Zabezpieczenia sieci dla usługi Device Update dla zasobów IoT Hub
W tym artykule opisano sposób używania następujących funkcji zabezpieczeń sieci podczas zarządzania aktualizacjami urządzeń:
- Tagi usługi w sieciowych grupach zabezpieczeń i usłudze Azure Firewalls
- Prywatne punkty końcowe w sieciach wirtualnych platformy Azure
Ważne
Wyłączenie dostępu do sieci publicznej w połączonym IoT Hub nie jest obsługiwane przez usługę Device Update.
Tagi usługi
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów objętych tagiem usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Aby uzyskać więcej informacji na temat tagów usługi, zobacz Omówienie tagów usługi.
Za pomocą tagów usługi można zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (na przykład AzureDeviceUpdate) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić lub odrzucić ruch dla odpowiedniej usługi.
| Tag usługi | Przeznaczenie | Czy można używać ruchu przychodzącego lub wychodzącego? | Czy może być regionalny? | Czy można używać z Azure Firewall? |
|---|---|---|---|---|
| AzureDeviceUpdate | Aktualizacja urządzenia dla IoT Hub. | Oba | Nie | Tak |
Regionalne zakresy adresów IP
Ponieważ reguły IoT Hub IP nie obsługują tagów usługi, należy zamiast tego użyć prefiksów ip tagu usługi AzureDeviceUpdate. Ponieważ ten tag jest obecnie globalny, udostępniamy poniższą tabelę dla wygody. Należy pamiętać, że lokalizacja dotyczy zasobów usługi Device Update.
| Lokalizacja | Zakresy adresów IP |
|---|---|
| Australia Wschodnia | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| East US | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| Wschodnie stany USA 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| Wschodnie stany USA 2 — EUAP | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Europa Północna | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| South Central US | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Southeast Asia | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Szwecja Środkowa | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| Południowe Zjednoczone Królestwo | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| West Europe | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| Zachodnie stany USA 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| Zachodnie stany USA 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Uwaga
Powyższe prefiksy adresów IP są mało prawdopodobne, ale należy przejrzeć listę raz w miesiącu.
Prywatne punkty końcowe
Możesz użyć prywatnych punktów końcowych , aby zezwolić na bezpieczny ruch z sieci wirtualnej do kont aktualizacji urządzeń za pośrednictwem łącza prywatnego bez przechodzenia przez publiczny Internet. Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w sieci wirtualnej. Podczas tworzenia prywatnego punktu końcowego dla konta usługi Device Update zapewnia bezpieczną łączność między klientami w sieci wirtualnej a kontem usługi Device Update. Prywatny punkt końcowy ma przypisany adres IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym a usługami Device Update korzysta z bezpiecznego łącza prywatnego.
Używanie prywatnych punktów końcowych dla zasobu usługi Device Update umożliwia:
- Bezpieczny dostęp do konta usługi Device Update z sieci wirtualnej za pośrednictwem sieci szkieletowej firmy Microsoft w przeciwieństwie do publicznego Internetu.
- Bezpiecznie nawiąż połączenie z sieciami lokalnymi, które łączą się z siecią wirtualną przy użyciu sieci VPN lub Express Routes z prywatną komunikacją równorzędną.
Podczas tworzenia prywatnego punktu końcowego dla konta usługi Device Update w sieci wirtualnej żądanie zgody jest wysyłane do właściciela zasobu. Jeśli użytkownik żądający utworzenia prywatnego punktu końcowego jest również właścicielem konta, to żądanie zgody zostanie automatycznie zatwierdzone. W przeciwnym razie połączenie jest w stanie oczekiwania do czasu zatwierdzenia. Aplikacje w sieci wirtualnej mogą bezproblemowo łączyć się z usługą Device Update za pośrednictwem prywatnego punktu końcowego przy użyciu tych samych mechanizmów hostów i autoryzacji, których w przeciwnym razie będą używać. Właściciele kont mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi za pośrednictwem karty Prywatne punkty końcowe dla zasobu w Azure Portal.
