Segurança de rede do IoT Central com pontos finais privados
Os pontos finais padrão do IoT Central para a conectividade do dispositivo são acedidos através de URLs públicos. Qualquer dispositivo com uma identidade válida pode ligar-se à sua aplicação do IoT Central a partir de qualquer localização.
Utilize pontos finais privados para limitar e proteger a conectividade do dispositivo à sua aplicação do IoT Central e permitir apenas o acesso através da sua rede virtual privada.
Os pontos finais privados utilizam endereços IP privados de um espaço de endereços de rede virtual para ligar os seus dispositivos em privado à sua aplicação do IoT Central. O tráfego de rede entre dispositivos na rede virtual e na plataforma IoT atravessa a rede virtual e uma ligação privada na rede principal da Microsoft, eliminando a exposição na Internet pública.
Para saber mais sobre as Redes Virtuais do Azure, veja:
Os pontos finais privados na sua aplicação do IoT Central permitem-lhe:
- Proteja o cluster ao configurar a firewall para bloquear todas as ligações de dispositivos no ponto final público.
- Aumente a segurança da rede virtual ao permitir-lhe proteger dados na rede virtual.
- Ligue dispositivos de forma segura ao IoT Central a partir de redes no local que se ligam à rede virtual através de um gateway de VPN ou peering privado do ExpressRoute .
A utilização de pontos finais privados no IoT Central é adequada para dispositivos ligados a uma rede no local. Não deve utilizar pontos finais privados para dispositivos implementados numa rede alargada, como a Internet.
O que é um ponto final privado?
Um ponto final privado é uma interface de rede especial para um serviço do Azure na sua rede virtual que tem os endereços IP atribuídos a partir do intervalo de endereços IP da sua rede virtual. O ponto final privado fornece conectividade segura entre os seus dispositivos na rede virtual e a plataforma IoT à qual se ligam. A ligação entre o ponto final privado e a plataforma IoT do Azure utiliza uma ligação privada segura:
Os dispositivos ligados à rede virtual podem ligar-se facilmente ao cluster através do ponto final privado. Os mecanismos de autorização são os mesmos que utilizaria para ligar aos pontos finais públicos. No entanto, tem de atualizar o URL de ligação do DPS porque o URL do anfitrião global.azure-devices-provisioning.net de aprovisionamento global não é resolvido quando o acesso à rede pública está desativado para a sua aplicação.
Quando cria um ponto final privado para um cluster na sua rede virtual, é enviado um pedido de consentimento para aprovação pelo proprietário da subscrição. Se o utilizador que pede a criação do ponto final privado também for proprietário da subscrição, o pedido é aprovado automaticamente. Os proprietários de subscrições podem gerir pedidos de consentimento e pontos finais privados para o cluster no portal do Azure, em Pontos finais privados.
Cada aplicação do IoT Central pode suportar vários pontos finais privados, cada um dos quais pode estar localizado numa rede virtual numa região diferente. Se planeia utilizar vários pontos finais privados, tenha cuidado extra para configurar o DNS e planear o tamanho das sub-redes da rede virtual.
Planear o tamanho da sub-rede na sua rede virtual
O tamanho da sub-rede na sua rede virtual não pode ser alterado após a criação da sub-rede. Por conseguinte, é importante planear o tamanho da sub-rede e permitir um crescimento futuro.
O IoT Central cria vários FQDNs visíveis pelo cliente como parte de uma implementação de ponto final privado. Além do FQDN para IoT Central, existem FQDNs para os recursos subjacentes Hub IoT, Hubs de Eventos e Serviço de Aprovisionamento de Dispositivos.
O ponto final privado do IoT Central utiliza vários endereços IP da sua rede virtual e sub-rede. Além disso, com base no perfil de carga da aplicação, o IoT Central dimensiona automaticamente os hubs IoT subjacentes para que o número de endereços IP utilizados por um ponto final privado possa aumentar. Planeie este possível aumento quando determinar o tamanho da sub-rede.
Utilize as seguintes informações para ajudar a determinar o número total de endereços IP necessários na sua sub-rede:
| Utilização | Número de endereços IP por ponto final privado |
|---|---|
| IoT Central URL | 1 |
| Hubs IoT subjacentes | 2-50 |
| Hubs de Eventos correspondentes aos hubs IoT | 2-50 |
| Serviço de Aprovisionamento do Dispositivos | 1 |
| Endereços reservados do Azure | 5 |
| Total | 11-107 |
Para saber mais, veja FAQ sobre o Azure Azure Rede Virtual.
Nota
O tamanho mínimo da sub-rede é /28 (14 endereços IP utilizáveis). Para utilização com um ponto /24 final privado do IoT Central é recomendado, o que ajuda com cargas de trabalho extremas.
Passos seguintes
Agora que aprendeu a utilizar pontos finais privados para ligar o dispositivo à sua aplicação, eis o próximo passo sugerido: