Segurança de rede para a Atualização de Dispositivos para recursos de Hub IoT
Este artigo descreve como utilizar as seguintes funcionalidades de segurança de rede ao gerir atualizações de dispositivos:
- Etiquetas de serviço em Grupos de Segurança de Rede e Azure Firewalls
- Pontos finais privados nas Redes Virtuais do Azure
Importante
A desativação do Acesso à Rede Pública no Hub IoT ligado não é suportada pela Atualização de Dispositivos.
Etiquetas de serviço
Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gere os prefixos de endereços englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes às regras de segurança da rede. Para obter mais informações sobre etiquetas de serviço, veja Descrição geral das etiquetas de serviço.
Pode utilizar etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou Azure Firewall. Utilize etiquetas de serviço em vez de endereços IP específicos quando criar regras de segurança. Ao especificar o nome da etiqueta de serviço (por exemplo, AzureDeviceUpdate) no campo de origem ou destino adequado de uma regra, pode permitir ou negar o tráfego para o serviço correspondente.
| Etiqueta de serviço | Objetivo | Pode utilizar a entrada ou saída? | Pode ser regional? | Pode utilizar com Azure Firewall? |
|---|---|---|---|---|
| AzureDeviceUpdate | Atualização do Dispositivo para Hub IoT. | Ambos | No | Yes |
Intervalos de IP regionais
Uma vez que Hub IoT regras de IP não suportam Etiquetas de Serviço, tem de utilizar prefixos IP da Etiqueta de Serviço AzureDeviceUpdate. Uma vez que esta etiqueta é atualmente global, estamos a fornecer a seguinte tabela para sua comodidade. Tenha em atenção que a localização é a dos recursos da Atualização de Dispositivos.
| Localização | Intervalos de IP |
|---|---|
| Leste da Austrália | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| E.U.A. Leste | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| E.U.A. Leste 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| E.U.A. Leste 2 - EUAP | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Europa do Norte | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| E.U.A. Centro-Sul | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Sudeste Asiático | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Suécia Central | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| Sul do Reino Unido | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| Europa Ocidental | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| E.U.A. Oeste 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| EUA Oeste 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Nota
É pouco provável que os prefixos IP acima sejam alterados, mas deve rever a lista uma vez por mês.
Pontos finais privados
Pode utilizar pontos finais privados para permitir o tráfego da sua rede virtual para as suas contas de Atualização de Dispositivos de forma segura através de uma ligação privada sem passar pela Internet pública. Um ponto final privado é uma interface de rede especial para um serviço do Azure na sua VNet. Quando cria um ponto final privado para a sua conta de Atualização de Dispositivos, este fornece conectividade segura entre os clientes na VNet e a conta de Atualização de Dispositivos. É atribuído um endereço IP ao ponto final privado a partir do intervalo de endereços IP da sua VNet. A ligação entre o ponto final privado e os serviços de Atualização de Dispositivos utiliza uma ligação privada segura.
A utilização de pontos finais privados para o recurso de Atualização de Dispositivos permite-lhe:
- Acesso seguro à sua conta de Atualização de Dispositivos a partir de uma VNet através da rede principal da Microsoft em oposição à Internet pública.
- Ligue-se de forma segura a partir de redes no local que se ligam à VNet através de VPN ou Express Routes com peering privado.
Quando cria um ponto final privado para uma conta de Atualização de Dispositivos na VNet, é enviado um pedido de consentimento para aprovação para o proprietário do recurso. Se o utilizador que pede a criação do ponto final privado também for proprietário da conta, este pedido de consentimento é aprovado automaticamente. Caso contrário, a ligação fica no estado pendente até ser aprovada. As aplicações na VNet podem ligar-se ao serviço Atualização de Dispositivos através do ponto final privado de forma totalmente integrada, utilizando os mesmos mecanismos de nome de anfitrião e autorização que utilizariam de outra forma. Os proprietários de contas podem gerir pedidos de consentimento e os pontos finais privados, através do separador Pontos finais privados do recurso no portal do Azure.
Ligar a pontos finais privados
Os clientes numa VNet que utilizem o ponto final privado devem utilizar os mesmos mecanismos de nome de anfitrião e autorização de conta que os clientes que se ligam ao ponto final público. A resolução de DNS encaminha automaticamente as ligações da VNet para a conta através de uma ligação privada. A Atualização de Dispositivos cria uma zona DNS privada anexada à VNet com a atualização necessária para os pontos finais privados, por predefinição. No entanto, se estiver a utilizar o seu próprio servidor DNS, poderá ter de fazer alterações adicionais à configuração do DNS.
Alterações de DNS para pontos finais privados
Quando cria um ponto final privado, o registo CNAME DNS do recurso é atualizado para um alias num subdomínio com o prefixo privatelink. Por predefinição, é criada uma zona DNS privada que corresponde ao subdomínio da ligação privada.
Quando resolve o URL do ponto final da conta fora da VNet com o ponto final privado, este é resolvido para o ponto final público do serviço. Os registos de recursos DNS da conta "Contoso", quando resolvidos fora da VNet que aloja o ponto final privado, serão:
| Nome | Tipo | Valor |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Perfil do gestor de tráfego do Azure> |
Quando resolvido a partir da VNet que aloja o ponto final privado, o URL do ponto final da conta é resolvido para o endereço IP do ponto final privado. Os registos de recursos DNS da conta "Contoso", quando resolvidos a partir da VNet que aloja o ponto final privado, serão:
| Nome | Tipo | Valor |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Esta abordagem permite o acesso à conta para clientes na VNet que alojam os pontos finais privados e clientes fora da VNet.
Se estiver a utilizar um servidor DNS personalizado na sua rede, os clientes podem resolver o FQDN do ponto final da conta de atualização do dispositivo para o endereço IP do ponto final privado. Configure o servidor DNS para delegar o subdomínio de ligação privada à zona DNS privada da VNet ou configure os registos A para accountName.api.privatelink.adu.microsoft.com com o endereço IP do ponto final privado.
O nome de zona DNS recomendado é privatelink.adu.microsoft.com.
Pontos finais privados e gestão de atualizações de dispositivos
Nota
Esta secção aplica-se apenas às contas de Atualização de Dispositivos que têm o acesso à rede pública desativado e as ligações de ponto final privado aprovadas manualmente.
A tabela seguinte descreve os vários estados da ligação de ponto final privado e os efeitos na gestão de atualizações de dispositivos (importação, agrupamento e implementação):
| Estado da Ligação | Gerir atualizações de dispositivos com êxito (Sim/Não) |
|---|---|
| Aprovado | Yes |
| Rejeitado | No |
| Pendente | No |
| Desligado | No |
Para que a gestão de atualizações seja bem-sucedida, o estado de ligação do ponto final privado deve ser aprovado. Se uma ligação for rejeitada, não pode ser aprovada com o portal do Azure. A única possibilidade é eliminar a ligação e criar uma nova.