다음을 통해 공유


Device Update for IoT Hub 리소스에 대한 네트워크 보안

이 문서에서는 디바이스 업데이트를 관리할 때 다음 네트워크 보안 기능을 사용하는 방법을 설명합니다.

  • 네트워크 보안 그룹 및 Azure Firewall의 서비스 태그
  • Azure Virtual Network의 프라이빗 엔드포인트

Important

연결된 IoT Hub의 공용 네트워크 액세스를 사용하지 않도록 설정하는 것은 Device Update에서 지원되지 않습니다.

서비스 태그

서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. Microsoft는 서비스 태그에 포함되는 주소 접두사를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트하여 네트워크 보안 규칙을 자주 업데이트할 때 발생하는 복잡성을 최소화합니다. 서비스 태그에 대한 자세한 내용은 서비스 태그 개요를 참조하세요.

서비스 태그를 사용하여 네트워크 보안 그룹 또는 Azure Firewall에서 네트워크 액세스 제어를 정의할 수 있습니다. 보안 규칙을 만들 때 특정 IP 주소 대신 서비스 태그를 사용합니다. 규칙의 적절한 원본 또는 대상 필드에 서비스 태그 이름(예: AzureDeviceUpdate)을 지정하면 해당 서비스에 대한 트래픽을 허용하거나 거부할 수 있습니다.

서비스 태그 목적 인바운드 또는 아웃바운드를 사용할 수 있나요? 지역 범위를 지원할 수 있나요? Azure Firewall에서 사용할 수 있나요?
AzureDeviceUpdate IoT Hub용 디바이스 업데이트. 모두

지역 IP 범위

IoT Hub IP 규칙은 서비스 태그를 지원하지 않으므로 AzureDeviceUpdate 서비스 태그 IP 접두사를 대신 사용해야 합니다. 이 태그는 현재 전역이므로 편의를 위해 다음 표를 제공합니다. 위치는 디바이스 업데이트 리소스의 위치입니다.

위치 IP 범위
오스트레일리아 동부 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26
미국 동부 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28
미국 동부 2 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26
미국 동부 2 EUAP 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28
북유럽 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26
미국 중남부 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26
동남 아시아 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26
스웨덴 중부 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28
영국 남부 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26
서유럽 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26
미국 서부 2 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26
미국 서부 3 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28

참고 항목

위의 IP 접두사는 변경될 가능성이 낮으나 한 달에 한 번 목록을 검토해야 합니다.

프라이빗 엔드포인트

프라이빗 엔드포인트를 사용하여 공용 인터넷을 통하지 않고 프라이빗 링크를 통해 가상 네트워크에서 Device Update 계정으로 트래픽을 안전하게 허용할 수 있습니다. 프라이빗 엔드포인트는 VNet의 Azure 서비스에 대한 특수한 네트워크 인터페이스입니다. Device Update 계정에 프라이빗 엔드포인트를 만들 때 VNet의 클라이언트 및 Device Update 계정 간에 보안 연결을 제공합니다. 프라이빗 엔드포인트에는 VNet의 IP 주소 범위 내에서 IP 주소가 할당됩니다. 프라이빗 엔드포인트와 Device Update 서비스 간의 연결은 보안 프라이빗 링크를 사용합니다.

Diagram that shows the Device Update for IoT Hub architecture when private endpoint is created.

Device Update 리소스에 대해 프라이빗 엔드포인트를 사용하면 다음 작업을 수행할 수 있습니다.

  • 공용 인터넷이 아닌 Microsoft 백본 네트워크를 통해 VNet에서 Device Update 계정에 안전하게 액세스할 수 있습니다.
  • 개인 피어링을 통해 VPN 또는 Express Routes를 사용하여 VNet에 연결하는 온-프레미스 네트워크에서 안전하게 연결합니다.

VNet에서 Device Update 계정에 대한 프라이빗 엔드포인트를 만들면 리소스 소유자에게 승인을 위해 동의 요청이 전송됩니다. 프라이빗 엔드포인트 만들기를 요청한 사용자가 계정의 소유자인 경우 이 동의 요청이 자동으로 승인됩니다. 그렇지 않으면 승인될 때까지 연결이 보류 중 상태가 됩니다. VNet의 애플리케이션은 다른 방법으로 사용하는 것과 동일한 호스트 이름 및 권한 부여 메커니즘을 사용하여 프라이빗 엔드포인트를 통해 Device Update 서비스에 원활하게 연결할 수 있습니다. 계정 소유자는 Azure Portal의 리소스에 대한 프라이빗 엔드포인트 탭을 통해 동의 요청 및 프라이빗 엔드포인트를 관리할 수 있습니다.

