IoT Hub ağ güvenliği için Azure Cihaz Güncelleştirmesi
Bu makalede, IoT Hub için Azure Cihaz Güncelleştirmesi'nin güncelleştirmeleri yönetmek için aşağıdaki ağ güvenlik özelliklerini nasıl kullandığı açıklanmaktadır:
- Ağ güvenlik gruplarında ve Azure Güvenlik Duvarı hizmet etiketleri
- Azure Sanal Ağ'da özel uç noktalar
Önemli
Cihaz Güncelleştirmesi, bağlı IoT hub'ında genel ağ erişimini devre dışı bırakmayı desteklemez.
Hizmet etiketleri
Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketiyle kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir ve ağ güvenlik kurallarında sık sık yapılan güncelleştirmelerin karmaşıklığını en aza indirir. Hizmet etiketleri hakkında daha fazla bilgi için bkz . Hizmet etiketlerine genel bakış.
Hizmet etiketlerini kullanarak ağ güvenlik gruplarında veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlayabilirsiniz. Güvenlik kuralları oluştururken belirli IP adreslerinin yerine hizmet etiketlerini kullanın. Bir kuralın uygun source veya destination alanında hizmet etiketi adını (örneğin, AzureDeviceUpdate) belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz.
| Hizmet etiketi | Purpose | Gelen mi, giden mi? | Bölgesel olabilir mi? | Azure Güvenlik Duvarı ile kullanabilir misiniz? |
|---|---|---|---|---|
| AzureDeviceUpdate | IoT Hub için Azure Cihaz Güncelleştirmesi | İkisi birden | Hayır | Evet |
Bölgesel IP aralıkları
Azure IoT Hub IP kuralları hizmet etiketlerini desteklemediğinden, bunun yerine hizmet etiketi IP ön eklerini kullanmanız AzureDeviceUpdate gerekir. Etiket geneldir, bu nedenle aşağıdaki tablo kolaylık sağlamak için bölgesel IP aralıkları sağlar.
Aşağıdaki IP ön eklerinin değişme olasılığı düşüktür, ancak listeyi aylık olarak gözden geçirmeniz gerekir. Konum , Cihaz Güncelleştirme kaynaklarının konumu anlamına gelir.
| Konum | IP aralıkları |
|---|---|
| Doğu Avustralya | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| Doğu ABD | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| Doğu ABD 2 | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| Doğu ABD 2 EUAP | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| Kuzey Avrupa | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| Orta Güney ABD | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| Güneydoğu Asya | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| Orta İsveç | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| Güney Birleşik Krallık | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| West Europe | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| Batı ABD 2 | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| Batı ABD 3 | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
Özel uç noktalar
Özel uç nokta, sanal ağınızdaki bir Azure hizmeti için özel bir ağ arabirimidir. Özel uç nokta, genel İnternet'ten geçmeden özel bir bağlantı üzerinden sanal ağınızdan Cihaz Güncelleştirmesi hesaplarınıza güvenli trafiğe izin verir.
Cihaz Güncelleştirme hesabınız için özel bir uç nokta, sanal ağınızdaki istemciler ile Cihaz Güncelleştirmesi hesabınız arasında güvenli bağlantı sağlar. Özel uç noktaya sanal ağınızın IP adresi aralığından bir IP adresi atanır. Özel uç nokta ile Cihaz Güncelleştirme hizmetleri arasındaki bağlantı güvenli bir özel bağlantı kullanır.
Cihaz Güncelleştirmesi kaynaklarınız için özel uç noktaları kullanarak şu işlemleri yapabilirsiniz:
- Cihaz Güncelleştirme hesabınıza genel İnternet yerine Microsoft omurga ağı üzerinden bir sanal ağdan güvenli bir şekilde erişin.
- Sanal özel ağ (VPN) veya özel eşleme ile Azure ExpressRoute kullanarak sanal ağa bağlanan şirket içi ağlardan güvenli bir şekilde bağlanın.
Sanal ağınızda bir Cihaz Güncelleştirmesi hesabı için özel uç nokta oluşturmak, kaynak sahibine onay için bir onay isteği gönderir. Özel uç noktanın oluşturulmasını isteyen kullanıcı da hesaba sahipse, bu onay isteği otomatik olarak onaylanır. Aksi takdirde, bağlantı onaylanana kadar Beklemede durumdadır.
