التشغيل السريع: إنشاء محيط أمان شبكة - Azure PowerShell

ابدأ باستخدام محيط أمان الشبكة عن طريق إنشاء محيط أمان شبكة ل Azure Key Vault باستخدام Azure PowerShell. يسمح محيط أمان الشبكة لموارد Azure Platform كخدمة (PaaS) بالاتصال داخل حدود موثوق بها صريحة. يمكنك إنشاء وتحديث اقتران مورد PaaS في ملف تعريف محيط أمان الشبكة. ثم تقوم بإنشاء وتحديث قواعد الوصول إلى محيط أمان الشبكة. عند الانتهاء، يمكنك حذف جميع الموارد التي تم إنشاؤها في هذا التشغيل السريع.

هام

يتوفر محيط أمان الشبكة الآن بشكل عام في جميع مناطق سحابة Azure العامة. للحصول على معلومات حول الخدمات المدعومة، راجع موارد الارتباط الخاص المدمجة لخدمات PaaS المدعومة."

المتطلبات الأساسية

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.

• قم بتثبيت الوحدة النمطية Az.Tools.Installer:

  # Install the Az.Tools.Installer module    
  Install-Module -Name Az.Tools.Installer -Repository PSGallery
  

• قم بتثبيت إصدار المعاينة الخاص ب Az.Network:

  # Install the preview build of the Az.Network module 
  Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview
  

• يمكنك اختيار استخدام Azure PowerShell محليا أو استخدام Azure Cloud Shell.

• للحصول على تعليمات حول أوامر PowerShell cmdlets، استخدم Get-Help الأمر :

  # Get help for a specific command
  Get-Help -Name <powershell-command> - full
  
  # Example
  Get-Help -Name New-AzNetworkSecurityPerimeter - full
  

تسجيل الدخول إلى حساب Azure وتحديد اشتراكك

لبدء التكوين، سجل الدخول إلى حساب Azure الخاص بك:

# Sign in to your Azure account
Connect-AzAccount

ثم اتصل باشتراكك:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

إنشاء مجموعة موارد ومخزن رئيسي

قبل أن تتمكن من إنشاء محيط أمان الشبكة، يجب عليك إنشاء مجموعة موارد ومورد key vault.
ينشئ هذا المثال مجموعة موارد باسم test-rg في موقع WestCentralUS وخزنة مفاتيح تسمى demo-keyvault-<RandomValue> في مجموعة الموارد مع الأوامر التالية:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

إنشاء محيط أمان الشبكة

في هذه الخطوة، قم بإنشاء محيط أمان شبكة باستخدام الأمر التالي New-AzNetworkSecurityPerimeter :

إشعار

يرجى عدم وضع أي بيانات شخصية محددة أو حساسة في قواعد محيط أمان الشبكة أو تكوين محيط أمان الشبكة الآخر.

# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id
  

إنشاء وتحديث اقتران موارد PaaS بملف تعريف جديد

في هذه الخطوة، يمكنك إنشاء ملف تعريف جديد وإقران مورد PaaS، Azure Key Vault بملف التعريف باستخدام New-AzNetworkSecurityPerimeterProfile الأمرين و New-AzNetworkSecurityPerimeterAssociation .

1. إنشاء ملف تعريف جديد لمحيط أمان الشبكة باستخدام الأمر التالي:

       # Create a new profile
   
       $nspProfile = @{ 
           Name = 'nsp-profile' 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           }
   
       $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile
   

2. إقران Azure Key Vault (مورد PaaS) بملف تعريف محيط أمان الشبكة بالأمر التالي:

       # Associate the PaaS resource with the above created profile
   
       $nspAssociation = @{ 
           AssociationName = 'nsp-association' 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           AccessMode = 'Learning'  
           ProfileId = $demoProfileNSP.Id 
           PrivateLinkResourceId = $keyVault.ResourceID
           }
   
       New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list
   

3. تحديث الاقتران عن طريق تغيير وضع الوصول إلى enforced باستخدام Update-AzNetworkSecurityPerimeterAssociation الأمر كما يلي:

       # Update the association to enforce the access mode
       $updateAssociation = @{ 
           AssociationName = $nspassociation.AssociationName 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           AccessMode = 'Enforced'
           }
       Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list
   

إدارة قواعد الوصول إلى محيط أمان الشبكة

في هذه الخطوة، يمكنك إنشاء وتحديث وحذف قواعد الوصول إلى محيط أمان الشبكة باستخدام بادئات عناوين IP العامة.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

إشعار

إذا لم يتم تعيين الهوية المدارة إلى المورد الذي يدعمها، رفض الوصول الصادر إلى الموارد الأخرى داخل نفس المحيط. لن تسري القواعد الواردة المستندة إلى الاشتراك والمقصود بها السماح بالوصول من هذا المورد.

حذف كافة الموارد

عندما لم تعد بحاجة إلى محيط أمان الشبكة، قم بإزالة جميع الموارد المقترنة بمحيط أمان الشبكة، وقم بإزالة المحيط، ثم قم بإزالة مجموعة الموارد.

    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

إشعار

تؤدي إزالة اقتران الموارد من محيط أمان الشبكة إلى التحكم في الوصول مرة أخرى إلى تكوين جدار حماية المورد الموجود. قد يؤدي ذلك إلى السماح بالوصول/رفضه وفقا لتكوين جدار حماية المورد. إذا تم تعيين PublicNetworkAccess إلى SecuredByPerimeter وتم حذف الاقتران، فسيدخل المورد حالة تأمين. لمزيد من المعلومات، راجع الانتقال إلى محيط أمان الشبكة في Azure.

الخطوات التالية

التسجيل التشخيصي لمحيط أمان شبكة Azure