Azure Device Update for IoT Hub 네트워크 보안
이 문서에서는 Azure Device Update for IoT Hub에서 다음 네트워크 보안 기능을 사용하여 업데이트를 관리하는 방법을 설명합니다.
- 네트워크 보안 그룹 및 Azure Firewall의 서비스 태그
- Azure Virtual Network의 프라이빗 엔드포인트
Important
디바이스 업데이트는 연결된 IoT Hub에서 공용 네트워크 액세스를 사용하지 않도록 설정하지 않습니다.
서비스 태그
서비스 태그는 특정 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다. 서비스 태그에 대한 자세한 내용은 서비스 태그 개요를 참조하세요.
서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의할 수 있습니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. 예를 들어 AzureDeviceUpdate규칙의 적절한 source 필드나 destination 필드에서 서비스 태그 이름을 지정하면 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다.
| 서비스 태그 | 목적 | 인바운드 또는 아웃바운드? | 지역 범위를 지원할 수 있나요? | Azure Firewall에서 사용할 수 있나요? |
|---|---|---|---|---|
| AzureDeviceUpdate | IoT Hub용 Azure 디바이스 업데이트 | 모두 | 예 | 예 |
지역 IP 범위
Azure IoT Hub IP 규칙은 서비스 태그를 지원하지 않으므로 서비스 태그 IP 접두사를 대신 사용해야 AzureDeviceUpdate 합니다. 태그는 전역이므로 다음 표에서는 편의를 위해 지역 IP 범위를 제공합니다.
다음 IP 접두사는 변경될 가능성이 낮지만 매월 목록을 검토해야 합니다. 위치 는 디바이스 업데이트 리소스의 위치를 의미합니다.
| 위치 | IP 범위 |
|---|---|
| 오스트레일리아 동부 | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| 미국 동부 | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| 미국 동부 2 | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| 미국 동부 2 EUAP | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| 북유럽 | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| 미국 중남부 | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| 동남 아시아 | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| 스웨덴 중부 | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| 영국 남부 | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| 서유럽 | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| 미국 서부 2 | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| 미국 서부 3 | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
프라이빗 엔드포인트
프라이빗 엔드포인트는 가상 네트워크의 Azure 서비스에 사용되는 특별한 네트워크 인터페이스입니다. 프라이빗 엔드포인트를 사용하면 공용 인터넷을 거치지 않고 프라이빗 링크를 통해 가상 네트워크에서 디바이스 업데이트 계정으로의 트래픽을 보호할 수 있습니다.
디바이스 업데이트 계정에 대한 프라이빗 엔드포인트는 가상 네트워크의 클라이언트와 디바이스 업데이트 계정 간의 보안 연결을 제공합니다. 프라이빗 엔드포인트에는 가상 네트워크의 IP 주소 범위에서 IP 주소가 할당됩니다. 프라이빗 엔드포인트와 디바이스 업데이트 서비스 간의 연결은 보안 프라이빗 링크를 사용합니다.
디바이스 업데이트 리소스에 대한 프라이빗 엔드포인트를 사용하여 다음을 수행할 수 있습니다.
- 공용 인터넷 대신 Microsoft 백본 네트워크를 통해 가상 네트워크에서 디바이스 업데이트 계정에 안전하게 액세스합니다.
- 프라이빗 피어링이 있는 VPN(가상 사설망) 또는 Azure ExpressRoute를 사용하여 가상 네트워크에 연결하는 온-프레미스 네트워크에서 안전하게 연결합니다.
가상 네트워크에서 디바이스 업데이트 계정에 대한 프라이빗 엔드포인트를 만들면 리소스 소유자에게 승인에 대한 동의 요청을 보냅니다. 프라이빗 엔드포인트 만들기를 요청하는 사용자도 계정을 소유하는 경우 이 동의 요청은 자동으로 승인됩니다. 그렇지 않으면 승인될 때까지 연결이 보류 중 상태입니다.
가상 네트워크의 애플리케이션은 일반적인 호스트 이름 및 권한 부여 메커니즘을 사용하여 프라이빗 엔드포인트를 통해 디바이스 업데이트 서비스에 원활하게 연결할 수 있습니다. 계정 소유자는 리소스에 대한 네트워킹 페이지의 프라이빗 액세스 탭에 있는 Azure Portal에서 동의 요청 및 프라이빗 엔드포인트를 관리할 수 있습니다.
