Sécurité réseau pour IoT Central à l’aide de points de terminaison privés
Les points de terminaison IoT Central standard pour la connectivité des appareils sont accessibles à l’aide d’URL publiques. Tout appareil avec une identité valide peut se connecter à votre application IoT Central à partir de n’importe quel emplacement.
Utilisez des points de terminaison privés pour limiter et sécuriser la connectivité des appareils à votre application IoT Central et autoriser uniquement l’accès via votre réseau virtuel privé.
Les points de terminaison privés utilisent des adresses IP privées d’un espace d’adressage de réseau virtuel pour connecter vos appareils en privé à votre application IoT Central. Le trafic réseau entre les appareils figurant sur le réseau virtuel et la plateforme IoT traverse le réseau virtuel et une liaison privée sur le réseau principal de Microsoft, ce qui élimine toute exposition sur l’Internet public.
Pour en savoir plus sur les réseaux virtuels Azure, consultez :
Les points de terminaison privés de votre application IoT Central vous permettent d’effectuer les opérations suivantes :
- Sécuriser votre cluster en configurant le pare-feu de façon à bloquer toutes les connexions d’appareils sur le point de terminaison public.
- Augmentez la sécurité du réseau virtuel en vous permettant de protéger les données sur le réseau virtuel.
- Connecter en toute sécurité les appareils à IoT Central à partir de réseaux locaux qui se connectent au réseau virtuel à l’aide d’un Peering privé de passerelle VPN ou ExpressRoute.
L’utilisation de points de terminaison privés dans IoT Central est appropriée pour les appareils connectés à un réseau local. Vous ne devez pas utiliser des points de terminaison privés pour les appareils déployés sur un réseau étendu, tel qu’Internet.
Qu’est-ce qu’un point de terminaison privé ?
Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans votre réseau virtuel auquel des adresses IP ont été attribuées à partir de la plage d’adresses IP de votre réseau virtuel. Le point de terminaison privé offre une connectivité sécurisée entre vos appareils sur le réseau virtuel et la plateforme IoT à laquelle ils se connectent. La connexion entre un point de terminaison privé et la plateforme Azure IoT utilise une liaison privée sécurisée :
Les appareils connectés au réseau virtuel peuvent se connecter en toute transparence au cluster via le point de terminaison privé. Les mécanismes d’autorisation sont les mêmes que ceux que vous utiliseriez pour vous connecter aux points de terminaison publics. Toutefois, vous devez mettre à jour l’URL de connexion DPS, car l’URL global.azure-devices-provisioning.net de l’hôte d’approvisionnement global n’est pas résolue lorsque l’accès au réseau public est désactivé pour votre application.
Lorsque vous créez un point de terminaison privé pour un cluster dans votre réseau virtuel, une demande de consentement est envoyée pour approbation par le propriétaire de l’abonnement. Si l’utilisateur qui demande la création du point de terminaison privé est également propriétaire de l’abonnement, la requête est automatiquement approuvée. Les propriétaires de l’abonnement peuvent gérer les requêtes de consentement et les points de terminaison privés pour le cluster dans le Portail Azure, dans Points de terminaison privés.
Chaque application IoT Central peut prendre en charge plusieurs points de terminaison privés, chacun d’entre eux pouvant se trouver dans un réseau virtuel d’une autre région. Si vous envisagez d’utiliser plusieurs points de terminaison privés, veillez à configurer votre DNS et à planifier la taille des sous-réseaux de votre réseau virtuel.
Planifier la taille du sous-réseau dans votre réseau virtuel
La taille du sous-réseau dans votre réseau virtuel ne peut pas être modifiée une fois le sous-réseau créé. Par conséquent, il est important de planifier la taille du sous-réseau et de permettre une croissance future.
IoT Central crée plusieurs noms de domaine complets (FQDN) visibles par le client dans le cadre du déploiement d’un point de terminaison privé. Outre le nom de domaine complet pour IoT Central, il existe des noms de domaine complets pour les ressources IoT Hub, Event Hubs et du service de provisionnement des appareils sous-jacents.
Le point de terminaison privé IoT Central utilise plusieurs adresses IP de votre réseau virtuel et de sous-réseau. En outre, en fonction du profil de charge de l’application, IoT Central met automatiquement à l’échelle ses IoT Hubs sous-jacents afin que le nombre d’adresses IP utilisées par un point de terminaison privé puisse augmenter. Planifiez cette potentielle augmentation lorsque vous déterminez la taille du sous-réseau.
Utilisez les informations suivantes pour vous aider à déterminer le nombre total d’adresses IP nécessaires dans votre sous-réseau :
| Utilisation | Nombre d’adresses IP par point de terminaison privé |
|---|---|
| URL d’IoT Central | 1 |
| Hubs IoT sous-jacents | 2-50 |
| Event Hubs correspondant aux hubs IoT | 2-50 |
| Device Provisioning Service | 1 |
| Adresses réservées Azure | 5 |
| Total | 11-107 |
Pour en savoir plus, consultez le FAQ sur Réseau virtuel Azure.
Notes
La taille minimale du sous-réseau est de /28 (14 adresses IP utilisables). Pour utiliser un point de terminaison privé IoT Central, /24 est recommandé, qui facilite les charges de travail extrêmes.
Étapes suivantes
Maintenant que vous avez appris à utiliser des points de terminaison privés pour connecter un appareil à votre application, voici l’étape suivante suggérée :