Zabezpečení sítě pro službu Device Update pro prostředky IoT Hub
Tento článek popisuje, jak při správě aktualizací zařízení používat následující funkce zabezpečení sítě:
- Značky služeb ve skupinách zabezpečení sítě a službě Azure Firewall
- Privátní koncové body ve virtuálních sítích Azure
Důležité
Device Update nepodporuje zakázání přístupu k veřejné síti v propojeném IoT Hub.
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres obsažené ve značce služby a automaticky aktualizuje značku služby při změně adresy, čímž minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Další informace o značkách služeb najdete v tématu Přehled značek služeb.
Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například AzureDeviceUpdate) v příslušném zdrojovém nebo cílovém poli pravidla můžete povolit nebo odepřít provoz pro příslušnou službu.
| Značka služby | Účel | Můžete použít příchozí nebo odchozí spojení? | Může být regionální? | Dá se používat s Azure Firewall? |
|---|---|---|---|---|
| AzureDeviceUpdate | Aktualizace zařízení pro IoT Hub. | Obojí | No | Yes |
Oblastní rozsahy IP adres
Vzhledem k tomu, že pravidla IoT Hub IP adres nepodporují značky služeb, musíte místo toho použít předpony IP značek služby AzureDeviceUpdate. Vzhledem k tomu, že tato značka je v současné době globální, poskytujeme pro usnadnění používání následující tabulku. Mějte na paměti, že umístění je umístění prostředků služby Device Update.
| Umístění | Rozsahy IP adres |
|---|---|
| Austrálie – východ | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| East US | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| USA – východ 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| USA – východ 2 (EUAP) | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Severní Evropa | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| Středojižní USA | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Southeast Asia | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Švédsko – střed | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| Spojené království – jih | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| West Europe | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| Západní USA 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| USA – západ 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Poznámka
Výše uvedené předpony IP adres se pravděpodobně nezmění, ale seznam byste měli zkontrolovat jednou za měsíc.
Privátní koncové body
Privátní koncové body můžete použít k bezpečnému povolení provozu z vaší virtuální sítě do účtů služby Device Update přes privátní propojení, aniž byste museli procházet přes veřejný internet. Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti. Když vytváříte privátní koncový bod pro účet služby Device Update, poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a účtem služby Device Update. Privátnímu koncovému bodu se přiřadí IP adresa z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a službami Device Update používá zabezpečené privátní propojení.
Použití privátních koncových bodů pro prostředek služby Device Update vám umožní:
- Zabezpečte přístup k účtu služby Device Update z virtuální sítě přes páteřní síť Microsoftu, nikoli z veřejného internetu.
- Bezpečně se připojujte z místních sítí, které se připojují k virtuální síti pomocí sítě VPN nebo Express Routes s privátním peeringem.
Když vytvoříte privátní koncový bod pro účet služby Device Update ve vaší virtuální síti, odešle se vlastníkovi prostředku žádost o souhlas se schválením. Pokud je uživatel, který žádá o vytvoření privátního koncového bodu, zároveň vlastníkem účtu, tato žádost o souhlas se automaticky schválí. V opačném případě bude připojení ve stavu čekání , dokud se neschválily. Aplikace ve virtuální síti se můžou bezproblémově připojit ke službě Device Update přes privátní koncový bod pomocí stejného názvu hostitele a autorizačních mechanismů, které by jinak používaly. Vlastníci účtů můžou spravovat žádosti o souhlas a privátní koncové body prostřednictvím karty Privátní koncové body pro prostředek v Azure Portal.
Připojení k privátním koncovým bodům
Klienti ve virtuální síti používající privátní koncový bod by měli používat stejný mechanismus autorizace a názvu hostitele účtu jako klienti připojující se k veřejnému koncovému bodu. Překlad DNS automaticky směruje připojení z virtuální sítě do účtu přes privátní propojení. Služba Device Update ve výchozím nastavení vytvoří privátní zónu DNS připojenou k virtuální síti s potřebnou aktualizací pro privátní koncové body. Pokud ale používáte vlastní server DNS, možná budete muset v konfiguraci DNS provést další změny.
Změny DNS pro privátní koncové body
Když vytvoříte privátní koncový bod, záznam DNS CNAME pro prostředek se aktualizuje na alias v subdoméně s předponou privatelink. Ve výchozím nastavení se vytvoří privátní zóna DNS, která odpovídá subdoméně privátního propojení.
Při překladu adresy URL koncového bodu účtu mimo virtuální síť s privátním koncovým bodem se přeloží na veřejný koncový bod služby. Záznamy prostředků DNS pro účet Contoso, které se přeloží mimo virtuální síť hostující privátní koncový bod, budou:
| Název | Typ | Hodnota |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Profil Azure Traffic Manageru> |
Při překladu z virtuální sítě hostující privátní koncový bod se adresa URL koncového bodu účtu přeloží na IP adresu privátního koncového bodu. Záznamy o prostředcích DNS pro účet Contoso, které se přeloží z virtuální sítě hostující privátní koncový bod, budou:
| Název | Typ | Hodnota |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Tento přístup umožňuje přístup k účtu klientům ve virtuální síti hostující privátní koncové body a klientům mimo virtuální síť.
Pokud ve své síti používáte vlastní server DNS, můžou klienti přeložit plně kvalifikovaný název domény pro koncový bod účtu aktualizace zařízení na IP adresu privátního koncového bodu. Nakonfigurujte server DNS tak, aby delegovali subdoménu privátního propojení do zóny privátního DNS pro virtuální síť, nebo nakonfigurujte záznamy A pro accountName.api.privatelink.adu.microsoft.com ip adresu privátního koncového bodu.
Doporučený název zóny DNS je privatelink.adu.microsoft.com.
Privátní koncové body a správa aktualizací zařízení
Poznámka
Tato část se týká jenom účtů služby Device Update, které mají zakázaný přístup k veřejné síti a ručně schválená připojení k privátním koncovým bodům.
Následující tabulka popisuje různé stavy připojení privátního koncového bodu a účinky na správu aktualizací zařízení (import, seskupování a nasazení):
| Stav připojení | Úspěšně spravovat aktualizace zařízení (ano/ne) |
|---|---|
| Schválené | Yes |
| Zamítnuto | No |
| Čekající | No |
| Odpojeno | No |
Aby byla správa aktualizací úspěšná, je potřeba schválit stav připojení privátního koncového bodu. Pokud se připojení odmítne, nedá se schválit pomocí Azure Portal. Jedinou možností je odstranit připojení a místo toho vytvořit nové.