Udostępnij za pośrednictwem


Zabezpieczenia sieci dla usługi Device Update dla zasobów IoT Hub

W tym artykule opisano sposób używania następujących funkcji zabezpieczeń sieci podczas zarządzania aktualizacjami urządzeń:

  • Tagi usługi w sieciowych grupach zabezpieczeń i usłudze Azure Firewalls
  • Prywatne punkty końcowe w sieciach wirtualnych platformy Azure

Ważne

Wyłączenie dostępu do sieci publicznej w połączonym IoT Hub nie jest obsługiwane przez usługę Device Update.

Tagi usługi

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów objętych tagiem usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Aby uzyskać więcej informacji na temat tagów usługi, zobacz Omówienie tagów usługi.

Za pomocą tagów usługi można zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (na przykład AzureDeviceUpdate) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić lub odrzucić ruch dla odpowiedniej usługi.

Tag usługi Przeznaczenie Czy można używać ruchu przychodzącego lub wychodzącego? Czy może być regionalny? Czy można używać z Azure Firewall?
AzureDeviceUpdate Aktualizacja urządzenia dla IoT Hub. Oba Nie Tak

Regionalne zakresy adresów IP

Ponieważ reguły IoT Hub IP nie obsługują tagów usługi, należy zamiast tego użyć prefiksów ip tagu usługi AzureDeviceUpdate. Ponieważ ten tag jest obecnie globalny, udostępniamy poniższą tabelę dla wygody. Należy pamiętać, że lokalizacja dotyczy zasobów usługi Device Update.

Lokalizacja Zakresy adresów IP
Australia Wschodnia 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26
East US 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28
Wschodnie stany USA 2 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26
Wschodnie stany USA 2 — EUAP 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28
Europa Północna 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26
South Central US 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26
Southeast Asia 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26
Szwecja Środkowa 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28
Południowe Zjednoczone Królestwo 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26
West Europe 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26
Zachodnie stany USA 2 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26
Zachodnie stany USA 3 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28

Uwaga

Powyższe prefiksy adresów IP są mało prawdopodobne, ale należy przejrzeć listę raz w miesiącu.

Prywatne punkty końcowe

Możesz użyć prywatnych punktów końcowych , aby zezwolić na bezpieczny ruch z sieci wirtualnej do kont aktualizacji urządzeń za pośrednictwem łącza prywatnego bez przechodzenia przez publiczny Internet. Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w sieci wirtualnej. Podczas tworzenia prywatnego punktu końcowego dla konta usługi Device Update zapewnia bezpieczną łączność między klientami w sieci wirtualnej a kontem usługi Device Update. Prywatny punkt końcowy ma przypisany adres IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym a usługami Device Update korzysta z bezpiecznego łącza prywatnego.

Diagram przedstawiający aktualizację urządzenia dla architektury IoT Hub podczas tworzenia prywatnego punktu końcowego.

Używanie prywatnych punktów końcowych dla zasobu usługi Device Update umożliwia:

  • Bezpieczny dostęp do konta usługi Device Update z sieci wirtualnej za pośrednictwem sieci szkieletowej firmy Microsoft w przeciwieństwie do publicznego Internetu.
  • Bezpiecznie nawiąż połączenie z sieciami lokalnymi, które łączą się z siecią wirtualną przy użyciu sieci VPN lub Express Routes z prywatną komunikacją równorzędną.

Podczas tworzenia prywatnego punktu końcowego dla konta usługi Device Update w sieci wirtualnej żądanie zgody jest wysyłane do właściciela zasobu. Jeśli użytkownik żądający utworzenia prywatnego punktu końcowego jest również właścicielem konta, to żądanie zgody zostanie automatycznie zatwierdzone. W przeciwnym razie połączenie jest w stanie oczekiwania do czasu zatwierdzenia. Aplikacje w sieci wirtualnej mogą bezproblemowo łączyć się z usługą Device Update za pośrednictwem prywatnego punktu końcowego przy użyciu tych samych mechanizmów hostów i autoryzacji, których w przeciwnym razie będą używać. Właściciele kont mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi za pośrednictwem karty Prywatne punkty końcowe dla zasobu w Azure Portal.

