Segurança de rede da Atualização de Dispositivo do Azure para Hub IoT
Este artigo descreve como a Atualização de Dispositivo do Azure para Hub IoT usa os seguintes recursos de segurança de rede para gerenciar atualizações:
- Marcas de serviço em grupos de segurança de rede e Firewall do Azure
- Pontos de extremidade privados na Rede Virtual do Azure
Importante
A Atualização de Dispositivo não dá suporte à desabilitação do acesso à rede pública no hub IoT vinculado.
Marcas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um serviço específico do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede. Para saber mais sobre marcas de serviço, confira Visão geral das marcas de serviço.
Você pode usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede ou Firewall do Azure. Use marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço, por exemplo, AzureDeviceUpdate, no campo source ou destination apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
| Marca de serviço | Finalidade | Entrada ou saída? | Pode ser regional? | É possível usar com o Firewall do Azure? |
|---|---|---|---|---|
| AzureDeviceUpdate | Atualização de Dispositivo do Azure para Hub IoT | Ambos | Não | Sim |
Intervalos de IP regionais
Como as regras de IP do Hub IoT do Azure não dão suporte a marcas de serviço, você deve usar AzureDeviceUpdate prefixos IP da marca de serviço. A marca é global, portanto, a tabela a seguir fornece intervalos de IP regionais para conveniência.
É improvável que os prefixos IP a seguir mudem, mas você deve examinar a lista mensalmente. Local significa o local dos recursos de Atualização de Dispositivo.
| Localidade | Intervalos de IP |
|---|---|
| Leste da Austrália | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| Leste dos EUA | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| Leste dos EUA 2 | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| Leste dos EUA 2 EUAP | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| Norte da Europa | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| Centro-Sul dos Estados Unidos | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| Sudeste Asiático | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| Suécia Central | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| Sul do Reino Unido | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| Europa Ocidental | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| Oeste dos EUA 2 | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| Oeste dos EUA 3 | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
Pontos de extremidade privados
Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua rede virtual. Um ponto de extremidade privado permite o tráfego seguro da rede virtual para suas contas de Atualização de Dispositivo por meio de um link privado sem passar pela Internet pública.
Um ponto de extremidade privado para conta de Atualização de Dispositivo fornece conectividade segura entre os clientes em sua rede virtual e sua conta de Atualização de Dispositivo. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre o ponto de extremidade privado e os serviços de Atualização de Dispositivo usa um link privado seguro.
Você pode usar pontos de extremidade privados para os recursos de Atualização de Dispositivo para:
- Acesse com segurança sua conta de Atualização de Dispositivo de uma rede virtual pela rede de backbone da Microsoft em vez da Internet pública.
- Conecte-se com segurança de redes locais que se conectam à rede virtual usando a VPN (rede virtual privada) ou o Azure ExpressRoute com emparelhamento privado.
A criação de um ponto de extremidade privado para uma conta de Atualização de Dispositivo em sua rede virtual envia um pedido de consentimento para aprovação para o proprietário do recurso. Se o usuário que solicita a criação do ponto de extremidade privado também for um proprietário da conta, essa solicitação de consentimento será aprovada automaticamente. Caso contrário, a conexão estará em estado Pendente até ser aprovada.
Os aplicativos na rede virtual podem se conectar diretamente ao serviço de Atualização de Dispositivo por meio do ponto de extremidade privado usando o mesmo nome do host e mecanismos. Os proprietários de conta podem gerenciar solicitações de consentimento e pontos de extremidade privados no portal do Azure na guia Acesso privado na página Rede do recurso.
Conectar-se a pontos de extremidade privados
Os clientes em uma rede virtual que usam o ponto de extremidade privado devem usar o mesmo nome do host e mecanismos de autorização que os clientes que se conectam ao ponto de extremidade público. A resolução DNS (Sistema de Nomes de Domínio) roteia automaticamente as conexões da rede virtual para a conta por meio de um link privado.
Por padrão, a Atualização de Dispositivo cria uma zona DNS privado anexada à rede virtual com a atualização necessária para os pontos de extremidade privados. Se você usar seu próprio servidor DNS, talvez seja necessário fazer alterações em sua configuração de DNS.
Alterações no DNS para pontos de extremidade privados
Quando você cria um ponto de extremidade privado, o registro DNS CNAME do recurso é atualizado para um alias em um subdomínio com o prefixo privatelink. Por padrão, é criada uma zona DNS privado que corresponde ao subdomínio do link privado.
Quando a URL do ponto de extremidade da conta com o ponto de extremidade privado é acessada de fora da rede virtual, ela é resolvida para o ponto de extremidade público do serviço. Os seguintes registros de recursos DNS para a conta contoso, quando acessados de fora da rede virtual que hospeda o ponto de extremidade privado, resolvem para os seguintes valores:
| Registro de recurso | Tipo | Valor resolvido |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | Perfil do Gerenciador de Tráfego do Azure |
Quando acessada de dentro da rede virtual que hospeda o ponto de extremidade privado, a URL do ponto de extremidade da conta é resolvida para o endereço IP do ponto de extremidade privado. Os registros de recurso DNS da conta contoso, quando resolvidos de dentro da rede virtual que hospeda o ponto de extremidade privado, são os seguintes:
| Registro de recurso | Tipo | Valor resolvido |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Essa abordagem permite o acesso à conta para clientes na rede virtual que hospeda o ponto de extremidade privado e clientes fora da rede virtual.
Se você usar um servidor DNS personalizado em sua rede, os clientes poderão resolver o FQDN (nome de domínio totalmente qualificado) para o ponto de extremidade da conta de atualização do dispositivo para o endereço IP do ponto de extremidade privado. Configure o servidor DNS para delegar seu subdomínio de link privado à zona DNS privado para a rede virtual ou configure os registros A para accountName.api.privatelink.adu.microsoft.com com o endereço IP do ponto de extremidade privado. O nome de zona DNS recomendado é privatelink.adu.microsoft.com.
Gerenciamento de pontos de extremidade privado e Atualização de Dispositivo
Esta seção se aplica somente às contas de Atualização de Dispositivo que têm o acesso à rede pública desabilitado e a conexões de ponto de extremidade privado aprovadas manualmente. A seguinte tabela descreve os vários estados da conexão de ponto de extremidade privado e os efeitos sobre o gerenciamento da atualização de dispositivo, como importação, agrupamento e implantação.
| メンバー ID: | Pode gerenciar atualizações de dispositivo |
|---|---|
| Aprovado | Sim |
| Rejeitado | Não |
| Pendente | Não |
| Desconectado | Não |
Para que o gerenciamento da atualização tenha êxito, o estado de conexão do ponto de extremidade privado deve ser Aprovado. Se uma conexão for rejeitada, ela não poderá ser aprovada usando o portal do Azure. Você deve excluir a conexão e criar uma nova.