую для управления пользователями, которые могут видеть устройства в приложении IoT Central. Роль пользователя определяет его разрешения для устройств, которые он видит, и возможностей, к которым он может получить доступ. Используйте организации для реализации мультитенантного приложения.

Дополнительные сведения см. на следующих ресурсах:

Управление доступом к устройству

Устройства проходят проверку подлинности с помощью приложения IoT Central с помощью маркера подписанного URL-адреса (SAS) или сертификата X.509. Сертификаты X.509 рекомендуется использовать в рабочих средах.

В IoT Central вы используете группы подключений устройств для управления параметрами проверки подлинности устройств в приложении IoT Central.

Дополнительные сведения см. на следующих ресурсах:

Сетевые элементы управления для доступа к устройству

По умолчанию устройства подключаются к IoT Central через общедоступный Интернет. Для повышения безопасности подключите устройства к приложению IoT Central с помощью частной конечной точки в Azure виртуальная сеть.

Частные конечные точки используют частные IP-адреса из адресного пространства виртуальной сети для частного подключения устройств к приложению IoT Central. Сетевой трафик между устройствами в виртуальной сети и платформой Интернета вещей проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, устраняя уязвимость в общедоступном Интернете.

Дополнительные сведения см. в статье "Безопасность сети для IoT Central" с помощью частных конечных точек.

Управление программным доступом

REST API IoT Central позволяет разрабатывать клиентские приложения, которые интегрируются с приложениями IoT Central. REST API можно использовать для работы с ресурсами в приложении IoT Central, такими как шаблоны устройств, устройства, задания, пользователи и роли.

Каждому вызову REST API IoT Central требуется заголовок Authorization, на основе которого IoT Central определяет удостоверение вызывающего объекта и разрешения, которые предоставляются ему в приложении.

Чтобы получить доступ к IoT Central приложению с помощью REST API, можно использовать маркеры перечисленных ниже видов.

  • Токен носителя Microsoft Entra. Маркер носителя связан с учетной записью пользователя Microsoft Entra или субъектом-службой. Этот маркер предоставляет вызывающей стороне те же разрешения, что есть у пользователя или субъекта-службы в приложении IoT Central.
  • Маркер API IoT Central. Маркер API связан с ролью в приложении IoT Central.

Дополнительные сведения см. в разделе Аутентификация и авторизация вызовов REST API IoT Central.

Проверка подлинности в других службах

При настройке непрерывного экспорта данных из приложения IoT Central в хранилище BLOB-объектов Azure, Служебная шина Azure или Центры событий Azure можно использовать строка подключения или управляемое удостоверение для проверки подлинности. При настройке непрерывного экспорта данных из приложения IoT Central в Azure Data Обозреватель можно использовать субъект-службу или управляемое удостоверение для проверки подлинности.

Управляемые удостоверения более безопасны, так как:

  • Учетные данные для ресурса не хранятся в строка подключения в приложении IoT Central.
  • Учетные данные автоматически привязаны к времени существования приложения IoT Central.
  • Управляемые удостоверения автоматически сменяют ключи безопасности.

Дополнительные сведения см. на следующих ресурсах:

Подключение в место назначения в защищенной виртуальной сети

Экспорт данных в IoT Central позволяет непрерывно передавать данные устройства в назначения, такие как Хранилище BLOB-объектов Azure, Центры событий Azure, Служебная шина Azure обмена сообщениями. Вы можете заблокировать эти назначения с помощью виртуальная сеть Azure и частных конечных точек. Чтобы разрешить IoT Central подключаться к назначению в безопасной виртуальной сети, настройте исключение брандмауэра. Дополнительные сведения см. в статье "Экспорт данных в безопасное место назначения" в виртуальная сеть Azure.

Журналы аудита

Журналы аудита позволяют администраторам отслеживать действия в приложении IoT Central. Администратор istrator может видеть, кто вносил изменения в то время. Дополнительные сведения см. в разделе "Использование журналов аудита" для отслеживания действий в приложении IoT Central.

Следующие шаги

Теперь, когда вы узнали о безопасности в приложении Azure IoT Central, рекомендуемый следующий шаг — узнать об управлении пользователями и ролями в Azure IoT Central.