Nawiązywanie połączenia z prywatnymi punktami końcowymi

Klienci w sieci wirtualnej korzystającej z prywatnego punktu końcowego powinni używać tych samych mechanizmów hostów konta i autoryzacji, co klienci łączący się z publicznym punktem końcowym. Rozpoznawanie nazw DNS automatycznie kieruje połączenia z sieci wirtualnej do konta za pośrednictwem łącza prywatnego. Usługa Device Update tworzy prywatną strefę DNS dołączoną do sieci wirtualnej z wymaganą aktualizacją dla prywatnych punktów końcowych domyślnie. Jeśli jednak używasz własnego serwera DNS, może być konieczne wprowadzenie dodatkowych zmian w konfiguracji DNS.

Zmiany DNS dla prywatnych punktów końcowych

Podczas tworzenia prywatnego punktu końcowego rekord CNAME dns dla zasobu jest aktualizowany do aliasu w poddomenie z prefiksem privatelink. Domyślnie tworzona jest prywatna strefa DNS odpowiadająca poddomenie łącza prywatnego.

Po rozpoznaniu adresu URL punktu końcowego konta spoza sieci wirtualnej przy użyciu prywatnego punktu końcowego zostanie rozpoznany publiczny punkt końcowy usługi. Rekordy zasobów DNS dla konta "Contoso", po rozpoznaniu poza siecią wirtualną hostująca prywatny punkt końcowy, będą następujące:

Nazwa Typ Wartość
contoso.api.adu.microsoft.com CNAME contoso.api.privatelink.adu.microsoft.com
contoso.api.privatelink.adu.microsoft.com CNAME <Profil usługi Azure Traffic Manager>

Po rozwiązaniu problemu z sieci wirtualnej hostująca prywatny punkt końcowy adres URL punktu końcowego konta jest rozpoznawany jako adres IP prywatnego punktu końcowego. Rekordy zasobów DNS dla konta "Contoso", po rozpoznaniu z poziomu sieci wirtualnej hostująca prywatny punkt końcowy, będą następujące:

Nazwa Typ Wartość
contoso.api.adu.microsoft.com CNAME contoso.api.privatelink.adu.microsoft.com
contoso.api.privatelink.adu.microsoft.com CNAME 10.0.0.5

Takie podejście umożliwia dostęp do konta dla klientów w sieci wirtualnej hostujące prywatne punkty końcowe i klientów spoza sieci wirtualnej.

Jeśli używasz niestandardowego serwera DNS w sieci, klienci mogą rozpoznać nazwę FQDN punktu końcowego konta aktualizacji urządzenia na prywatny adres IP punktu końcowego. Skonfiguruj serwer DNS, aby delegować poddomenę łącza prywatnego do prywatnej strefy DNS dla sieci wirtualnej lub skonfigurować rekordy A dla accountName.api.privatelink.adu.microsoft.com z prywatnym adresem IP punktu końcowego.

Zalecana nazwa strefy DNS to privatelink.adu.microsoft.com.

Prywatne punkty końcowe i zarządzanie aktualizacjami urządzeń

Uwaga

Ta sekcja dotyczy tylko kont usługi Device Update z wyłączonym dostępem do sieci publicznej i ręcznie zatwierdzonych połączeń prywatnych punktów końcowych.

W poniższej tabeli opisano różne stany połączenia prywatnego punktu końcowego oraz wpływ na zarządzanie aktualizacjami urządzeń (importowanie, grupowanie i wdrażanie):

Stan połączenia Pomyślnie zarządzać aktualizacjami urządzeń (Tak/Nie)
Approved (Zatwierdzono) Tak
Odrzucone Nie
Oczekiwanie Nie
Odłączony Nie

Aby zarządzanie aktualizacjami zakończyło się pomyślnie, stan połączenia prywatnego punktu końcowego powinien zostać zatwierdzony. Jeśli połączenie zostanie odrzucone, nie można go zatwierdzić przy użyciu Azure Portal. Jedyną możliwością jest usunięcie połączenia i utworzenie nowego.

Następne kroki