Руководство по безопасности IoT Central

Приложение IoT Central позволяет отслеживать устройства и управлять ими, позволяя быстро оценивать сценарий Интернета вещей. Это руководство предназначено для администраторов, которые управляют безопасностью в приложениях IoT Central.

В IoT Central можно настроить безопасность и управлять ими в следующих областях:

  • Доступ пользователей к приложению.
  • Доступ устройства к приложению.
  • Программный доступ к приложению.
  • Аутентификация в другие службы через ваше приложение.
  • Используйте безопасную виртуальную сеть.
  • Журналы аудита отслеживают действия в приложении.

Управление доступом пользователей

У каждого пользователя должна быть учетная запись пользователя, прежде чем они смогут войти и получить доступ к приложению IoT Central. IoT Central в настоящее время поддерживает учетные записи Майкрософт и учетные записи Microsoft Entra, но не группы Microsoft Entra.

Роли позволяют контролировать, кто в вашей организации может выполнять различные задачи в IoT Central. Каждая роль имеет определенный набор разрешений, определяющих, что пользователь в роли может видеть и делать в приложении. Существует три встроенных роли, которые можно назначить пользователям приложения. Вы также можете создавать пользовательские роли с определенными разрешениями, если требуется более детальное управление.

Организации позволяют определить иерархию, используемую для управления пользователями, которые могут видеть устройства в приложении IoT Central. Роль пользователя определяет свои разрешения на устройства, которые они видят, и возможности, к которые они могут получить доступ. Используйте организации для реализации мультитенантного приложения.

Дополнительные сведения см. на следующих ресурсах:

Управление доступом к устройству

Устройства проходят аутентификацию в приложении IoT Central, используя токен общей подписи доступа (SAS) или сертификат X.509. Сертификаты X.509 рекомендуется использовать в рабочих средах.

В IoT Central вы используете группы подключений устройств для управления параметрами проверки подлинности устройств в приложении IoT Central.

Дополнительные сведения см. на следующих ресурсах:

Сетевые элементы управления для доступа к устройству

По умолчанию устройства подключаются к IoT Central через общедоступный Интернет. Для повышения безопасности подключите устройства к приложению IoT Central с помощью частной конечной точки в виртуальной сети Azure.

Частные конечные точки используют частные IP-адреса из адресного пространства виртуальной сети для частного подключения устройств к приложению IoT Central. Сетевой трафик между устройствами в виртуальной сети и платформой Интернета вещей проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, устраняя уязвимость в общедоступном Интернете.

Дополнительные сведения см. в статье "Безопасность сети для IoT Central" с помощью частных конечных точек.

Управление программным доступом

REST API IoT Central позволяет разрабатывать клиентские приложения, которые интегрируются с приложениями IoT Central. Используйте REST API для работы с ресурсами в приложении IoT Central, таких как шаблоны устройств, устройства, задания, пользователи и роли.

Для каждого вызова REST API IoT Central требуется заголовок авторизации, который IoT Central использует для определения удостоверения вызывающего объекта и разрешений, предоставляемых вызывающим в приложении.

Чтобы получить доступ к приложению IoT Central с помощью REST API, можно использовать следующее:

  • Токен носителя Microsoft Entra. Токен носителя связан с учетной записью пользователя Microsoft Entra или учетной записью службы. Маркер предоставляет вызывающему объекту те же разрешения, что и пользователь или субъект-служба в приложении IoT Central.
  • Токен API IoT Central. Токен API связан с ролью в приложении IoT Central.

Дополнительные сведения см. в статье "Проверка подлинности и авторизация вызовов REST API IoT Central".

Аутентификация к другим службам

При настройке непрерывного экспорта данных из приложения IoT Central в хранилище BLOB-объектов Azure, служебной шины Azure или Центров событий Azure можно использовать строку подключения или управляемое удостоверение для проверки подлинности. При настройке непрерывного экспорта данных из приложения IoT Central в Azure Data Explorer можно использовать служебный принципал или управляемое удостоверение для аутентификации.

Управляемые удостоверения более безопасны, так как:

  • Учетные данные для ресурса не хранятся в строке подключения в приложении IoT Central.
  • Учетные данные автоматически привязаны к времени существования приложения IoT Central.
  • Управляемые удостоверения автоматически сменяют ключи безопасности.

Дополнительные сведения см. на следующих ресурсах:

Подключение к месту назначения в безопасной виртуальной сети

Экспорт данных в IoT Central позволяет непрерывно передавать данные устройства в места назначения, такие как хранилище BLOB-объектов Azure, Центры событий Azure, обмен сообщениями служебной шины Azure. Вы можете заблокировать эти ресурсы с помощью виртуальной сети Azure и приватных конечных точек. Чтобы разрешить IoT Central подключаться к назначению в безопасной виртуальной сети, настройте исключение брандмауэра. Дополнительные сведения см. в статье "Экспорт данных в безопасное место назначения" в виртуальной сети Azure.

Журналы аудита

Журналы аудита позволяют администраторам отслеживать действия в приложении IoT Central. Администраторы могут видеть, кто вносил изменения в то время. Дополнительные сведения см. в разделе "Использование журналов аудита" для отслеживания действий в приложении IoT Central.

Дальнейшие шаги

Теперь, когда вы узнали о безопасности в приложении Azure IoT Central, рекомендуемый следующий шаг — узнать, как управлять пользователями и ролями в приложении IoT Central.

  • Last updated on