Sécurité réseau pour la mise à jour d’appareils pour les ressources IoT Hub
Cet article explique comment utiliser les fonctionnalités de sécurité réseau suivantes lors de la gestion des mises à jour des appareils :
- Balises de service dans les groupes de sécurité réseau et les pare-feu Azure
- Points de terminaison privés dans les réseaux virtuels Azure
Important
La désactivation de l’accès réseau public dans le IoT Hub lié n’est pas prise en charge par Device Update.
Balises de service
Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. Pour plus d’informations sur les étiquettes de service, consultez Vue d’ensemble des balises de service.
Vous pouvez utiliser des étiquettes de service pour définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou sur le pare-feu Azure. Utilisez des étiquettes de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service (par exemple, AzureDeviceUpdate) dans le champ source ou destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant.
| Balise du service | Objectif | Peut-elle utiliser le trafic entrant ou sortant ? | Peut-elle être étendue à une zone régionale ? | Peut-elle être utilisée avec le Pare-feu Azure ? |
|---|---|---|---|---|
| AzureDeviceUpdate | Device Update pour IoT Hub. | Les deux | Non | Oui |
Plages d’adresses IP régionales
Étant donné que les règles d’adresses IP IoT Hub ne prennent pas en charge les étiquettes de service, vous devez utiliser les préfixes d’adresses IP d’étiquettes de service AzureDeviceUpdate à la place. Étant donné que cette étiquette est actuellement globale, nous fournissons le tableau suivant pour plus de commodité. Notez que l’emplacement est celui des ressources de Mise à jour de l’appareil.
| Emplacement | Plages d’adresses IP |
|---|---|
| Australie Est | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| USA Est | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| USA Est 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| USA Est 2 (EUAP) | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Europe Nord | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| États-Unis - partie centrale méridionale | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Asie Sud-Est | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Suède Centre | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| Sud du Royaume-Uni | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| Europe Ouest | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| USA Ouest 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| USA Ouest 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Notes
Il est peu probable que les préfixes d’adresses IP ci-dessus changent, mais vous devez consulter la liste une fois par mois.
Instances Private Endpoint
Vous pouvez utiliser des points de terminaison privés pour autoriser le trafic de votre réseau virtuel à votre compte Device Update via une liaison privée, sans passer par l’Internet public. Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans votre réseau virtuel. Lorsque vous créez un point de terminaison privé pour votre compte Device Update, il offre une connectivité sécurisée entre les clients sur votre réseau virtuel et votre compte Device Update. Une adresse IP est attribuée au point de terminaison privé à partir de la plage d’adresses IP de votre réseau virtuel. La connexion entre le point de terminaison privé et les services Device Update utilise une liaison privée sécurisée.
L’utilisation de points de terminaison privés pour votre ressource Device Update vous permet d’effectuer les opérations suivantes :
- Sécurisez l’accès à votre compte Device Update à partir d’un réseau virtuel via le réseau principal Microsoft, par opposition au réseau Internet public.
- Se connecter en toute sécurité à partir de réseaux locaux qui se connectent au réseau virtuel à l'aide d'un VPN ou d'itinéraires ExpressRoute avec le peering privé.
Quand vous créez un point de terminaison privé pour un compte Device Update dans votre réseau virtuel, une demande de consentement est envoyée pour approbation au propriétaire de la ressource. Si l’utilisateur qui demande la création du point de terminaison privé est également propriétaire du compte, cette demande de consentement est automatiquement approuvée. Sinon, la connexion affiche l’état En attente jusqu’à ce qu’elle soit approuvée. Les applications du réseau virtuel peuvent se connecter au service Device Update en toute facilité sur le point de terminaison privé à l’aide du même nom d’hôte et les mêmes mécanismes d’autorisation qu’ils utilisent dans tous les cas. Les propriétaires du compte peuvent gérer les demandes de consentement et les points de terminaison privés, via l’onglet Points de terminaison privés de la ressource dans le portail Azure.
Se connecter à des points de terminaison privés
Les clients sur un réseau virtuel utilisant le point de terminaison privé doivent utiliser le même nom d’hôte du compte et les mêmes mécanismes d’autorisation que les clients se connectant au point de terminaison public. La résolution DNS achemine automatiquement les connexions du réseau virtuel vers le compte via une liaison privée. Device Update crée une zone DNS privée attachée au réseau virtuel avec la mise à jour nécessaire pour les points de terminaison privés, par défaut. Toutefois, si vous utilisez votre propre serveur DNS, vous devrez peut-être apporter des modifications supplémentaires à votre configuration DNS.
Modifications DNS pour les points de terminaison privés
Quand vous créez un point de terminaison privé, l’enregistrement DNS CNAME pour la ressource est mis à jour avec un alias dans un sous-domaine avec le préfixe privatelink. Par défaut, une zone DNS privée correspondant au sous-domaine de la liaison privée est créée.
Lorsque vous résolvez l’URL du point de terminaison du compte à l’extérieur du réseau virtuel avec le point de terminaison privé, elle correspond au point de terminaison public du service. Les enregistrements de ressources DNS pour le compte ’Contoso’, lorsqu’ils sont résolus depuis l’extérieur du réseau virtuel hébergeant le point de terminaison privé, sont les suivants :
| Nom | Type | Valeur |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Profil Azure Traffic Manager> |
En cas de résolution à partir du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison du compte correspond à l’adresse IP du point de terminaison privé. Les enregistrements de ressources DNS pour le compte ’Contoso’, lorsqu’ils sont résolus depuis l’intérieur du réseau virtuel hébergeant le point de terminaison privé, sont les suivants :
| Nom | Type | Valeur |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Cette approche permet d’accéder au compte pour les clients sur le réseau virtuel hébergeant les points de terminaison privés, ainsi que des clients en dehors du réseau virtuel.
Si vous utilisez un serveur DNS personnalisé sur votre réseau, les clients peuvent résoudre le nom de domaine complet du point de terminaison du compte Device Update vers l’adresse IP du point de terminaison privé. Configurez votre serveur DNS pour déléguer votre sous-domaine de liaison privée à la zone DNS privée du réseau virtuel, ou configurer les enregistrements A pour accountName.api.privatelink.adu.microsoft.com avec l’adresse IP du point de terminaison privé.
Le nom recommandé pour la zone DNS est privatelink.adu.microsoft.com.
Points de terminaison privés et gestion des mises à jour des appareils
Notes
Cette section s’applique uniquement aux comptes Device Update qui ont un accès au réseau public désactivé et aux connexions de point de terminaison privés approuvées manuellement.
Le tableau suivant décrit les différents états de connexion au point de terminaison privé et les effets sur la gestion Device Update (importation, regroupement et déploiement) :
| État de la connexion | Gérer correctement les mises à jour des appareils (Oui/Non) |
|---|---|
| Approved | Oui |
| Rejeté | Non |
| Pending | Non |
| Déconnecté | Non |
Pour réussir une gestion de mise à jour, l’état de la connexion au point de terminaison privé doit être approuvé. Si une connexion est rejetée, elle ne peut pas être approuvée à l’aide du portail Azure. La seule possibilité consiste à supprimer la connexion et à en créer une nouvelle à la place.