프라이빗 엔드포인트에 연결
프라이빗 엔드포인트를 사용하는 가상 네트워크의 클라이언트는 퍼블릭 엔드포인트에 연결하는 클라이언트와 동일한 계정 호스트 이름 및 권한 부여 메커니즘을 사용해야 합니다. DNS(도메인 이름 시스템) 확인은 프라이빗 링크를 통해 가상 네트워크에서 계정으로 연결을 자동으로 라우팅합니다.
기본적으로 디바이스 업데이트는 프라이빗 엔드포인트에 필요한 업데이트를 사용하여 가상 네트워크에 연결된 프라이빗 DNS 영역을 만듭니다. 자체 DNS 서버를 사용하는 경우 DNS 구성을 변경해야 할 수 있습니다.
프라이빗 엔드포인트용 DNS 변경
프라이빗 엔드포인트를 만들면 리소스에 대한 DNS CNAME 레코드가 접두사를 사용하여 하위 도메인의 별칭으로 업데이트됩니다 privatelink. 기본적으로 개인 링크의 하위 도메인에 해당하는 개인 DNS 영역이 생성됩니다.
프라이빗 엔드포인트가 있는 계정 엔드포인트 URL이 가상 네트워크 외부에서 액세스되면 서비스의 퍼블릭 엔드포인트로 확인됩니다. 프라이빗 엔드포인트를 호스트하는 가상 네트워크 외부에서 액세스하는 경우 계정에 contoso대한 다음 DNS 리소스 레코드는 다음 값으로 확인됩니다.
| 리소스 레코드 | Type | 확인된 값 |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | Azure Traffic Manager 프로필 |
프라이빗 엔드포인트를 호스팅하는 가상 네트워크 내에서 액세스하면 계정 엔드포인트 URL이 프라이빗 엔드포인트의 IP 주소로 확인됩니다. 프라이빗 엔드포인트를 호스팅하는 가상 네트워크 내부에서 확인되는 계정 contoso의 DNS 리소스 레코드는 다음과 같습니다.
| 리소스 레코드 | Type | 확인된 값 |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
이 방법을 사용하면 프라이빗 엔드포인트를 호스트하는 가상 네트워크의 클라이언트와 가상 네트워크 외부의 클라이언트 모두에 대한 계정에 액세스할 수 있습니다.
네트워크에서 사용자 지정 DNS 서버를 사용하는 경우 클라이언트는 디바이스 업데이트 계정 엔드포인트의 FQDN(정규화된 도메인 이름)을 프라이빗 엔드포인트 IP 주소로 확인할 수 있습니다. 프라이빗 링크 하위 도메인을 가상 네트워크의 프라이빗 DNS 영역에 위임하도록 DNS 서버를 구성하거나 프라이빗 엔드포인트 IP 주소를 사용하여 accountName.api.privatelink.adu.microsoft.com에 대한 A 레코드를 구성합니다. 권장 DNS 영역 이름은 privatelink.adu.microsoft.com입니다.
프라이빗 엔드포인트 및 디바이스 업데이트 관리
이 섹션은 공용 네트워크 액세스가 사용하지 않도록 설정되어 있고 프라이빗 엔드포인트 연결이 수동으로 승인된 Device Update 계정에만 적용됩니다. 다음 표에서는 다양한 프라이빗 엔드포인트 연결 상태와 가져오기, 그룹화 및 배포와 같은 디바이스 업데이트 관리에 미치는 영향에 대해 설명합니다.
| 연결 상태 | 디바이스 업데이트를 관리할 수 있습니다. |
|---|---|
| 승인됨 | 예 |
| 거부됨 | 아니요 |
| 보류 중 | 아니요 |
| 연결 끊김 | 아니요 |
업데이트 관리가 성공하려면 프라이빗 엔드포인트 연결 상태를 승인해야 합니다. 연결이 거부되면 Azure Portal을 사용하여 승인할 수 없습니다. 연결을 삭제하고 새 연결을 만들어야 합니다.