Panduan keamanan IoT Central

Aplikasi IoT Central memungkinkan Anda memantau dan mengelola perangkat, memungkinkan Anda mengevaluasi skenario IoT dengan cepat. Panduan ini ditujukan untuk administrator yang mengelola keamanan di aplikasi IoT Central.

Di IoT Central, Anda dapat mengonfigurasi dan mengelola keamanan di area berikut:

• Akses pengguna ke aplikasi Anda.
• Akses perangkat ke aplikasi Anda.
• Akses terprogram ke aplikasi Anda.
• Autentikasi ke layanan lain dari aplikasi Anda.
• Gunakan jaringan virtual yang aman.
• Log audit melacak aktivitas dalam aplikasi.

Mengelola akses pengguna

Setiap pengguna harus memiliki akun pengguna sebelum mereka dapat masuk dan mengakses aplikasi IoT Central. IoT Central saat ini mendukung akun Microsoft dan akun Microsoft Entra, tetapi bukan grup Microsoft Entra.

Peran memungkinkan Anda mengontrol siapa di dalam organisasi Anda yang diizinkan untuk melakukan berbagai tugas di IoT Central. Setiap peran memiliki sekumpulan izin tertentu yang menentukan apa yang dapat dilihat dan dilakukan pengguna dalam peran dalam aplikasi. Ada tiga peran bawaan yang dapat Anda tetapkan kepada pengguna aplikasi Anda. Anda juga dapat membuat peran kustom dengan izin tertentu jika Anda memerlukan kontrol yang lebih halus.

Organisasi memungkinkan Anda menentukan hierarki yang Anda gunakan untuk mengelola pengguna mana yang dapat melihat perangkat mana di aplikasi IoT Central Anda. Peran pengguna menentukan izin mereka atas perangkat yang mereka lihat, dan pengalaman yang dapat mereka akses. Gunakan organisasi untuk mengimplementasikan aplikasi multi-penyewa.

Untuk mempelajari selengkapnya, lihat:

• Mengelola pengguna dan peran dalam aplikasi IoT Central
• Mengelola organisasi IoT Central
• Cara menggunakan IoT Central REST API untuk mengelola pengguna dan peran
• Cara menggunakan REST API IoT Central untuk mengelola organisasi

Mengelola akses perangkat

Perangkat mengautentikasi dengan aplikasi IoT Central dengan menggunakan token tanda tangan akses bersama (SAS) atau sertifikat X.509. Sertifikat X.509 direkomendasikan untuk lingkungan produksi.

Di IoT Central, Anda menggunakan grup koneksi perangkat untuk mengelola opsi autentikasi perangkat di aplikasi IoT Central Anda.

Untuk mempelajari selengkapnya, lihat:

• Konsep autentikasi perangkat di IoT Central
• Cara menyambungkan perangkat dengan sertifikat X.509 ke aplikasi IoT Central

Kontrol jaringan untuk akses perangkat

Secara default, perangkat terhubung ke IoT Central melalui internet publik. Untuk keamanan lebih lanjut, sambungkan perangkat Anda ke aplikasi IoT Central Anda dengan menggunakan titik akhir privat di Azure Virtual Network.

Titik akhir privat menggunakan alamat IP privat dari ruang alamat jaringan virtual untuk menghubungkan perangkat Anda secara privat ke aplikasi IoT Central Anda. Lalu lintas jaringan antara perangkat di jaringan virtual dan platform IoT melintasi jaringan virtual dan tautan privat di jaringan backbone Microsoft, menghilangkan paparan di internet publik.

Untuk mempelajari selengkapnya, lihat Keamanan jaringan untuk IoT Central menggunakan titik akhir privat.

Mengelola akses terprogram

IoT Central REST API memungkinkan Anda mengembangkan aplikasi klien yang terintegrasi dengan aplikasi IoT Central. Gunakan REST API untuk bekerja dengan sumber daya di aplikasi IoT Central Anda seperti templat perangkat, perangkat, pekerjaan, pengguna, dan peran.

Setiap panggilan REST API IoT Central memerlukan header otorisasi yang digunakan IoT Central untuk menentukan identitas pemanggil dan izin yang diberikan pemanggil dalam aplikasi.

Untuk mengakses aplikasi IoT Central menggunakan REST API, Anda dapat menggunakan:

• Token pembawa Microsoft Entra. Token pembawa dikaitkan dengan akun pengguna Microsoft Entra atau perwakilan layanan. Token memberikan izin yang sama seperti yang dimiliki oleh pengguna atau perwakilan layanan di aplikasi IoT Central kepada pemanggil.
• Token API IoT Central. Token API dikaitkan dengan peran dalam aplikasi IoT Central Anda.

Untuk mempelajari selengkapnya, lihat Cara mengautentikasi dan mengotorisasi panggilan IoT Central REST API.

Mengautentikasi ke layanan lain

Saat mengonfigurasi ekspor data berkelanjutan dari aplikasi IoT Central Anda ke penyimpanan Azure Blob, Azure Bus Layanan, atau Azure Event Hubs, Anda dapat menggunakan string koneksi atau identitas terkelola untuk mengautentikasi. Saat mengonfigurasi ekspor data berkelanjutan dari aplikasi IoT Central ke Azure Data Explorer, Anda dapat menggunakan perwakilan layanan atau identitas terkelola untuk mengautentikasi.

Identitas terkelola lebih aman karena:

• Anda tidak menyimpan kredensial sumber daya dalam string koneksi di aplikasi IoT Central Anda.
• Kredensial dikaitkan secara otomatis dengan masa pakai aplikasi IoT Central Anda.
• Identitas terkelola memutar secara otomatis kunci keamanan mereka secara berkala.

Untuk mempelajari selengkapnya, lihat:

• Mengekspor data IoT ke tujuan cloud menggunakan penyimpanan blob
• Mengonfigurasi identitas terkelola

Koneksi ke tujuan pada jaringan virtual yang aman

Ekspor data di IoT Central memungkinkan Anda terus mengalirkan data perangkat ke tujuan seperti Azure Blob Storage, Azure Event Hubs, Azure Bus Layanan Messaging. Anda dapat memilih untuk mengunci tujuan ini dengan menggunakan Azure Virtual Network dan titik akhir privat. Untuk mengaktifkan IoT Central agar tersambung ke tujuan pada jaringan virtual yang aman, konfigurasikan pengecualian firewall. Untuk mempelajari selengkapnya, lihat Mengekspor data ke tujuan aman di Azure Virtual Network.

Log audit

Log audit memungkinkan administrator melacak aktivitas dalam aplikasi IoT Central Anda. Administrator dapat melihat siapa yang membuat perubahan apa pada jam berapa. Untuk mempelajari lebih lanjut, lihat Menggunakan log audit untuk melacak aktivitas di aplikasi IoT Central Anda.

Langkah berikutnya

Sekarang setelah Anda mempelajari tentang keamanan di aplikasi Azure IoT Central Anda, langkah selanjutnya yang disarankan adalah mempelajari tentang Mengelola pengguna dan peran di Azure IoT Central.