Azure Device Update az IoT Hub hálózati biztonságához
Ez a cikk azt ismerteti, hogy az IoT Hubhoz készült Azure Device Update hogyan használja a következő hálózati biztonsági funkciókat a frissítések kezeléséhez:
- Szolgáltatáscímkék a hálózati biztonsági csoportokban és az Azure Firewallban
- Privát végpontok az Azure Virtual Networkben
Fontos
Az eszközfrissítés nem támogatja a nyilvános hálózati hozzáférés letiltását a csatolt IoT Hubon.
Szolgáltatáscímkék
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. A szolgáltatáscímkékről további információt a Szolgáltatáscímkék áttekintése című témakörben talál.
A szolgáltatáscímkék használatával hálózati hozzáférés-vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy az Azure Firewallon. Biztonsági szabályok létrehozása során használjon szolgáltatáscímkéket az egyes IP-címek helyett. A szolgáltatáscímke nevének AzureDeviceUpdatemegadásával például egy szabály megfelelő source vagy mezőjében engedélyezheti vagy destination letilthatja a megfelelő szolgáltatás forgalmát.
| Szolgáltatáscímke | Cél | Bejövő vagy kimenő? | Lehet regionális? | Használhatja az Azure Firewallt? |
|---|---|---|---|---|
| AzureDeviceUpdate | Azure Device Update for IoT Hub | Mindkettő | Nem | Igen |
Regionális IP-tartományok
Mivel az Azure IoT Hub IP-szabályai nem támogatják a szolgáltatáscímkéket, ehelyett a szolgáltatáscímke IP-előtagját kell használnia AzureDeviceUpdate . A címke globális, ezért az alábbi táblázat regionális IP-tartományokat biztosít a kényelem érdekében.
A következő IP-előtagok valószínűleg nem változnak, de havonta érdemes áttekinteni a listát. A hely az eszközfrissítési erőforrások helyét jelenti.
| Hely | IP-tartományok |
|---|---|
| Kelet-Ausztrália | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| USA keleti régiója | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| USA 2. keleti régiója | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| USA 2. keleti régiója – EUAP | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| Észak-Európa | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| USA déli középső régiója | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| Délkelet-Ázsia | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| Közép-Svédország | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| Az Egyesült Királyság déli régiója | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| Nyugat-Európa | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| USA 2. nyugati régiója | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| USA 3. nyugati régiója | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
Privát végpontok
A privát végpont egy speciális hálózati adapter egy Azure-szolgáltatáshoz a virtuális hálózaton. A privát végpontok privát kapcsolaton keresztül teszik lehetővé a virtuális hálózatról az Eszközfrissítési fiókokra irányuló biztonságos forgalmat anélkül, hogy a nyilvános interneten keresztül lépkednek.
Az Eszközfrissítési fiók privát végpontja biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és az Eszközfrissítési fiók között. A privát végpont a virtuális hálózat IP-címtartományából kap IP-címet. A privát végpont és az Eszközfrissítési szolgáltatások közötti kapcsolat biztonságos privát kapcsolatot használ.
Az eszközfrissítési erőforrások privát végpontjait a következő célokra használhatja:
- Az eszközfrissítési fiók biztonságos elérése egy virtuális hálózatról a Microsoft gerinchálózatán keresztül a nyilvános internet helyett.
- Biztonságos csatlakozás a virtuális hálózathoz virtuális magánhálózattal (VPN) vagy azure ExpressRoute-tal privát társviszony-létesítéssel csatlakozó helyszíni hálózatokról.
Az eszközfrissítési fiók privát végpontjának létrehozása a virtuális hálózaton hozzájárulási kérelmet küld az erőforrás tulajdonosának. Ha a privát végpont létrehozását kérő felhasználó is a fiók tulajdonosa, a rendszer automatikusan jóváhagyja ezt a hozzájárulási kérést. Ellenkező esetben a kapcsolat függőben állapotban van a jóváhagyásig.
