IoT Central güvenlik kılavuzu

IoT Central uygulaması, cihazlarınızı izlemenize ve yönetmenize olanak tanır ve IoT senaryonuzu hızlı bir şekilde değerlendirmenize olanak tanır. Bu kılavuz, IoT Central uygulamalarında güvenliği yöneten yöneticilere yöneliktir.

IoT Central'da aşağıdaki alanlarda güvenliği yapılandırabilir ve yönetebilirsiniz:

• Uygulamanıza kullanıcı erişimi.
• Uygulamanıza cihaz erişimi.
• Uygulamanıza program aracılığıyla erişim.
• Uygulamanızdaki diğer hizmetler için kimlik doğrulaması.
• Güvenli bir sanal ağ kullanın.
• Denetim günlükleri uygulamadaki etkinliği izler.

Kullanıcı erişimini yönetme

Her kullanıcının bir IoT Central uygulamasında oturum açabilmesi ve uygulamaya erişebilmesi için önce bir kullanıcı hesabı olmalıdır. IoT Central şu anda Microsoft hesaplarını ve Microsoft Entra hesaplarını destekler ancak Microsoft Entra gruplarını desteklemez.

Roller , kuruluşunuzdaki kimlerin IoT Central'da çeşitli görevler gerçekleştirmesine izin verileceğinizi denetlemenizi sağlar. Her rolün, roldeki bir kullanıcının uygulamada ne görebileceğini ve neler yapabileceğini belirleyen belirli bir izin kümesi vardır. Uygulamanızın kullanıcılarına atayabileceğiniz üç yerleşik rol vardır. Daha ayrıntılı denetime ihtiyacınız varsa belirli izinlere sahip özel roller de oluşturabilirsiniz.

Kuruluşlar , IoT Central uygulamanızda hangi kullanıcıların hangi cihazları görebileceğini yönetmek için kullandığınız bir hiyerarşi tanımlamanıza olanak tanır. Kullanıcının rolü, gördüğü cihazlar ve erişebileceği deneyimler üzerindeki izinlerini belirler. Çok kiracılı bir uygulama uygulamak için kuruluşları kullanın.

Daha fazla bilgi edinmek için şu makalelere bakın:

• IoT Central uygulamanızda kullanıcıları ve rolleri yönetme
• IoT Central kuruluşlarını yönetme
• Kullanıcıları ve rolleri yönetmek için IoT Central REST API'sini kullanma
• Kuruluşları yönetmek için IoT Central REST API'sini kullanma

Cihaz erişimini yönetme

Cihazlar, paylaşılan erişim imzası (SAS) belirteci veya X.509 sertifikası kullanarak IoT Central uygulamasıyla kimlik doğrulaması yapar. X.509 sertifikaları üretim ortamlarında önerilir.

IoT Central'da, IoT Central uygulamanızdaki cihaz kimlik doğrulama seçeneklerini yönetmek için cihaz bağlantı gruplarını kullanırsınız.

Daha fazla bilgi edinmek için şu makalelere bakın:

• IoT Central'da cihaz kimlik doğrulaması kavramları
• X.509 sertifikalarına sahip cihazları IoT Central uygulamasına bağlama

Cihaz erişimi için ağ denetimleri

Varsayılan olarak, cihazlar genel İnternet üzerinden IoT Central'a bağlanır. Daha fazla güvenlik için, Azure Sanal Ağ özel uç noktasını kullanarak cihazlarınızı IoT Central uygulamanıza bağlayın.

Özel uç noktalar, cihazlarınızı IoT Central uygulamanıza özel olarak bağlamak için sanal ağ adres alanından özel IP adresleri kullanır. Sanal ağdaki cihazlar ile IoT platformu arasındaki ağ trafiği, sanal ağ ve Microsoft omurga ağındaki özel bir bağlantı arasında geçiş yaparak genel İnternet'te etkilenmeyi ortadan kaldırır.

