Netwerkbeveiliging voor Apparaatupdate voor IoT Hub-resources
In dit artikel wordt beschreven hoe u de volgende netwerkbeveiligingsfuncties gebruikt bij het beheren van apparaatupdates:
- Servicetags in netwerkbeveiligingsgroepen en Azure Firewalls
- Privé-eindpunten in Azure Virtual Networks
Belangrijk
Het uitschakelen van openbare netwerktoegang in de gekoppelde IoT Hub wordt niet ondersteund door Device Update.
Servicetags
Een servicelabel vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die zijn opgenomen in het servicelabel en werkt het servicelabel automatisch bij als adressen veranderen, waardoor de complexiteit van frequente updates van netwerkbeveiligingsregels wordt geminimaliseerd. Zie Overzicht van servicetags voor meer informatie over servicetags.
U kunt servicetags gebruiken om netwerktoegangsbeheer voor netwerkbeveiligingsgroepen of Azure Firewall te definiëren. Gebruik servicetags in plaats van specifieke IP-adressen wanneer je beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld AzureDeviceUpdate) op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren.
| Servicetag | Doel | Kan inkomend of uitgaand worden gebruikt? | Kan regionaal zijn? | Kan worden gebruikt met Azure Firewall? |
|---|---|---|---|---|
| AzureDeviceUpdate | Apparaatupdate voor IoT Hub. | Beide | Nee | Ja |
Regionale IP-bereiken
Omdat IoT Hub IP-regels geen servicetags ondersteunen, moet u in plaats daarvan IP-voorvoegsels voor servicetags van AzureDeviceUpdate gebruiken. Omdat deze tag momenteel wereldwijd is, bieden we de volgende tabel voor het gemak. Houd er rekening mee dat de locatie die van Device Update-resources is.
| Locatie | IP-bereiken |
|---|---|
| Australië - oost | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| VS - oost | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| VS - oost 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| VS - oost 2 EUAP | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Europa - noord | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| VS - zuid-centraal | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Azië - zuidoost | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Zweden - centraal | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| Verenigd Koninkrijk Zuid | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| Europa -west | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| VS - west 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| US - west 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Notitie
De bovenstaande IP-voorvoegsels zullen waarschijnlijk niet worden gewijzigd, maar u moet de lijst één keer per maand bekijken.
Privé-eindpunten
U kunt privé-eindpunten gebruiken om verkeer van uw virtuele netwerk naar uw Device Update-accounts veilig via een privékoppeling toe te staan zonder via het openbare internet te gaan. Een privé-eindpunt is een speciale netwerkinterface voor een Azure-service in uw VNet. Wanneer u een privé-eindpunt voor uw Device Update-account maakt, biedt dit beveiligde connectiviteit tussen clients in uw VNet en uw Device Update-account. Aan het privé-eindpunt wordt een IP-adres toegewezen uit het IP-adresbereik van uw VNet. De verbinding tussen het privé-eindpunt en de Device Update-services maakt gebruik van een beveiligde privékoppeling.
Met behulp van privé-eindpunten voor uw Device Update-resource kunt u het volgende doen:
- Beveilig de toegang tot uw Device Update-account vanuit een VNet via het Microsoft-backbone-netwerk in plaats van via het openbare internet.
- Maak veilig verbinding vanaf on-premises netwerken die verbinding maken met het VNet met behulp van VPN of Express Routes met privé-peering.
Wanneer u een privé-eindpunt maakt voor een Device Update-account in uw VNet, wordt er een toestemmingsaanvraag verzonden voor goedkeuring naar de resource-eigenaar. Als de gebruiker die het privé-eindpunt wil maken ook eigenaar van het account is, wordt deze toestemmingsaanvraag automatisch goedgekeurd. Anders heeft de verbinding de status In behandeling totdat deze is goedgekeurd. Toepassingen in het VNet kunnen naadloos verbinding maken met de Device Update-service via het privé-eindpunt, met behulp van dezelfde hostnaam en autorisatiemechanismen die ze anders zouden gebruiken. Accounteigenaren kunnen toestemmingsaanvragen en de privé-eindpunten beheren via het tabblad Privé-eindpunten voor de resource in de Azure Portal.
Verbinding maken met privé-eindpunten
Clients op een VNet die het privé-eindpunt gebruiken, moeten dezelfde hostnaam en autorisatiemechanismen voor het account gebruiken als clients die verbinding maken met het openbare eindpunt. DNS-omzetting routeert verbindingen van het VNet automatisch naar het account via een privékoppeling. Device Update maakt standaard een privé-DNS-zone die is gekoppeld aan het VNet met de benodigde update voor de privé-eindpunten. Als u echter uw eigen DNS-server gebruikt, moet u mogelijk aanvullende wijzigingen aanbrengen in uw DNS-configuratie.
DNS-wijzigingen voor privé-eindpunten
Wanneer u een privé-eindpunt maakt, wordt de DNS CNAME-record voor de resource bijgewerkt naar een alias in een subdomein met het voorvoegsel privatelink. Standaard wordt een privé-DNS-zone gemaakt die overeenkomt met het subdomein van de privékoppeling.
Wanneer u de eindpunt-URL van het account van buiten het VNet met het privé-eindpunt oplost, wordt deze omgezet in het openbare eindpunt van de service. De DNS-resourcerecords voor het account Contoso, wanneer deze worden omgezet van buiten het VNet dat als host fungeert voor het privé-eindpunt, zijn:
| Naam | Type | Waarde |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Azure Traffic Manager-profiel> |
Wanneer het wordt omgezet vanuit het VNet dat als host fungeert voor het privé-eindpunt, wordt de URL van het accounteindpunt omgezet in het IP-adres van het privé-eindpunt. De DNS-resourcerecords voor het account 'Contoso', die zijn omgezet vanuit het VNet dat als host fungeert voor het privé-eindpunt, zijn:
| Naam | Type | Waarde |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Deze benadering biedt toegang tot het account voor clients op het VNet die als host fungeren voor de privé-eindpunten en clients buiten het VNet.
Als u een aangepaste DNS-server in uw netwerk gebruikt, kunnen clients de FQDN voor het eindpunt van het apparaatupdateaccount omzetten naar het IP-adres van het privé-eindpunt. Configureer uw DNS-server om uw private link-subdomein te delegeren naar de privé-DNS-zone voor het VNet, of configureer de A-records voor met het IP-adres van accountName.api.privatelink.adu.microsoft.com het privé-eindpunt.
De aanbevolen dns-zonenaam is privatelink.adu.microsoft.com.
Privé-eindpunten en beheer van apparaatupdates
Notitie
Deze sectie is alleen van toepassing op Device Update-accounts waarvoor openbare netwerktoegang is uitgeschakeld en privé-eindpuntverbindingen handmatig zijn goedgekeurd.
In de volgende tabel worden de verschillende statussen van de privé-eindpuntverbinding en de effecten op het beheer van apparaatupdates (importeren, groeperen en implementeren) beschreven:
| Verbindingsstatus | Apparaatupdates beheren (ja/nee) |
|---|---|
| Goedgekeurd | Ja |
| Afgewezen | Nee |
| In behandeling | Nee |
| Ontkoppeld | Nee |
Voor een geslaagd updatebeheer moet de verbindingsstatus van het privé-eindpunt zijn goedgekeurd. Als een verbinding wordt geweigerd, kan deze niet worden goedgekeurd met behulp van de Azure Portal. De enige mogelijkheid is om de verbinding te verwijderen en in plaats daarvan een nieuwe verbinding te maken.