Compartir a través de

Guía de seguridad de IoT Central

Una aplicación de IoT Central le permite supervisar y administrar los dispositivos, lo que le permite evaluar rápidamente el escenario de IoT. Esta guía es para los administradores que administran la seguridad en aplicaciones de IoT Central.

En IoT Central, puede configurar y administrar la seguridad en las siguientes áreas:

  • Acceso de usuario a la aplicación.
  • Acceso de dispositivo a la aplicación.
  • Acceso mediante programación a la aplicación.
  • Autenticación en otros servicios de la aplicación.
  • Use una red virtual segura.
  • Los registros de auditoría realizan un seguimiento de la actividad en la aplicación.

Administrar el acceso de los usuarios

Todos los usuarios deben tener una cuenta de usuario para poder iniciar sesión y acceder a una aplicación de IoT Central. IoT Central admite actualmente cuentas de Microsoft y cuentas de Microsoft Entra, pero no grupos de Microsoft Entra.

Los roles le permiten controlar quién dentro de su organización puede realizar varias tareas en IoT Central. Cada rol tiene un conjunto específico de permisos que determinan lo que un usuario del rol puede ver y hacer en la aplicación. Hay tres roles integrados que puede asignar a los usuarios de la aplicación. También puede crear roles personalizados con permisos específicos si necesita un control más preciso.

Las organizaciones le permiten definir una jerarquía que use para administrar qué usuarios pueden ver qué dispositivos de la aplicación de IoT Central. El rol del usuario determina sus permisos sobre los dispositivos que ven y las experiencias a las que pueden acceder. Use organizaciones para implementar una aplicación multiinquilino.

Para más información, consulte:

Administración del acceso al dispositivo

Los dispositivos se autentican con la aplicación de IoT Central mediante un token de firma de acceso compartido (SAS) o un certificado X.509. Los certificados X.509 se recomiendan en entornos de producción.

En IoT Central, se usan grupos de conexiones de dispositivos para administrar las opciones de autenticación de dispositivos en la aplicación de IoT Central.

Para más información, consulte:

Controles de red para el acceso a dispositivos

De forma predeterminada, los dispositivos se conectan a IoT Central a través de la red pública de Internet. Para obtener más seguridad, conecte los dispositivos a la aplicación de IoT Central mediante un punto de conexión privado en una instancia de Azure Virtual Network.

Los puntos de conexión privados usan direcciones IP privadas desde un espacio de direcciones de red virtual para conectar los dispositivos de forma privada a la aplicación de IoT Central. El tráfico de red entre dispositivos de la red virtual y la plataforma de IoT atraviesa la red virtual y un vínculo privado en la red troncal de Microsoft, lo que elimina la exposición en la red pública de Internet.

Para más información, consulte Seguridad de red para IoT Central mediante puntos de conexión privados.

Administrar el acceso mediante programación

La API REST de IoT Central permite desarrollar aplicaciones cliente que se integran con aplicaciones de IoT Central. Use la API REST para trabajar con recursos en la aplicación de IoT Central, como plantillas de dispositivo, dispositivos, trabajos, usuarios y roles.

Cada llamada a la API rest de IoT Central requiere un encabezado de autorización que IoT Central usa para determinar la identidad del autor de la llamada y los permisos que se conceden al autor de la llamada dentro de la aplicación.

Para acceder a una aplicación de IoT Central mediante la API REST, puede usar:

  • Token al portador de Microsoft Entra. Un 'bearer token' está asociado a una cuenta de usuario de Microsoft Entra o a una entidad de servicio. El token concede al autor de la llamada los mismos permisos que tiene el usuario o la entidad de servicio en la aplicación de IoT Central.
  • Token de API de IoT Central. Un token de API está asociado a un rol en la aplicación de IoT Central.

Para más información, consulte Autenticación y autorización de llamadas a la API REST de IoT Central.

Autenticación en otros servicios

Al configurar una exportación continua de datos desde la aplicación de IoT Central a Azure Blob Storage, Azure Service Bus o Azure Event Hubs, puede usar una cadena de conexión o una identidad administrada para autenticarse. Al configurar una exportación continua de datos desde la aplicación de IoT Central a Azure Data Explorer, puede usar una entidad de servicio o una identidad administrada para autenticarse.

Las identidades administradas son más seguras porque:

  • No almacenas las credenciales de tu recurso en una cadena de conexión en tu aplicación IoT Central.
  • Las credenciales están asociadas automáticamente a la duración de la aplicación de IoT Central.
  • Las identidades administradas rotan automáticamente sus claves de seguridad con regularidad.

Para más información, consulte:

Conexión a un destino en una red virtual segura

La exportación de datos en IoT Central le permite transmitir continuamente datos de dispositivo a destinos como Azure Blob Storage, Azure Event Hubs, Mensajería de Azure Service Bus. Puede optar por bloquear estos destinos mediante una instancia de Azure Virtual Network y puntos de conexión privados. Para permitir que IoT Central se conecte a un destino en una red virtual segura, configure una excepción de firewall. Para más información, consulte Exportación de datos a un destino seguro en una instancia de Azure Virtual Network.

Registros de auditoría

Los registros de auditoría permiten a los administradores realizar un seguimiento de la actividad dentro de la aplicación de IoT Central. Los administradores pueden ver quién realizó los cambios en qué momento. Para más información, consulte Uso de registros de auditoría para realizar un seguimiento de la actividad en la aplicación de IoT Central.

Pasos siguientes

Ahora que ha aprendido sobre la seguridad en la aplicación de Azure IoT Central, el siguiente paso sugerido es obtener información sobre cómo administrar usuarios y roles en la aplicación de IoT Central.

  • Last updated on