Segurança de rede para a Atualização de Dispositivo para Hub IoT
Este artigo descreve como usar os seguintes recursos de segurança de rede ao gerenciar atualizações de dispositivo:
- Marcas de serviço em Grupos de Segurança de Rede e Firewalls do Azure
- Pontos de extremidade privados nas Redes Virtuais do Azure
Importante
Não há suporte da Atualização de Dispositivo para desabilitar o Acesso à Rede Pública no Hub IoT vinculado.
Marcas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede. Para saber mais sobre marcas de serviço, confira Visão geral das marcas de serviço.
Você pode usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede ou Firewall do Azure. Use marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço (por exemplo, AzureDeviceUpdate) no campo correto de origem ou destino de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
| Marca de serviço | Finalidade | É possível usar entrada ou saída? | Pode ser regional? | É possível usar com o Firewall do Azure? |
|---|---|---|---|---|
| AzureDeviceUpdate | Atualização de Dispositivo para Hub IoT. | Ambos | Não | Sim |
Intervalos de IP regionais
Como as regras de IP do Hub IoT não tem suporte para marcas de serviço, você precisa usar os prefixos IP da Marca de Serviço do AzureDeviceUpdate em vez disso. Como essa marca atualmente é global, estamos fornecendo a tabela a seguir para sua conveniência. Observe que a localização é a dos recursos de Atualização de Dispositivos.
| Localização | Intervalos de IP |
|---|---|
| Leste da Austrália | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| Leste dos EUA | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| Leste dos EUA 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| Leste dos EUA 2 EUAP | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Norte da Europa | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| Centro-Sul dos Estados Unidos | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Sudeste Asiático | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Suécia Central | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| Sul do Reino Unido | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| Europa Ocidental | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| Oeste dos EUA 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| Oeste dos EUA 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Observação
É improvável que os prefixos IP acima sejam alterados, mas você deve revisar a lista uma vez por mês.
Pontos de extremidade privados
É possível usar pontos de extremidade privados para permitir o tráfego da rede virtual para suas contas de Atualização de Dispositivo com segurança por meio de um link privado sem passar pela Internet pública. Um ponto de extremidade privado é um adaptador de rede especial para um serviço do Azure em sua VNet. Quando você cria um ponto de extremidade privado para conta de Atualização de Dispositivo, ele fornece conectividade segura entre os clientes em sua VNet e sua conta de Atualização de Dispositivo. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP de sua VNet. A conexão entre o ponto de extremidade privado e os serviços de Atualização de Dispositivo usa um link privado seguro.
O uso de pontos de extremidade privados para o recurso de Atualização de Dispositivo permite:
- Proteger o acesso à sua conta de Atualização de Dispositivo de uma VNet pela rede de backbone da Microsoft em vez da Internet pública.
- Conecte-se com segurança de redes locais que se conectam à VNet usando VPN ou Express Routes com emparelhamento privado.
Quando você cria um ponto de extremidade privado para uma conta de Atualização de Dispositivo em sua VNet, uma solicitação de consentimento é enviada para aprovação para o proprietário do recurso. Se o usuário que solicita a criação do ponto de extremidade privado também for um proprietário da conta, essa solicitação de consentimento será aprovada automaticamente. Caso contrário, a conexão estará em estado pendente até ser aprovada. Os aplicativos na VNet podem se conectar diretamente ao serviço de Atualização de Dispositivo por meio do ponto de extremidade privado usando o mesmo nome do host e mecanismos de autorização que eles já usam normalmente. Os proprietários de conta podem gerenciar solicitações de consentimento e os pontos de extremidade privados por meio da guia Pontos de extremidade privados para o recurso no portal do Azure.
Conectar-se a pontos de extremidade privados
Os clientes em uma VNet usando o ponto de extremidade privado devem usar o mesmo nome do host e mecanismos de autorização que os clientes que se conectam ao ponto de extremidade público. A resolução DNS roteia automaticamente as conexões da VNet para a conta por meio de um link privado. A Atualização de Dispositivo cria uma zona DNS privada anexada à VNet com a atualização necessária para os pontos de extremidade privados por padrão. No entanto, se você estiver usando seu servidor DNS, talvez seja necessário fazer alterações adicionais na configuração do DNS.
Alterações no DNS para pontos de extremidade privados
Quando você cria um ponto de extremidade privado, o registro DNS CNAME do recurso é atualizado para um alias em um subdomínio com o prefixo privatelink. Por padrão, é criada uma zona DNS privado que corresponde ao subdomínio do link privado.
Quando você resolve a URL do ponto de extremidade da conta de fora da VNet com o ponto de extremidade privado, ele é resolvido para o ponto de extremidade público do serviço. Os registros de recurso DNS para a conta 'Contoso', quando resolvidos de fora da VNet que hospeda o ponto de extremidade privado, serão:
| Nome | Tipo | Valor |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Criar perfil do Gerenciador de Tráfego do Azure> |
Quando resolvida da VNet que hospeda o ponto de extremidade privado, a URL do ponto de extremidade da conta é resolvida para o endereço IP do ponto de extremidade privado. Os registros de recurso DNS para a conta 'Contoso', quando resolvidos de dentro da VNet que hospeda o ponto de extremidade privado, serão:
| Nome | Tipo | Valor |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Essa abordagem permite o acesso à conta para clientes na VNet que hospeda os pontos de extremidade privados e clientes fora da VNet.
Se você estiver usando um servidor DNS personalizado na rede, os clientes poderão resolver o FQDN para o ponto de extremidade da conta de atualização de dispositivo para o endereço IP do ponto de extremidade privado. Configure o servidor DNS para delegar seu subdomínio de link privado à zona DNS privado para a VNet ou configure os registros A para accountName.api.privatelink.adu.microsoft.com com o endereço IP do ponto de extremidade privado.
O nome de zona DNS recomendado é privatelink.adu.microsoft.com.
Gerenciamento de pontos de extremidade privado e atualização de dispositivo
Observação
Esta seção se aplica somente às contas de Atualização de Dispositivo que têm o acesso à rede pública desabilitado e a conexões de ponto de extremidade privado aprovadas manualmente.
A seguinte tabela descreve os vários estados da conexão de ponto de extremidade privado e os efeitos sobre o gerenciamento da atualização de dispositivo (importação, agrupamento e implantação):
| Estado da Conexão | Gerenciar atualizações de dispositivo com êxito (Sim/Não) |
|---|---|
| Aprovado | Sim |
| Rejeitado | Não |
| Pendente | Não |
| Desconectado | Não |
Para que o gerenciamento da atualização tenha êxito, o estado de conexão do ponto de extremidade privado deve ser aprovado. Se uma conexão for rejeitada, ela não poderá ser aprovada usando o portal do Azure. A única possibilidade será excluir a conexão e criar outra.