프라이빗 엔드포인트에 연결

프라이빗 엔드포인트를 사용하는 VNet의 클라이언트는 퍼블릭 엔드포인트에 연결하는 클라이언트와 동일한 계정 호스트 이름 및 권한 부여 메커니즘을 사용해야 합니다. DNS 확인은 프라이빗 링크를 통해 VNet에서 계정으로의 연결을 자동으로 라우팅합니다. 기본적으로 Device Update는 프라이빗 엔드포인트에 대한 필수 업데이트를 사용하여 VNet에 연결된 프라이빗 DNS 영역을 만듭니다. 그러나 사용자 고유의 DNS 서버를 사용하는 경우 DNS 구성을 추가로 변경해야 할 수 있습니다.

프라이빗 엔드포인트용 DNS 변경

프라이빗 엔드포인트를 만들 때 리소스에 대한 DNS CNAME 레코드는 privatelink 접두사가 있는 하위 도메인의 별칭으로 업데이트됩니다. 기본적으로 개인 링크의 하위 도메인에 해당하는 개인 DNS 영역이 생성됩니다.

프라이빗 엔드포인트를 사용하여 VNet 외부에서 계정 엔드포인트 URL을 확인하면 서비스의 퍼블릭 엔드포인트로 확인됩니다. 프라이빗 엔드포인트를 호스트하는 VNet 외부에서 확인되면 'Contoso' 계정에 대한 DNS 리소스 레코드는 다음과 같습니다.

이름 타입
contoso.api.adu.microsoft.com CNAME contoso.api.privatelink.adu.microsoft.com
contoso.api.privatelink.adu.microsoft.com CNAME <Azure 트래픽 관리자 프로필>

프라이빗 엔드포인트를 호스트하는 VNet에서 확인하는 경우 계정 엔드포인트 URL은 프라이빗 엔드포인트의 IP 주소로 확인됩니다. 프라이빗 엔드포인트를 호스트하는 VNet 내부에서 확인되면 'Contoso' 계정에 대한 DNS 리소스 레코드는 다음과 같습니다.

이름 타입
contoso.api.adu.microsoft.com CNAME contoso.api.privatelink.adu.microsoft.com
contoso.api.privatelink.adu.microsoft.com CNAME 10.0.0.5

이 방법을 사용하면 프라이빗 엔드포인트를 호스트하는 VNet의 클라이언트와 VNet 외부의 클라이언트의 계정에 액세스할 수 있습니다.

네트워크에서 사용자 지정 DNS 서버를 사용하는 경우 클라이언트는 Device Update 계정 엔드포인트의 FQDN을 프라이빗 엔드포인트 IP 주소로 확인할 수 있습니다. 프라이빗 링크 하위 도메인을 VNet의 프라이빗 DNS 영역에 위임하도록 DNS 서버를 구성하거나 프라이빗 엔드포인트 IP 주소를 사용하여 accountName.api.privatelink.adu.microsoft.com에 대한 A 레코드를 구성합니다.

권장 DNS 영역 이름은 privatelink.adu.microsoft.com입니다.

프라이빗 엔드포인트 및 디바이스 업데이트 관리

참고 항목

이 섹션은 공용 네트워크 액세스가 사용하지 않도록 설정되어 있고 프라이빗 엔드포인트 연결이 수동으로 승인된 Device Update 계정에만 적용됩니다.

다음 표에서는 프라이빗 엔드포인트 연결의 다양한 상태와 디바이스 업데이트 관리(가져오기, 그룹화 및 배포)에 미치는 영향을 설명합니다.

연결 상태 디바이스 업데이트를 성공적으로 관리(예/아니요)
승인됨
거부됨 아니요
보류 중 아니요
연결 끊김 아니요

업데이트 관리에 성공하려면 프라이빗 엔드포인트 연결 상태가 승인됨이어야 합니다. 연결이 거부되면 Azure Portal을 사용하여 승인할 수 없습니다. 유일한 방법은 연결을 삭제하고 새 연결을 만드는 것입니다.

다음 단계