A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak az Eszközfrissítés szolgáltatáshoz a privát végponton keresztül, a szokásos gazdagépnév és engedélyezési mechanizmusok használatával. A fióktulajdonosok kezelhetik a hozzájárulási kérelmeket és a privát végpontokat az Azure Portalon, az erőforrás Hálózatkezelés lapján, a Privát hozzáférés lapon.
Csatlakozás privát végpontokhoz
A privát végpontot használó virtuális hálózaton lévő ügyfeleknek ugyanazt a fiókgazdanevet és engedélyezési mechanizmust kell használniuk, mint a nyilvános végponthoz csatlakozó ügyfeleknek. A tartománynévrendszer (DNS) feloldása automatikusan átirányítja a kapcsolatokat a virtuális hálózatból a fiókba egy privát kapcsolaton keresztül.
Az Eszközfrissítés alapértelmezés szerint létrehoz egy privát DNS-zónát , amely a virtuális hálózathoz csatlakozik a privát végpontokhoz szükséges frissítéssel. Ha saját DNS-kiszolgálót használ, előfordulhat, hogy módosítania kell a DNS-konfigurációt.
DNS-módosítások privát végpontokhoz
Privát végpont létrehozásakor az erőforrás DNS CNAME rekordja egy altartománybeli aliasra frissül az előtaggal privatelink. Alapértelmezés szerint létrejön egy privát DNS-zóna, amely megfelel a privát kapcsolat altartományának.
Ha a privát végponttal rendelkező fiókvégpont URL-címe a virtuális hálózaton kívülről érhető el, az feloldódik a szolgáltatás nyilvános végpontjára. A fiók contosokövetkező DNS-erőforrásrekordjai – amikor a privát végpontot üzemeltető virtuális hálózaton kívülről érhetők el – a következő értékeket oldják fel:
| Erőforrásrekord | Típus | Feloldott érték |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | Azure Traffic Manager-profil |
Ha a privát végpontot üzemeltető virtuális hálózaton belülről érik el, a fiókvégpont URL-címe a privát végpont IP-címére lesz feloldva. A fiók contosoDNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton belül feloldva a következők:
| Erőforrásrekord | Típus | Feloldott érték |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Ez a megközelítés lehetővé teszi a fiók elérését mind a privát végpontot üzemeltető virtuális hálózaton lévő ügyfelek, mind a virtuális hálózaton kívüli ügyfelek számára.
Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfelek feloldhatják az eszközfrissítési fiók végpontjának teljes tartománynevét (FQDN) a privát végpont IP-címére. Konfigurálja a DNS-kiszolgálót úgy, hogy delegálja a privát kapcsolat altartományát a virtuális hálózat privát DNS-zónájához, vagy konfigurálja az A rekordokat accountName.api.privatelink.adu.microsoft.com a privát végpont IP-címével. Az ajánlott DNS-zónanév a következő privatelink.adu.microsoft.com: .
Privát végpontok és eszközfrissítések kezelése
Ez a szakasz csak azokra az Eszközfrissítési fiókokra vonatkozik, amelyek nyilvános hálózati hozzáférése le van tiltva, és a privát végpontkapcsolatok manuálisan jóváhagyva vannak. Az alábbi táblázat ismerteti a különböző privát végpontkapcsolati állapotokat, valamint az eszközfrissítés-kezelésre gyakorolt hatásokat, például az importálást, a csoportosítást és az üzembe helyezést.
| Kapcsolat állapota | Kezelheti az eszközfrissítéseket |
|---|---|
| Engedélyezve | Igen |
| Elutasítva | Nem |
| Függőben | Nem |
| Leválasztva | Nem |
Ahhoz, hogy a frissítéskezelés sikeres legyen, a privát végpont kapcsolati állapotát jóvá kell hagyni. Ha egy kapcsolat elutasításra kerül, az nem hagyható jóvá az Azure Portalon. Törölnie kell a kapcsolatot, és létre kell hoznia egy újat.