Guía de seguridad de IoT Central
Una aplicación de IoT Central le permite supervisar y administrar los dispositivos, lo que le permite evaluar rápidamente el escenario de IoT. Esta guía está orientada a administradores que administran la seguridad en las aplicaciones de IoT Central.
En IoT Central, puede configurar y administrar la seguridad en las siguientes áreas:
- Acceso de usuario a la aplicación.
- Acceso de dispositivo a la aplicación.
- Acceso mediante programación a la aplicación.
- Autenticación en otros servicios desde la aplicación.
- Use una red virtual segura.
- Los registros de auditoría realizan un seguimiento de la actividad en la aplicación.
Administrar el acceso de los usuarios
Cada usuario debe tener una cuenta de usuario antes de poder iniciar sesión y acceder a la aplicación IoT Central. IoT Central admite actualmente cuentas Microsoft y cuentas Microsoft Entra, pero no grupos Microsoft Entra.
Los roles le permiten controlar qué usuarios de la organización tienen permiso para realizar varias tareas en IoT Central. Cada rol tiene un conjunto específico de permisos que determinan lo que un usuario del rol puede ver y hacer en la aplicación. Hay tres roles integrados que se pueden asignar a los usuarios de la aplicación. También puede crear roles personalizados con permisos específicos si necesita un control más preciso.
Las organizaciones permiten definir una jerarquía que se usa para administrar qué usuarios pueden ver qué dispositivos de la aplicación de IoT Central. El rol del usuario determina sus permisos en los dispositivos que ven y las experiencias a las que pueden acceder. Use organizaciones para implementar una aplicación multiinquilino.
Para obtener más información, consulte:
- Administrar usuarios y roles en la aplicación de IoT Central
- Administración de organizaciones de IoT Central
- Uso de la API REST de IoT Central para administrar usuarios y roles
- Cómo utilizar la API REST de IoT Central para administrar organizaciones
Administración del acceso al dispositivo
Los dispositivos se autentican con la aplicación de IoT Central mediante un token de firma de acceso compartido (SAS) o un certificado X.509. Los certificados X.509 se recomiendan en entornos de producción.
En IoT central, puede usar los grupos de conexiones de dispositivos para administrar las opciones de autenticación de dispositivos en la aplicación de IoT Central.
Para obtener más información, consulte:
- Conceptos de autenticación de dispositivos en IoT Central
- Cómo conectar dispositivos con certificados X.509 a una aplicación de IoT Central
Controles de red para el acceso de dispositivos
De forma predeterminada, los dispositivos se conectan a IoT Central a través de la red pública de Internet. Para mayor seguridad, puede conectar los dispositivos a la aplicación IoT Central mediante un punto de conexión privado en una instancia de Azure Virtual Network.
Los puntos de conexión privados usan direcciones IP privadas de un espacio de direcciones de red virtual para conectar los dispositivos de forma privada a la aplicación de IoT Central. El tráfico de red entre los dispositivos de la red virtual y la plataforma de IoT atraviesa la red virtual y un vínculo privado de la red troncal de Microsoft, lo que elimina la exposición en la red pública de Internet.
Para obtener más información, consulte seguridad de red para IoT Central mediante puntos de conexión privados.
Administrar el acceso mediante programación
La API de REST de IoT Central permite desarrollar aplicaciones cliente que se integran con aplicaciones de IoT Central. Use la API de REST para trabajar con recursos de la aplicación de IoT Central, como plantillas de dispositivo, dispositivos, trabajos, usuarios y roles.
Cada llamada API de REST en IoT Central requiere un encabezado de autorización que IoT Central usa para determinar la identidad del autor de la llamada y los permisos que se conceden al autor de la llamada dentro de la aplicación.
Para acceder a la aplicación de IoT Central con la API de REST, puede usar lo siguiente:
- Token al portador de Microsoft Entra. Un token al portador está asociado a una cuenta de usuario de Microsoft Entra o a un servicio principal. El token concede al autor de la llamada los mismos permisos que tiene el usuario o la entidad de servicio en la aplicación de IoT Central.
- Token de API de IoT Central. Un token de API está asociado a un rol en la aplicación de IoT Central.
Para obtener más información, vea los procedimientos de autenticación y autorización de llamadas a la API REST de IoT Central.
Autenticación en otros servicios
Al configurar una exportación de datos continua desde la aplicación de IoT Central a Azure Blob Storage, Azure Service Bus o Azure Event Hubs, puede usar una cadena de conexión o una identidad administrada para autenticarse. Al configurar una exportación de datos continua desde la aplicación de IoT Central a Azure Data Explorer, puede usar una entidad de servicio o una identidad administrada para autenticarse.
Las identidades administradas son más seguras porque:
- No se almacenan las credenciales del recurso en una cadena de conexión en la aplicación IoT Central.
- Las credenciales se vinculan automáticamente a la vigencia de la aplicación IoT Central.
- Las identidades administradas rotan automáticamente sus claves de seguridad periódicamente.
Para obtener más información, consulte:
- Exportación de datos de IoT a destinos en la nube mediante Blob Storage
- Configuración de una identidad administrada
Conexión a un destino en una red virtual segura
La exportación de datos en IoT Central permite transmitir continuamente datos de dispositivos a destinos como Azure Blob Storage, Azure Event Hubs y mensajería de Azure Service Bus. Puede optar por bloquear estos destinos utilizando una red virtual Azure y puntos de conexión privados. Para permitir que IoT Central se conecte a un destino en una red virtual segura, configure una excepción de firewall. Para obtener más información, consulte Exportación de datos a un destino seguro en una instancia de Azure Virtual Network.
Registros de auditoría
Los registros de auditoría permiten a los administradores realizar un seguimiento de la actividad dentro de la aplicación de IoT Central. Los administradores pueden ver quién realizó los cambios en qué momento. Para más información, consulte Uso de registros de auditoría para realizar un seguimiento de la actividad en la aplicación de IoT Central.
Pasos siguientes
Ahora que ha aprendido sobre la seguridad de Azure IoT Central, el siguiente paso sugerido es aprender a administrar usuarios y roles en Azure IoT Central.