Daha fazla bilgi edinmek için bkz . Özel uç noktaları kullanarak IoT Central için ağ güvenliği.

Programlı erişimi yönetme

IoT Central REST API,IoT Central uygulamalarıyla tümleşen istemci uygulamaları geliştirmenizi sağlar. IoT Central uygulamanızdaki cihaz şablonları, cihazlar, işler, kullanıcılar ve roller gibi kaynaklarla çalışmak için REST API'yi kullanın.

Her IoT Central REST API çağrısı, Çağıranın kimliğini ve çağıranın uygulama içinde verilen izinleri belirlemek için IoT Central'ın kullandığı bir yetkilendirme üst bilgisi gerektirir.

REST API kullanarak bir IoT Central uygulamasına erişmek için şunları kullanabilirsiniz:

• Microsoft Entra taşıyıcı belirteci. Taşıyıcı belirteci bir Microsoft Entra kullanıcı hesabıyla veya hizmet sorumlusuyla ilişkilendirilir. Belirteç, çağırana kullanıcının veya hizmet sorumlusunun IoT Central uygulamasında sahip olduğu izinleri verir.
• IoT Central API belirteci. API belirteci, IoT Central uygulamanızdaki bir rolle ilişkilendirilir.

Daha fazla bilgi edinmek için bkz . IoT Central REST API çağrılarının kimliğini doğrulama ve yetkilendirme.

Diğer hizmetlerde kimlik doğrulaması

IoT Central uygulamanızdan Azure Blob depolama, Azure Service Bus veya Azure Event Hubs'a sürekli veri dışarı aktarmayı yapılandırdığınızda, kimlik doğrulaması için bağlantı dizesi veya yönetilen kimlik kullanabilirsiniz. IoT Central uygulamanızdan Azure Veri Gezgini'a sürekli veri dışarı aktarmayı yapılandırdığınızda, kimlik doğrulaması için bir hizmet sorumlusu veya yönetilen kimlik kullanabilirsiniz.

Yönetilen kimlikler daha güvenlidir çünkü:

• IoT Central uygulamanızdaki bir bağlantı dizesi kaynağınızın kimlik bilgilerini depolamazsınız.
• Kimlik bilgileri, IoT Central uygulamanızın ömrüne otomatik olarak bağlıdır.
• Yönetilen kimlikler, güvenlik anahtarlarını düzenli olarak otomatik olarak döndürür.

Daha fazla bilgi edinmek için şu makalelere bakın:

• Blob depolamayı kullanarak IoT verilerini bulut hedeflerine aktarma
• Yönetilen kimlik yapılandırma

Güvenli bir sanal ağdaki hedefe Bağlan

IoT Central'da veri dışarı aktarma, cihaz verilerini Azure Blob Depolama, Azure Event Hubs, Azure Service Bus Mesajlaşması gibi hedeflere sürekli olarak akışla aktarmanızı sağlar. Azure Sanal Ağ ve özel uç noktaları kullanarak bu hedefleri kilitlemeyi seçebilirsiniz. IoT Central'ın güvenli bir sanal ağdaki bir hedefe bağlanmasını sağlamak için bir güvenlik duvarı özel durumu yapılandırın. Daha fazla bilgi edinmek için bkz. Azure Sanal Ağ'da verileri güvenli bir hedefe aktarma.

Denetim günlükleri

Denetim günlükleri, yöneticilerin IoT Central uygulamanızdaki etkinlikleri izlemesine olanak sağlar. Yönetici istrator'lar hangi zamanlarda kimin hangi değişiklikleri yaptığını görebilir. Daha fazla bilgi edinmek için bkz . IoT Central uygulamanızdaki etkinlikleri izlemek için denetim günlüklerini kullanma.

Sonraki adımlar

Azure IoT Central uygulamanızda güvenlik hakkında bilgi edindiğinize göre, önerilen sonraki adım Azure IoT Central'da kullanıcıları ve rolleri yönetme hakkında bilgi edinmektir.