Partager via


Sécurité réseau d’Azure Device Update pour IoT Hub

Cet article explique comment Azure Device Update pour IoT Hub utilise les fonctionnalités de sécurité réseau suivantes pour gérer les mises à jour :

  • Étiquettes de service dans les groupes de sécurité réseau et le Pare-feu Azure
  • Points de terminaison privés dans le Réseau virtuel Microsoft Azure

Important

Device Update ne prend pas en charge la désactivation de l’accès au réseau public dans le hub IoT.

Balises de service

Une étiquette de service représente un groupe de préfixes d’adresses IP d’un service Azure spécifique. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. Pour plus d’informations sur les étiquettes de service, consultez Vue d’ensemble des balises de service.

Vous pouvez utiliser des étiquettes de service pour définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou sur le pare-feu Azure. Utilisez des étiquettes de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service, par exemple AzureDeviceUpdate, dans le champ source ou destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant.

Balise du service Objectif Trafic entrant ou sortant ? Peut-elle être étendue à une zone régionale ? Peut-elle être utilisée avec le Pare-feu Azure ?
AzureDeviceUpdate Azure Device Update pour IoT Hub Les deux Non Oui

Plages d’adresses IP régionales

Étant donné que les règles IP d’Azure IoT Hub ne prennent pas en charge les étiquettes de service, vous devez à la place utiliser les préfixes IP d’étiquette de service AzureDeviceUpdate. L’étiquette étant globale, le tableau suivant indique les plages d’adresses IP régionales pour des raisons pratiques.

Il est peu probable que les préfixes IP suivants changent, mais vous avez tout intérêt à examiner la liste une fois par mois. La colonne Localisation indique la localisation des ressources Device Update.

Emplacement Plages d’adresses IP
Australie Est 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26
USA Est 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28
USA Est 2 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26
USA Est 2 (EUAP) 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28
Europe Nord 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26
États-Unis - partie centrale méridionale 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26
Asie Sud-Est 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26
Suède Centre 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28
Sud du Royaume-Uni 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26
Europe Ouest 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26
USA Ouest 2 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26
USA Ouest 3 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28

Points de terminaison privés

Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans votre réseau virtuel. Il permet de sécuriser le trafic entre votre réseau virtuel et vos comptes Device Update en transitant par une liaison privée, sans passer par l’Internet public.

Le point de terminaison privé de votre compte Device Update offre une connectivité sécurisée entre les clients de votre réseau virtuel et votre compte Device Update. Une adresse IP est attribuée au point de terminaison privé à partir de la plage d’adresses IP de votre réseau virtuel. La connexion entre le point de terminaison privé et les services Device Update utilise une liaison privée sécurisée.

Diagramme montrant l’architecture de Device Update utilisant un point de terminaison privé.

Vous pouvez utiliser des points de terminaison privés pour vos ressources Device Update dans le but de :

  • Accéder de manière sécurisée à votre compte Device Update depuis un réseau virtuel en empruntant le réseau principal Microsoft, et non l’Internet public.
  • Vous connecter de manière sécurisée à partir de réseaux locaux qui se connectent au réseau virtuel en utilisant le réseau privé virtuel (VPN) ou Azure ExpressRoute avec le Peering privé.

Le fait de créer un point de terminaison privé pour un compte Device Update dans votre réseau virtuel a pour effet d’envoyer une demande de consentement au propriétaire de la ressource pour approbation. Si l’utilisateur à l’origine de la demande de création du point de terminaison privé est également propriétaire du compte, cette demande de consentement est automatiquement approuvée. Sinon, la connexion reste à l’état En attente jusqu’à ce qu’elle soit approuvée.

Les applications du réseau virtuel peuvent se connecter au service Device Update en toute simplicité via le point de terminaison privé, en utilisant leur nom d’hôte et leurs mécanismes d’autorisation habituel. Les propriétaires de compte peuvent gérer les demandes de consentement et les points de terminaison privés dans le portail Azure, sous l’onglet Accès privé de la page Mise en réseau de la ressource.

Se connecter à des points de terminaison privés

Les clients d’un réseau virtuel qui utilise le point de terminaison privé doivent utiliser le même nom d’hôte du compte et les mêmes mécanismes d’autorisation que les clients se connectant au point de terminaison public. La résolution DNS (Domain Name System) achemine automatiquement les connexions du réseau virtuel vers le compte via une liaison privée.

Par défaut, Device Update crée une zone DNS privée attachée au réseau virtuel avec la mise à jour nécessaire pour les points de terminaison privés. Si vous utilisez votre propre serveur DNS, vous serez peut-être amené à apporter des modifications à votre configuration DNS.

Modifications DNS pour les points de terminaison privés

Quand vous créez un point de terminaison privé, l’enregistrement DNS CNAME de la ressource est mis à jour avec un alias d’un sous-domaine avec le préfixe privatelink. Par défaut, une zone DNS privée correspondant au sous-domaine de la liaison privée est créée.

Lorsque l’URL du point de terminaison du compte présentant le point de terminaison privé fait l’objet d’un accès de l’extérieur du réseau virtuel, elle est résolue en point de terminaison public du service. Les enregistrements de ressources DNS suivants pour le compte contoso, lorsqu’ils font l’objet d’un accès de l’extérieur du réseau virtuel qui héberge le point de terminaison privé, sont résolus avec les valeurs suivantes :

Enregistrement de ressource Type Valeur résolue
contoso.api.adu.microsoft.com CNAME contoso.api.privatelink.adu.microsoft.com
contoso.api.privatelink.adu.microsoft.com CNAME Profil Azure Traffic Manager

En cas d’accès de l’intérieur du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison du compte est résolue en adresse IP du point de terminaison privé. Les enregistrements de ressources DNS pour le compte contoso, lorsqu’ils sont résolus de l’intérieur du réseau virtuel hébergeant le point de terminaison privé, sont les suivants :

Enregistrement de ressource Type Valeur résolue
contoso.api.adu.microsoft.com CNAME contoso.api.privatelink.adu.microsoft.com
contoso.api.privatelink.adu.microsoft.com CNAME 10.0.0.5

Cette approche active l’accès au compte, à la fois pour les clients du réseau virtuel hébergeant le point de terminaison privé et pour les clients extérieurs au réseau virtuel.

Si vous utilisez un serveur DNS personnalisé sur votre réseau, les clients peuvent résoudre le nom de domaine complet (FQDN) du point de terminaison du compte Device Update en adresse IP du point de terminaison privé. Configurez votre serveur DNS pour déléguer votre sous-domaine de liaison privée à la zone DNS privée du réseau virtuel, ou configurez les enregistrements A pour accountName.api.privatelink.adu.microsoft.com avec l’adresse IP du point de terminaison privé. Le nom recommandé pour la zone DNS est privatelink.adu.microsoft.com.

Points de terminaison privés et gestion des mises à jour d’appareils

Cette section s’applique uniquement aux comptes Device Update qui ont un accès au réseau public désactivé et aux connexions de point de terminaison privés approuvées manuellement. Le tableau suivant décrit les différents états de connexion du point de terminaison privé et les effets sur la gestion des mises à jour d’appareils, notamment l’importation, le regroupement et le déploiement.

Nom du groupe du cluster du membre Gestion des mises à jour d’appareils possible ?
Approved Oui
Rejeté Non
Pending Non
Déconnecté Non

Pour permettre la gestion des mises à jour, l’état de connexion du point de terminaison privé doit être Approuvé. Si une connexion est rejetée, elle ne peut pas être approuvée à l’aide du portail Azure. Vous devez supprimer la connexion et en créer une nouvelle.