Aggiornamento dei dispositivi di Azure per la sicurezza di rete hub IoT
Questo articolo descrive in che modo Aggiornamento dispositivi di Azure per hub IoT usa le funzionalità di sicurezza di rete seguenti per gestire gli aggiornamenti:
- Tag del servizio nei gruppi di sicurezza di rete e Firewall di Azure
- Endpoint privati in Azure Rete virtuale
Importante
Aggiornamento dispositivi non supporta la disabilitazione dell'accesso alla rete pubblica nell'hub IoT collegato.
Tag di servizio
Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. Per altre informazioni sui tag del servizio, vedere Panoramica dei tag di servizio.
È possibile usare i tag del servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o in Firewall di Azure. Quando si creano regole di sicurezza, usare i tag del servizio anziché indirizzi IP specifici. Specificando il nome del tag del servizio, ad esempio , AzureDeviceUpdatenel campo appropriato source o destination di una regola, è possibile consentire o negare il traffico per il servizio corrispondente.
| Tag di servizio | Scopo | In ingresso o in uscita? | Può essere regionale? | È possibile usarlo con Firewall di Azure? |
|---|---|---|---|---|
| AzureDeviceUpdate | Aggiornamento dei dispositivi di Azure per hub IoT | Entrambi | No | Sì |
Intervalli IP a livello di area
Poiché hub IoT di Azure regole IP non supportano i tag di servizio, è necessario usare AzureDeviceUpdate invece i prefissi IP dei tag del servizio. Il tag è globale, quindi la tabella seguente fornisce intervalli IP a livello di area per praticità.
È improbabile che cambino i prefissi IP seguenti, ma è consigliabile esaminare l'elenco mensilmente. Posizione indica la posizione delle risorse di Aggiornamento dispositivi.
| Ufficio | Intervalli IP |
|---|---|
| Australia orientale | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| Stati Uniti orientali | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| Stati Uniti orientali 2 | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| Stati Uniti orientali 2 EUAP | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| Europa settentrionale | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| Stati Uniti centro-meridionali | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| Asia sud-orientale | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| Svezia centrale | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| Regno Unito meridionale | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| Europa occidentale | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| West US 2 | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| Stati Uniti occidentali 3 | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
Endpoint privati
Un endpoint privato è un'interfaccia di rete speciale per un servizio di Azure nella rete virtuale. Un endpoint privato consente il traffico sicuro dalla rete virtuale agli account di Aggiornamento dispositivi tramite un collegamento privato, senza passare attraverso la rete Internet pubblica.
Un endpoint privato per l'account di Aggiornamento dispositivi offre connettività sicura tra i client nella rete virtuale e l'account di Aggiornamento dispositivi. All'endpoint privato viene assegnato un indirizzo IP incluso nell'intervallo di indirizzi IP della rete virtuale in uso. La connessione tra l'endpoint privato e i servizi Device Update usa un collegamento privato sicuro.
È possibile usare endpoint privati per le risorse di Aggiornamento dispositivi per:
- Accedere in modo sicuro all'account di Aggiornamento dispositivi da una rete virtuale tramite la rete backbone Microsoft anziché la rete Internet pubblica.
- Connettersi in modo sicuro da reti locali che si connettono alla rete virtuale usando la rete privata virtuale (VPN) o Azure ExpressRoute con peering privato.
La creazione di un endpoint privato per un account di Aggiornamento dispositivi nella rete virtuale invia una richiesta di consenso per l'approvazione al proprietario della risorsa. Se l'utente che richiede la creazione dell'endpoint privato possiede anche l'account, questa richiesta di consenso viene approvata automaticamente. In caso contrario, la connessione è in stato In sospeso fino all'approvazione.
Le applicazioni nella rete virtuale possono connettersi al servizio Aggiornamento dispositivi tramite l'endpoint privato senza problemi, usando i normali meccanismi di autorizzazione e nome host. I proprietari degli account possono gestire le richieste di consenso e gli endpoint privati nella portale di Azure nella scheda Accesso privato nella pagina Rete per la risorsa.
Connettersi a endpoint privati
I client in una rete virtuale che usano l'endpoint privato devono usare gli stessi meccanismi di autorizzazione e nome host dell'account dei client che si connettono all'endpoint pubblico. La risoluzione DNS (Domain Name System) instrada automaticamente le connessioni dalla rete virtuale all'account tramite un collegamento privato.
Per impostazione predefinita, Device Update crea una zona DNS privata collegata alla rete virtuale con l'aggiornamento necessario per gli endpoint privati. Se si usa il proprio server DNS, potrebbe essere necessario apportare modifiche alla configurazione DNS.
Modifiche al DNS per gli endpoint privati
Quando si crea un endpoint privato, il record CNAME DNS per la risorsa viene aggiornato a un alias in un sottodominio con il prefisso privatelink. Per impostazione predefinita, viene creata una zona DNS privata che corrisponde al sottodominio del collegamento privato.
Quando si accede all'URL dell'endpoint dell'account con l'endpoint privato dall'esterno della rete virtuale, viene risolto nell'endpoint pubblico del servizio. I record di risorse DNS seguenti per l'account contoso, quando si accede dall'esterno della rete virtuale che ospita l'endpoint privato, risolvere i valori seguenti:
| Record di risorse | Type | Valore risolto |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | profilo Gestione traffico di Azure |
Quando si accede dall'interno della rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint dell'account viene risolto nell'indirizzo IP dell'endpoint privato. I record di risorse DNS per l'account contoso, se risolti dall'interno della rete virtuale che ospita l'endpoint privato, sono i seguenti:
| Record di risorse | Type | Valore risolto |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Questo approccio consente l'accesso all'account sia per i client nella rete virtuale che ospita l'endpoint privato che i client all'esterno della rete virtuale.
Se si usa un server DNS personalizzato nella rete, i client possono risolvere il nome di dominio completo (FQDN) per l'endpoint dell'account di aggiornamento del dispositivo all'indirizzo IP dell'endpoint privato. Configurare il server DNS per delegare il sottodominio di collegamento privato alla zona DNS privata per la rete virtuale o configurare i record A per accountName.api.privatelink.adu.microsoft.com con l'indirizzo IP dell'endpoint privato. Il nome della zona DNS consigliato è privatelink.adu.microsoft.com.
Endpoint privati e gestione degli aggiornamenti dei dispositivi
Questa sezione si applica solo agli account di Aggiornamento dispositivi con accesso alla rete pubblica disabilitato e connessioni endpoint private approvate manualmente. La tabella seguente descrive i vari stati di connessione dell'endpoint privato e gli effetti sulla gestione degli aggiornamenti dei dispositivi, ad esempio l'importazione, il raggruppamento e la distribuzione.
| Stato connessione | Può gestire gli aggiornamenti dei dispositivi |
|---|---|
| Approvata | Sì |
| Rifiutato | No |
| In sospeso | No |
| Disconnesso | No |
Affinché la gestione degli aggiornamenti venga completata correttamente, lo stato della connessione dell'endpoint privato deve essere Approvato. Se una connessione viene rifiutata, non può essere approvata usando il portale di Azure. È necessario eliminare la connessione e crearne una nuova.