Compartilhar via

Guia de segurança do IoT Central

Um aplicativo do IoT Central permite monitorar e gerenciar seus dispositivos, permitindo que você avalie rapidamente seu cenário de IoT. Este guia é para administradores que gerenciam a segurança em aplicativos do IoT Central.

No IoT Central, você pode configurar e gerenciar a segurança nas seguintes áreas:

  • Acesso do usuário ao seu aplicativo.
  • Acesso do dispositivo ao seu aplicativo.
  • Acesso programático ao seu aplicativo.
  • Autenticação para outros serviços do aplicativo.
  • Use uma rede virtual segura.
  • Os logs de auditoria acompanham a atividade no aplicativo.

Gerenciar o acesso de usuário

Cada usuário deve ter uma conta de usuário antes de poder entrar e acessar um aplicativo do IoT Central. Atualmente, o IoT Central dá suporte a contas da Microsoft e contas do Microsoft Entra, mas não a grupos do Microsoft Entra.

As funções permitem controlar quem dentro de sua organização tem permissão para realizar várias tarefas no IoT Central. Cada função tem um conjunto específico de permissões que determinam o que um usuário na função pode ver e fazer no aplicativo. Há três funções internas que você pode atribuir aos usuários do aplicativo. Você também pode criar funções personalizadas com permissões específicas se precisar de um controle mais refinado.

As organizações permitem definir uma hierarquia que você usa para gerenciar quais usuários podem ver quais dispositivos em seu aplicativo IoT Central. A função do usuário determina suas permissões sobre os dispositivos que ele vê e as experiências que pode acessar. Use organizações para implementar um aplicativo com multilocatário.

Para saber mais, confira:

Gerenciar o acesso ao dispositivo

Os dispositivos se autenticam com o aplicativo IoT Central usando um token SAS (assinatura de acesso compartilhado) ou um certificado X.509. Certificados X.509 são recomendados em ambientes de produção.

No IoT Central, você usa grupos de conexões de dispositivo para gerenciar as opções de autenticação de dispositivo em seu aplicativo IoT Central.

Para saber mais, confira:

Controles de rede para acesso ao dispositivo

Por padrão, os dispositivos se conectam ao IoT Central pela Internet pública. Para obter mais segurança, conecte seus dispositivos ao aplicativo IoT Central usando um ponto de extremidade privado em uma Rede Virtual do Azure.

Os pontos de extremidade privados usam endereços IP privados de um espaço de endereço de rede virtual para conectar seus dispositivos de forma privada ao aplicativo IoT Central. O tráfego de rede entre dispositivos na rede virtual e na plataforma IoT percorre a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição na Internet pública.

Para saber mais, use Segurança de rede para IoT Central usando pontos de extremidade privados.

Gerenciar o acesso programático

A API REST do IoT Central permite desenvolver aplicativos cliente que se integram a aplicativos do IoT Central. Use a API REST para trabalhar com recursos em seu aplicativo IoT Central, como modelos de dispositivo, dispositivos, trabalhos, usuários e funções.

Cada chamada à API REST do IoT Central requer um cabeçalho de autorização que o IoT Central usa para determinar a identidade do chamador e as permissões concedidas pelo chamador no aplicativo.

Para acessar um aplicativo do IoT Central usando a API REST, você pode usar um:

  • Token de portador do Microsoft Entra. Um token de portador está associado a uma conta de usuário do Microsoft Entra ou a uma entidade de serviço. O token concede ao chamador as mesmas permissões que o usuário ou a entidade de serviço tem no aplicativo IoT Central.
  • Token de API do IoT Central. Um token de API está associado a uma função em seu aplicativo IoT Central.

Para saber mais, confira Como autenticar e autorizar chamadas à API REST do IoT Central.

Autenticar em outros serviços

Ao configurar uma exportação contínua de dados de seu aplicativo do IoT Central para o Armazenamento de Blobs do Azure, o Barramento de Serviço do Azure ou os Hubs de Eventos do Azure, você pode usar uma cadeia de conexão ou uma identidade gerenciada para autenticar. Ao configurar uma exportação contínua de dados do aplicativo IoT Central para o Azure Data Explorer, você pode usar um princípio de serviço ou uma identidade gerenciada para autenticação.

As identidades gerenciadas são mais seguras porque:

  • Você não armazena as credenciais do recurso em uma cadeia de conexão em seu aplicativo do IoT Central.
  • As credenciais são automaticamente vinculadas ao tempo de vida do aplicativo IoT Central.
  • As identidades gerenciadas giram automaticamente as chaves de segurança regularmente.

Para saber mais, confira:

Conectar-se a um destino em uma rede virtual segura

A exportação de dados no IoT Central permite transmitir continuamente dados do dispositivo para destinos como o Armazenamento de Blobs do Azure, os Hubs de Eventos do Azure, e Mensagens do Barramento de Serviço do Azure. Você pode optar por bloquear esses destinos usando uma Rede Virtual do Azure e pontos de extremidade privados. Para permitir que o IoT Central se conecte a um destino em uma rede virtual segura, configure uma exceção de firewall. Para saber mais, confira Exportar dados para um destino seguro em uma Rede Virtual do Azure.

Logs de auditoria

Os logs de auditoria permitem que os administradores acompanhem a atividade em seu aplicativo do IoT Central. Os administradores podem ver quem fez as alterações em que horas. Para saber mais, confira Usar logs de auditoria para acompanhar a atividade em seu aplicativo do IoT Central.

Próximas etapas

Agora que você aprendeu sobre segurança em seu aplicativo do Azure IoT Central, a próxima etapa sugerida é aprender a gerenciar usuários e funções em seu aplicativo do IoT Central.

  • Last updated on