Az eszközfrissítés hálózati biztonsága IoT Hub erőforrásokhoz
Ez a cikk a következő hálózati biztonsági funkciók használatát ismerteti az eszközfrissítések kezelésekor:
- Szolgáltatáscímkék a hálózati biztonsági csoportokban és az Azure-tűzfalakban
- Privát végpontok az Azure Virtual Networksben
Fontos
Az eszközfrissítés nem támogatja a nyilvános hálózati hozzáférés letiltását a csatolt IoT Hub.
Szolgáltatáscímkék
A szolgáltatáscímke egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelöli. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. A szolgáltatáscímkékről további információt a Szolgáltatáscímkék áttekintése című témakörben talál.
A szolgáltatáscímkék használatával hálózati hozzáférési vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozása során használjon szolgáltatáscímkéket az egyes IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például AzureDeviceUpdate) egy szabály megfelelő forrás - vagy célmezőjében , engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát.
| Szolgáltatáscímke | Cél | Használhat bejövő vagy kimenő módban? | Lehet regionális? | Használható Azure Firewall? |
|---|---|---|---|---|
| AzureDeviceUpdate | Eszközfrissítés IoT Hub. | Mindkettő | Nem | Igen |
Regionális IP-tartományok
Mivel IoT Hub IP-szabályok nem támogatják a szolgáltatáscímkéket, ehelyett az AzureDeviceUpdate szolgáltatáscímke IP-előtagját kell használnia. Mivel ez a címke jelenleg globális, az alábbi táblázatot biztosítjuk a kényelem érdekében. Vegye figyelembe, hogy az eszközfrissítési erőforrások helye.
| Hely | IP-tartományok |
|---|---|
| Kelet-Ausztrália | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| USA keleti régiója | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| USA 2. keleti régiója | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| USA 2. keleti régiója – EUAP | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Észak-Európa | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| USA déli középső régiója | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Délkelet-Ázsia | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Közép-Svédország | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| Az Egyesült Királyság déli régiója | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| Nyugat-Európa | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| USA 2. nyugati régiója | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| USA 3. nyugati régiója | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Megjegyzés
A fenti IP-előtagok valószínűleg nem változnak, de havonta egyszer érdemes áttekinteni a listát.
Privát végpontok
Privát végpontok használatával biztonságosan engedélyezheti a virtuális hálózatról az eszközfrissítési fiókokra érkező forgalmat egy privát kapcsolaton keresztül anélkül, hogy a nyilvános interneten keresztül halad. A privát végpont egy speciális hálózati adapter egy Azure-szolgáltatáshoz a virtuális hálózaton. Amikor privát végpontot hoz létre az eszközfrissítési fiókhoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és az eszközfrissítési fiók között. A privát végponthoz egy IP-cím van hozzárendelve a virtuális hálózat IP-címtartományából. A privát végpont és az Eszközfrissítési szolgáltatások közötti kapcsolat biztonságos privát kapcsolatot használ.
Az eszközfrissítési erőforrás privát végpontjaival a következőket teszi lehetővé:
- Biztonságos hozzáférés az eszközfrissítési fiókhoz egy virtuális hálózatról a Microsoft gerinchálózatán keresztül a nyilvános internet helyett.
- Biztonságos csatlakozás olyan helyszíni hálózatokról, amelyek VPN vagy expressz útvonalak használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.
Amikor privát végpontot hoz létre egy eszközfrissítési fiókhoz a virtuális hálózaton, a rendszer jóváhagyásra vonatkozó kérést küld az erőforrás tulajdonosának. Ha a privát végpont létrehozását kérő felhasználó szintén a fiók tulajdonosa, a rendszer automatikusan jóváhagyja ezt a hozzájárulási kérést. Ellenkező esetben a kapcsolat függő állapotban van a jóváhagyásig. A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak az eszközfrissítési szolgáltatáshoz a privát végponton keresztül, ugyanazokkal a gazdagépnévvel és engedélyezési mechanizmusokkal, amelyeket egyébként használnának. A fióktulajdonosok a hozzájárulási kéréseket és a privát végpontokat az erőforrás Privát végpontok lapján kezelhetik a Azure Portal.
Csatlakozás privát végpontokhoz
A privát végpontot használó virtuális hálózaton lévő ügyfeleknek ugyanazokat a fiókgazdanevet és engedélyezési mechanizmusokat kell használniuk, mint a nyilvános végponthoz csatlakozó ügyfeleknek. A DNS-feloldás automatikusan átirányítja a kapcsolatokat a virtuális hálózatról a fiókba egy privát kapcsolaton keresztül. Az Eszközfrissítés alapértelmezés szerint létrehoz egy privát DNS-zónát a virtuális hálózathoz csatolva a privát végpontokhoz szükséges frissítéssel. Ha azonban saját DNS-kiszolgálót használ, előfordulhat, hogy további módosításokat kell végeznie a DNS-konfiguráción.
DNS-változások privát végpontokhoz
Privát végpont létrehozásakor az erőforrás DNS CNAME rekordja egy altartományban lévő aliasra frissül az előtaggal privatelink. Alapértelmezés szerint létrejön egy privát DNS-zóna, amely megfelel a privát kapcsolat altartományának.
Ha a fiókvégpont URL-címét a virtuális hálózaton kívülről oldja fel a privát végponttal, az a szolgáltatás nyilvános végpontjára lesz feloldva. A "Contoso" fiók DNS-erőforrásrekordjai, amikor a privát végpontot üzemeltető virtuális hálózaton kívülről oldódnak fel, a következő lesznek:
| Név | Típus | Érték |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Azure Traffic Manager-profil> |
A privát végpontot üzemeltető virtuális hálózat feloldásakor a fiókvégpont URL-címe a privát végpont IP-címére lesz feloldva. A "Contoso" fiók DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton belül oldódnak fel:
| Név | Típus | Érték |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Ez a megközelítés hozzáférést biztosít a privát végpontokat üzemeltető virtuális hálózaton lévő ügyfelek és a virtuális hálózaton kívüli ügyfelek fiókjához.
Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfelek feloldhatják az eszközfrissítési fiók végpontjának teljes tartománynevét a privát végpont IP-címére. Konfigurálja a DNS-kiszolgálót úgy, hogy delegálja a privát kapcsolat altartományát a virtuális hálózat privát DNS-zónájához, vagy konfigurálja az A rekordokat accountName.api.privatelink.adu.microsoft.com a privát végpont IP-címével.
Az ajánlott DNS-zóna neve .privatelink.adu.microsoft.com
Privát végpontok és eszközfrissítések kezelése
Megjegyzés
Ez a szakasz csak azokra az eszközfrissítési fiókokra vonatkozik, amelyek nyilvános hálózati hozzáférése le van tiltva, és a privát végponti kapcsolatok manuálisan vannak jóváhagyva.
Az alábbi táblázat a privát végponti kapcsolat különböző állapotát és az eszközfrissítések felügyeletére (importálás, csoportosítás és üzembe helyezés) gyakorolt hatásokat ismerteti:
| Kapcsolat állapota | Az eszközfrissítések kezelése sikerült (igen/nem) |
|---|---|
| Approved | Yes |
| Elutasítva | No |
| Függőben | No |
| Leválasztott | No |
Ahhoz, hogy a frissítéskezelés sikeres legyen, jóvá kell hagyni a privát végpont kapcsolati állapotát. Ha a rendszer elutasít egy kapcsolatot, az nem hagyható jóvá a Azure Portal használatával. Az egyetlen lehetőség a kapcsolat törlése és egy új létrehozása.