Zabezpečení sítě ve službě Azure Device Update pro IoT Hub
Tento článek popisuje, jak Azure Device Update pro IoT Hub používá ke správě aktualizací následující funkce zabezpečení sítě:
- Značky služeb ve skupinách zabezpečení sítě a ve službě Azure Firewall
- Privátní koncové body ve službě Azure Virtual Network
Důležité
Služba Device Update nepodporuje zakázání přístupu k veřejné síti v propojeném centru IoT.
Značky služeb
Značka služby představuje skupinu předpon IP adres z konkrétní služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Další informace o značkách služeb najdete v tématu Přehled značek služeb.
Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo službě Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby, například AzureDeviceUpdatev příslušném source poli nebo destination poli pravidla, můžete povolit nebo odepřít provoz pro odpovídající službu.
| Značka služby | Účel | Příchozí nebo odchozí? | Může být regionální? | Může se používat se službou Azure Firewall? |
|---|---|---|---|---|
| AzureDeviceUpdate | Azure Device Update pro IoT Hub | Oboje | No | Ano |
Rozsahy místních IP adres
Vzhledem k tomu, že pravidla IP adres služby Azure IoT Hub nepodporují značky služeb, musíte místo toho použít AzureDeviceUpdate předpony IP značek služeb. Značka je globální, takže následující tabulka poskytuje rozsahy místních IP adres pro usnadnění.
Následující předpony IP adres se pravděpodobně nezmění, ale seznam byste měli zkontrolovat měsíčně. Umístění znamená umístění prostředků služby Device Update.
| Umístění | Rozsahy IP adres |
|---|---|
| Austrálie – východ | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| USA – východ | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| USA – východ 2 | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| USA – východ 2 (EUAP) | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| Severní Evropa | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| Středojižní USA | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| Southeast Asia | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| Švédsko – střed | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| Velká Británie – jih | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| Západní Evropa | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| Západní USA 2 | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| USA – západ 3 | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
Privátní koncové body
Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti. Privátní koncový bod umožňuje zabezpečený provoz z vaší virtuální sítě do účtů služby Device Update přes privátní propojení bez průchodu veřejným internetem.
Privátní koncový bod pro váš účet Device Update poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a účtem Device Update. Privátní koncový bod má přiřazenou IP adresu z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a službami Device Update používá zabezpečené privátní propojení.
Privátní koncové body pro prostředky služby Device Update můžete použít k:
- Zabezpečený přístup k vašemu účtu Device Update z virtuální sítě přes páteřní síť Microsoftu místo veřejného internetu.
- Bezpečně se připojte z místních sítí, které se připojují k virtuální síti pomocí virtuální privátní sítě (VPN) nebo Azure ExpressRoute s privátním partnerským vztahem.
Vytvoření privátního koncového bodu pro účet služby Device Update ve virtuální síti odešle vlastníkovi prostředku žádost o souhlas. Pokud uživatel požadující vytvoření privátního koncového bodu také vlastní účet, bude tato žádost o souhlas automaticky schválena. V opačném případě je připojení ve stavu Čeká na vyřízení , dokud nebude schváleno.
Aplikace ve virtuální síti se můžou bez problémů připojit ke službě Device Update přes privátní koncový bod pomocí obvyklých mechanismů názvu hostitele a autorizace. Vlastníci účtů můžou spravovat žádosti o souhlas a privátní koncové body na webu Azure Portal na kartě Privátní přístup na stránce Sítě pro daný prostředek.
Připojení k privátním koncovým bodům
Klienti ve virtuální síti, která používá privátní koncový bod, by měli používat stejné mechanismy hostitele účtu a autorizační mechanismy jako klienti připojující se k veřejnému koncovému bodu. Překlad DNS (Domain Name System) automaticky směruje připojení z virtuální sítě k účtu přes privátní propojení.
Ve výchozím nastavení služba Device Update vytvoří privátní zónu DNS připojenou k virtuální síti s potřebnou aktualizací pro privátní koncové body. Pokud používáte vlastní server DNS, možná budete muset provést změny konfigurace DNS.
Změny DNS pro privátní koncové body
Při vytváření privátního koncového bodu se záznam DNS CNAME prostředku aktualizuje na alias v subdoméně s předponou privatelink. Ve výchozím nastavení se vytvoří privátní zóna DNS, která odpovídá subdoméně privátního propojení.
Když je adresa URL koncového bodu účtu s privátním koncovým bodem přístupná mimo virtuální síť, přeloží se na veřejný koncový bod služby. Následující záznamy prostředků DNS pro účet contoso, při přístupu z mimo virtuální síť, která je hostitelem privátního koncového bodu, přeložit na následující hodnoty:
| Záznam prostředku | Typ | Vyřešená hodnota |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | Profil Azure Traffic Manageru |
Při přístupu z virtuální sítě hostující privátní koncový bod se adresa URL koncového bodu účtu přeloží na IP adresu privátního koncového bodu. Záznamy prostředků DNS pro účet contoso, při překladu z virtuální sítě hostující privátní koncový bod, jsou následující:
| Záznam prostředku | Typ | Vyřešená hodnota |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Tento přístup umožňuje přístup k účtu jak pro klienty ve virtuální síti, která je hostitelem privátního koncového bodu, tak k klientům mimo virtuální síť.
Pokud ve své síti používáte vlastní server DNS, můžou klienti přeložit plně kvalifikovaný název domény (FQDN) koncového bodu účtu aktualizace zařízení na IP adresu privátního koncového bodu. Nakonfigurujte server DNS tak, aby delegovali subdoménu privátního propojení do zóny privátního DNS pro virtuální síť nebo nakonfigurovali záznamy A s accountName.api.privatelink.adu.microsoft.com IP adresou privátního koncového bodu. Doporučený název zóny DNS je privatelink.adu.microsoft.com.
Privátní koncové body a správa aktualizací zařízení
Tato část se týká jenom účtů služby Device Update, které mají ručně schválená připojení k veřejné síti a připojení privátních koncových bodů. Následující tabulka popisuje různé stavy připojení privátního koncového bodu a vliv na správu aktualizací zařízení, jako je import, seskupování a nasazení.
| Stav připojení | Může spravovat aktualizace zařízení |
|---|---|
| Schválený | Ano |
| Zamítnuto | No |
| Nevyřízeno | No |
| Odpojeno | No |
Aby správa aktualizací byla úspěšná, musí být stav připojení privátního koncového bodu schválen. Pokud je připojení odmítnuto, nejde ho schválit pomocí webu Azure Portal. Musíte odstranit připojení a vytvořit nové.