Sanal ağdaki uygulamalar, normal konak adlarını ve yetkilendirme mekanizmalarını kullanarak özel uç nokta üzerinden Cihaz Güncelleştirme hizmetine sorunsuz bir şekilde bağlanabilir. Hesap sahipleri, azure portalında, kaynağın Ağ sayfasındaki Özel erişim sekmesindeki onay isteklerini ve özel uç noktaları yönetebilir.
Özel uç noktalara bağlanma
Özel uç noktayı kullanan bir sanal ağdaki istemciler, ortak uç noktaya bağlanan istemcilerle aynı hesap ana bilgisayar adını ve yetkilendirme mekanizmalarını kullanmalıdır. Etki Alanı Adı Sistemi (DNS) çözümlemesi, bağlantıları sanal ağdan özel bir bağlantı üzerinden hesaba otomatik olarak yönlendirir.
Varsayılan olarak, Cihaz Güncelleştirmesi özel uç noktalar için gerekli güncelleştirmeyle sanal ağa bağlı bir özel DNS bölgesi oluşturur. Kendi DNS sunucunuzu kullanıyorsanız, DNS yapılandırmanızda değişiklik yapmanız gerekebilir.
Özel uç noktalar için DNS değişiklikleri
Özel uç nokta oluşturduğunuzda, kaynağın DNS CNAME kaydı ön ekine privatelinksahip bir alt etki alanında bir diğer adla güncelleştirilir. Varsayılan olarak, özel bağlantının alt etki alanına karşılık gelen bir özel DNS bölgesi oluşturulur.
Özel uç nokta içeren hesap uç noktası URL'sine sanal ağın dışından erişildiğinde, hizmetin genel uç noktasına çözümleniyor. hesabı contosoiçin aşağıdaki DNS kaynak kayıtları, özel uç noktayı barındıran sanal ağın dışından erişildiğinde aşağıdaki değerlere çözümleyin:
| Kaynak kaydı | Tür | Çözümlenen değer |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | Azure Traffic Manager profili |
Özel uç noktayı barındıran sanal ağın içinden erişildiğinde, hesap uç noktası URL'si özel uç noktanın IP adresine çözümlenmiş olur. Özel uç noktayı barındıran sanal ağın içinden çözümlendiğinde hesabın contosoDNS kaynak kayıtları aşağıdaki gibidir:
| Kaynak kaydı | Tür | Çözümlenen değer |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Bu yaklaşım hem özel uç noktayı barındıran sanal ağdaki istemciler hem de sanal ağ dışındaki istemciler için hesaba erişim sağlar.
Ağınızda özel bir DNS sunucusu kullanıyorsanız, istemciler cihaz güncelleştirme hesabı uç noktası için tam etki alanı adını (FQDN) özel uç nokta IP adresine çözümleyebilir. DNS sunucunuzu, özel bağlantı alt etki alanınızı sanal ağ için özel DNS bölgesine temsilci olarak atayacak şekilde yapılandırın veya A kayıtlarını accountName.api.privatelink.adu.microsoft.com özel uç nokta IP adresiyle yapılandırın. Önerilen DNS bölgesi adıdır privatelink.adu.microsoft.com.
Özel uç noktalar ve Cihaz Güncelleştirmesi yönetimi
Bu bölüm yalnızca genel ağ erişimi devre dışı bırakılmış ve özel uç nokta bağlantıları el ile onaylanan Cihaz Güncelleştirmesi hesapları için geçerlidir. Aşağıdaki tabloda çeşitli özel uç nokta bağlantı durumları ve içeri aktarma, gruplandırma ve dağıtma gibi cihaz güncelleştirme yönetimi üzerindeki etkileri açıklanmaktadır.
| Bağlantı durumu | Cihaz güncelleştirmelerini yönetebilir |
|---|---|
| Onaylandı | Yes |
| Reddedildi | Hayır |
| Beklemede | Hayır |
| Bağlantı kesildi | Hayır |
Güncelleştirme yönetiminin başarılı olması için özel uç nokta bağlantı durumunun Onaylandı olması gerekir. Bağlantı reddedilirse Azure portalı kullanılarak onaylanamaz. Bağlantıyı silmeniz ve yeni bir bağlantı oluşturmanız gerekir.