Nawiązywanie połączenia z prywatnymi punktami końcowymi
Klienci w sieci wirtualnej korzystającej z prywatnego punktu końcowego powinni używać tych samych mechanizmów hostów konta i autoryzacji, co klienci łączący się z publicznym punktem końcowym. Rozpoznawanie nazw DNS automatycznie kieruje połączenia z sieci wirtualnej do konta za pośrednictwem łącza prywatnego. Usługa Device Update tworzy prywatną strefę DNS dołączoną do sieci wirtualnej z wymaganą aktualizacją dla prywatnych punktów końcowych domyślnie. Jeśli jednak używasz własnego serwera DNS, może być konieczne wprowadzenie dodatkowych zmian w konfiguracji DNS.
Zmiany DNS dla prywatnych punktów końcowych
Podczas tworzenia prywatnego punktu końcowego rekord CNAME dns dla zasobu jest aktualizowany do aliasu w poddomenie z prefiksem privatelink. Domyślnie tworzona jest prywatna strefa DNS odpowiadająca poddomenie łącza prywatnego.
Po rozpoznaniu adresu URL punktu końcowego konta spoza sieci wirtualnej przy użyciu prywatnego punktu końcowego zostanie rozpoznany publiczny punkt końcowy usługi. Rekordy zasobów DNS dla konta "Contoso", po rozpoznaniu poza siecią wirtualną hostująca prywatny punkt końcowy, będą następujące:
| Nazwa | Typ | Wartość |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Profil usługi Azure Traffic Manager> |
Po rozwiązaniu problemu z sieci wirtualnej hostująca prywatny punkt końcowy adres URL punktu końcowego konta jest rozpoznawany jako adres IP prywatnego punktu końcowego. Rekordy zasobów DNS dla konta "Contoso", po rozpoznaniu z poziomu sieci wirtualnej hostująca prywatny punkt końcowy, będą następujące:
| Nazwa | Typ | Wartość |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Takie podejście umożliwia dostęp do konta dla klientów w sieci wirtualnej hostujące prywatne punkty końcowe i klientów spoza sieci wirtualnej.
Jeśli używasz niestandardowego serwera DNS w sieci, klienci mogą rozpoznać nazwę FQDN punktu końcowego konta aktualizacji urządzenia na prywatny adres IP punktu końcowego. Skonfiguruj serwer DNS, aby delegować poddomenę łącza prywatnego do prywatnej strefy DNS dla sieci wirtualnej lub skonfigurować rekordy A dla accountName.api.privatelink.adu.microsoft.com z prywatnym adresem IP punktu końcowego.
Zalecana nazwa strefy DNS to privatelink.adu.microsoft.com.
Prywatne punkty końcowe i zarządzanie aktualizacjami urządzeń
Uwaga
Ta sekcja dotyczy tylko kont usługi Device Update z wyłączonym dostępem do sieci publicznej i ręcznie zatwierdzonych połączeń prywatnych punktów końcowych.
W poniższej tabeli opisano różne stany połączenia prywatnego punktu końcowego oraz wpływ na zarządzanie aktualizacjami urządzeń (importowanie, grupowanie i wdrażanie):
| Stan połączenia | Pomyślnie zarządzać aktualizacjami urządzeń (Tak/Nie) |
|---|---|
| Approved (Zatwierdzono) | Tak |
| Odrzucone | Nie |
| Oczekiwanie | Nie |
| Odłączony | Nie |
Aby zarządzanie aktualizacjami zakończyło się pomyślnie, stan połączenia prywatnego punktu końcowego powinien zostać zatwierdzony. Jeśli połączenie zostanie odrzucone, nie można go zatwierdzić przy użyciu Azure Portal. Jedyną możliwością jest usunięcie połączenia i utworzenie nowego.