Nätverkssäkerhet för enhetsuppdatering för IoT Hub resurser
I den här artikeln beskrivs hur du använder följande nätverkssäkerhetsfunktioner när du hanterar enhetsuppdateringar:
- Tjänsttaggar i nätverkssäkerhetsgrupper och Azure Firewalls
- Privata slutpunkter i virtuella Azure-nätverk
Viktigt
Det går inte att inaktivera åtkomst till offentligt nätverk i den länkade IoT Hub av enhetsuppdateringen.
Tjänsttaggar
En tjänsttagg motsvarar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av servicetaggen och uppdaterar automatiskt servicetaggen när adresser ändras, vilket minimerar ständiga uppdateringar av nätverkssäkerhetsreglerna. Mer information om tjänsttaggar finns i Översikt över tjänsttaggar.
Du kan använda tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel AzureDeviceUpdate) i lämpligt käll- eller målfält i en regel kan du tillåta eller neka trafik för motsvarande tjänst.
| Tjänsttagg | Syfte | Kan använda inkommande eller utgående? | Kan vara regional? | Kan du använda med Azure Firewall? |
|---|---|---|---|---|
| AzureDeviceUpdate | Enhetsuppdatering för IoT Hub. | Båda | Inga | Ja |
Regionala IP-intervall
Eftersom IoT Hub IP-regler inte stöder tjänsttaggar måste du använda IP-prefix för AzureDeviceUpdate-tjänsttaggen i stället. Eftersom den här taggen för närvarande är global tillhandahåller vi följande tabell för enkelhetens skull. Observera att platsen är för enhetsuppdateringsresurser.
| Location | IP-intervall |
|---|---|
| Australien, östra | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| East US | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| USA, östra 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| USA, östra 2 (EUAP) | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Europa, norra | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| USA, södra centrala | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Sydostasien | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Sverige, centrala | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| Storbritannien, södra | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| Europa, västra | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| USA, västra 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| USA, västra 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Anteckning
DET är osannolikt att IP-prefixen ovan kommer att ändras, men du bör granska listan en gång i månaden.
Privata slutpunkter
Du kan använda privata slutpunkter för att tillåta trafik från ditt virtuella nätverk till dina enhetsuppdateringskonton på ett säkert sätt via en privat länk utan att gå via det offentliga Internet. En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk. När du skapar en privat slutpunkt för ditt enhetsuppdateringskonto ger det säker anslutning mellan klienter i ditt virtuella nätverk och ditt konto för enhetsuppdatering. Den privata slutpunkten tilldelas en IP-adress från IP-adressintervallet för ditt virtuella nätverk. Anslutningen mellan den privata slutpunkten och enhetsuppdateringstjänsterna använder en säker privat länk.
Med privata slutpunkter för enhetsuppdateringsresursen kan du:
- Säker åtkomst till ditt enhetsuppdateringskonto från ett virtuellt nätverk via Microsofts stamnät i stället för det offentliga Internet.
- Anslut säkert från lokala nätverk som ansluter till det virtuella nätverket via VPN eller Express Routes med privat peering.
När du skapar en privat slutpunkt för ett enhetsuppdateringskonto i ditt VNet skickas en begäran om medgivande för godkännande till resursägaren. Om användaren som begär att den privata slutpunkten ska skapas också är ägare till kontot godkänns begäran om medgivande automatiskt. Annars är anslutningen i väntande tillstånd tills den har godkänts. Program i det virtuella nätverket kan ansluta till enhetsuppdateringstjänsten via den privata slutpunkten sömlöst, med samma värdnamn och auktoriseringsmekanismer som de skulle använda annars. Kontoägare kan hantera begäranden om medgivande och privata slutpunkter via fliken Privata slutpunkter för resursen i Azure Portal.
Ansluta till privata slutpunkter
Klienter i ett virtuellt nätverk som använder den privata slutpunkten bör använda samma kontovärdnamn och auktoriseringsmekanismer som klienter som ansluter till den offentliga slutpunkten. DNS-matchning dirigerar automatiskt anslutningar från det virtuella nätverket till kontot via en privat länk. Enhetsuppdatering skapar som standard en privat DNS-zon som är kopplad till det virtuella nätverket med nödvändig uppdatering för de privata slutpunkterna. Men om du använder din egen DNS-server kan du behöva göra ytterligare ändringar i DNS-konfigurationen.
DNS-ändringar för privata slutpunkter
När du skapar en privat slutpunkt uppdateras DNS CNAME-posten för resursen till ett alias i en underdomän med prefixet privatelink. Som standard skapas en privat DNS-zon som motsvarar underdomänen för den privata länken.
När du löser url:en för kontoslutpunkten utanför det virtuella nätverket med den privata slutpunkten matchas den med tjänstens offentliga slutpunkt. DNS-resursposterna för kontot "Contoso", när de matchas utanför det virtuella nätverk som är värd för den privata slutpunkten, kommer att vara:
| Namn | Typ | Värde |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Azure Traffic Manager-profil> |
När den matchas från det virtuella nätverk som är värd för den privata slutpunkten matchas url:en för kontots slutpunkt till den privata slutpunktens IP-adress. DNS-resursposterna för kontot "Contoso", när de matchas inifrån det virtuella nätverk som är värd för den privata slutpunkten, kommer att vara:
| Namn | Typ | Värde |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Den här metoden ger åtkomst till kontot för klienter i det virtuella nätverket som är värd för de privata slutpunkterna och klienter utanför det virtuella nätverket.
Om du använder en anpassad DNS-server i nätverket kan klienterna matcha FQDN för enhetsuppdateringskontots slutpunkt till ip-adressen för den privata slutpunkten. Konfigurera DNS-servern för att delegera underdomänen för den privata länken till den privata DNS-zonen för det virtuella nätverket, eller konfigurera A-posterna för med IP-adressen för accountName.api.privatelink.adu.microsoft.com den privata slutpunkten.
Det rekommenderade DNS-zonnamnet är privatelink.adu.microsoft.com.
Hantering av privata slutpunkter och enhetsuppdateringar
Anteckning
Det här avsnittet gäller endast för enhetsuppdateringskonton som har åtkomst till offentligt nätverk inaktiverat och privata slutpunktsanslutningar som godkänts manuellt.
I följande tabell beskrivs de olika tillstånden för den privata slutpunktsanslutningen och effekterna på hantering av enhetsuppdateringar (import, gruppering och distribution):
| Anslutningstillstånd | Hantera enhetsuppdateringar (ja/nej) |
|---|---|
| Godkända | Yes |
| Avslagen | No |
| Väntar | No |
| Frånkopplad | No |
För att uppdateringshanteringen ska lyckas bör anslutningstillståndet för den privata slutpunkten godkännas. Om en anslutning avvisas kan den inte godkännas med hjälp av Azure Portal. Den enda möjligheten är att ta bort anslutningen och skapa en ny i stället.