Azure Device Update untuk keamanan jaringan IoT Hub
Artikel ini menjelaskan bagaimana Azure Device Update for IoT Hub menggunakan fitur keamanan jaringan berikut untuk mengelola pembaruan:
- Tag layanan dalam grup keamanan jaringan dan Azure Firewall
- Titik akhir privat di Azure Virtual Network
Penting
Pembaruan Perangkat tidak mendukung penonaktifan akses jaringan publik di hub IoT tertaut.
Tag layanan
Tag layanan mewakili sekelompok prefiks alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering diterapkan pada aturan keamanan jaringan. Untuk informasi selengkapnya tentang tag layanan, lihat Ringkasan tag layanan.
Anda dapat menggunakan tag layanan jaringan virtual untuk menentukan kontrol pada akses jaringan pada kelompok keamanan jaringan atau Azure Firewall. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat Anda membuat aturan keamanan. Dengan menentukan nama tag layanan, misalnya, AzureDeviceUpdate, di bidang aturan yang sesuai source atau destination sesuai, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai.
| Tag layanan | Tujuan | Masuk atau keluar? | Dapat dijalankan secara regional? | Bisa digunakan dengan Azure Firewall? |
|---|---|---|---|---|
| AzureDeviceUpdate | Azure Device Update for IoT Hub | Keduanya | Tidak | Ya |
Rentang IP regional
Karena aturan IP Azure IoT Hub tidak mendukung tag layanan, Anda harus menggunakan AzureDeviceUpdate awalan IP tag layanan sebagai gantinya. Tag bersifat global, sehingga tabel berikut menyediakan rentang IP regional untuk kenyamanan.
Awalan IP berikut tidak mungkin berubah, tetapi Anda harus meninjau daftar setiap bulan. Lokasi berarti lokasi sumber daya Pembaruan Perangkat.
| Lokasi | Rentang IP |
|---|---|
| Australia Timur | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| AS Timur | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| AS Timur 2 | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| US Timur 2 EUAP | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| Eropa Utara | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| US Tengah Selatan | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| Asia Tenggara | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| Swedia Tengah | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| UK Selatan | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| Eropa Barat | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| US Barat 2 | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| AS Barat 3 | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
Titik Akhir Privat
Titik akhir privat adalah antarmuka jaringan khusus untuk layanan Azure di jaringan virtual Anda. Titik akhir privat memungkinkan lalu lintas yang aman dari jaringan virtual Anda ke akun Pembaruan Perangkat Anda melalui tautan privat, tanpa melalui internet publik.
Titik akhir privat untuk akun Pembaruan Perangkat Anda menyediakan konektivitas yang aman antara klien di jaringan virtual dan akun Pembaruan Perangkat Anda. Titik akhir privat diberi alamat IP dari rentang alamat IP jaringan virtual Anda. Koneksi antara titik akhir privat dan layanan Pembaruan Perangkat menggunakan tautan privat yang aman.
Anda dapat menggunakan titik akhir privat untuk sumber daya Pembaruan Perangkat Anda untuk:
- Akses akun Pembaruan Perangkat Anda dengan aman dari jaringan virtual melalui jaringan backbone Microsoft alih-alih internet publik.
- Sambungkan dengan aman dari jaringan lokal yang terhubung ke jaringan virtual menggunakan jaringan privat virtual (VPN) atau Azure ExpressRoute dengan peering privat.
Membuat titik akhir privat untuk akun Pembaruan Perangkat di jaringan virtual Anda mengirimkan permintaan persetujuan untuk persetujuan kepada pemilik sumber daya. Jika pengguna yang meminta pembuatan titik akhir privat juga memiliki akun, permintaan persetujuan ini akan disetujui secara otomatis. Jika tidak, koneksi dalam status Tertunda hingga disetujui.
Aplikasi di jaringan virtual dapat terhubung ke layanan Pembaruan Perangkat melalui titik akhir privat dengan mulus, menggunakan mekanisme nama host dan otorisasi yang biasa mereka gunakan. Pemilik akun dapat mengelola permintaan persetujuan dan titik akhir privat di portal Azure pada tab Akses privat di halaman Jaringan untuk sumber daya.
Menyambungkan ke titik akhir privat
Klien di jaringan virtual yang menggunakan titik akhir privat harus menggunakan nama host akun dan mekanisme otorisasi yang sama dengan klien yang terhubung ke titik akhir publik. Resolusi Sistem Nama Domain (DNS) secara otomatis merutekan koneksi dari jaringan virtual ke akun melalui tautan privat.
Secara default, Pembaruan Perangkat membuat zona DNS privat yang dilampirkan ke jaringan virtual dengan pembaruan yang diperlukan untuk titik akhir privat. Jika Anda menggunakan server DNS Anda sendiri, Anda mungkin perlu membuat perubahan pada konfigurasi DNS Anda.
Perubahan DNS untuk titik akhir privat
Saat Anda membuat titik akhir privat, catatan DNS CNAME untuk sumber daya diperbarui ke alias di subdomain dengan awalan privatelink. Secara default, zona DNS privat dibuat sesuai dengan subdomain tautan privat.
Ketika URL titik akhir akun dengan titik akhir privat diakses dari luar jaringan virtual, url diselesaikan ke titik akhir publik layanan. Catatan sumber daya DNS berikut untuk akun contoso, saat diakses dari luar jaringan virtual yang menghosting titik akhir privat, atasi nilai berikut:
| Catatan sumber daya | Jenis | Nilai terselesaikan |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | Profil Azure Traffic Manager |
Saat diakses dari dalam jaringan virtual yang menghosting titik akhir privat, URL titik akhir akun diselesaikan ke alamat IP titik akhir privat. Catatan sumber daya DNS untuk akun contoso, ketika diselesaikan dari dalam jaringan virtual yang menghosting titik akhir privat, adalah sebagai berikut:
| Catatan sumber daya | Jenis | Nilai terselesaikan |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Pendekatan ini memungkinkan akses ke akun baik untuk klien di jaringan virtual yang menghosting titik akhir privat, dan klien di luar jaringan virtual.
Jika Anda menggunakan server DNS kustom di jaringan Anda, klien dapat menyelesaikan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk titik akhir akun pembaruan perangkat ke alamat IP titik akhir privat. Konfigurasikan server DNS Anda untuk mendelegasikan subdomain tautan privat Anda ke zona DNS privat untuk jaringan virtual, atau konfigurasikan catatan A untuk accountName.api.privatelink.adu.microsoft.com dengan alamat IP titik akhir privat. Nama zona DNS yang direkomendasikan adalah privatelink.adu.microsoft.com.
Titik akhir privat dan manajemen Pembaruan Perangkat
Bagian ini hanya berlaku untuk akun Pembaruan Perangkat yang menonaktifkan akses jaringan publik dan koneksi titik akhir privat yang disetujui secara manual. Tabel berikut ini menjelaskan berbagai status koneksi titik akhir privat dan efek pada manajemen pembaruan perangkat, seperti mengimpor, mengelompokkan, dan menyebarkan.
| Status koneksi | Dapat mengelola pembaruan perangkat |
|---|---|
| Disetujui | Ya |
| Ditolak | No |
| Tertunda | No |
| Terputus | No |
Agar manajemen pembaruan berhasil, status koneksi titik akhir privat harus Disetujui. Jika koneksi ditolak, koneksi tidak dapat disetujui menggunakan portal Azure. Anda harus menghapus koneksi dan membuat koneksi baru.