Sdílet prostřednictvím

Rychlý start – Vytvoření hraniční sítě pro zabezpečení sítě – Bicep

Začněte s vytvářením sítového bezpečnostního perimetru pro službu Azure Key Vault pomocí Bicep. Hraniční síť pro zabezpečení sítě umožňuje prostředkům Azure Platform as a Service (PaaS) komunikovat v rámci explicitní důvěryhodné hranice. Přidružení prostředku PaaS vytvoříte a aktualizujete v hraničním profilu zabezpečení sítě. Pak vytvoříte a aktualizujete pravidla hraničního přístupu zabezpečení sítě. Až budete hotovi, odstraníte všechny zdroje vytvořené během tohoto rychlého startu.

Bicep je jazyk specifický pro doménu (DSL), který k nasazování prostředků Azure používá deklarativní syntaxi. Poskytuje stručnou syntaxi, spolehlivou bezpečnost typů a podporu opětovného použití kódu. Bicep nabízí nejlepší prostředí pro vytváření obsahu pro řešení infrastruktury jako kódu v Azure.

Hraniční síť zabezpečení sítě můžete vytvořit také pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI.

Důležité

Perimetr síťové bezpečnosti je v otevřené testovací verzi a je dostupný ve všech oblastech veřejného cloudu Azure. Tato verze Preview je poskytována bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy. Některé funkce nemusí být podporované nebo můžou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Požadavky

Prohlédnout si soubor Bicep

Tento soubor Bicep vytvoří síťový bezpečnostní perimetr pro instanci služby Azure Key Vault.

Soubor Bicep, který tento quickstart používá, je z Azure Quickstart Templates.

param location string = resourceGroup().location
param keyVaultName string = 'kv-${uniqueString(resourceGroup().id)}'
param nspName string = 'networkSecurityPerimeter'
param profileName string = 'profile1'
param inboundIpv4AccessRuleName string = 'inboundRule'
param outboundFqdnAccessRuleName string = 'outboundRule'
param associationName string = 'networkSecurityPerimeterAssociation'

resource keyVault 'Microsoft.KeyVault/vaults@2022-07-01' = {
    name: keyVaultName
    location: location
    properties: {
        sku: {
            family: 'A'
            name: 'standard'
        }
        tenantId: subscription().tenantId
        accessPolicies: []
        enabledForDeployment: false
        enabledForDiskEncryption: false
        enabledForTemplateDeployment: false
        enableSoftDelete: true
        softDeleteRetentionInDays: 90
        enableRbacAuthorization: false
    }
}

resource networkSecurityPerimeter 'Microsoft.Network/networkSecurityPerimeters@2023-07-01-preview' = {
    name: nspName
    location: location
    properties: {}
}

resource profile 'Microsoft.Network/networkSecurityPerimeters/profiles@2023-07-01-preview' = {
    parent: networkSecurityPerimeter
    name: profileName
    location: location
    properties: {}
}

resource inboundAccessRule 'Microsoft.Network/networkSecurityPerimeters/profiles/accessRules@2023-07-01-preview' = {
    parent: profile
    name: inboundIpv4AccessRuleName
    location: location
    properties: {
        direction: 'Inbound'
        addressPrefixes: [
            '100.10.0.0/16'
        ]
        fullyQualifiedDomainNames: []
        subscriptions: []
        emailAddresses: []
        phoneNumbers: []
    }
}

resource outboundAccessRule 'Microsoft.Network/networkSecurityPerimeters/profiles/accessRules@2023-07-01-preview' = {
    parent: profile
    name: outboundFqdnAccessRuleName
    location: location
    properties: {
        direction: 'Outbound'
        addressPrefixes: []
        fullyQualifiedDomainNames: [
            'contoso.com'
        ]
        subscriptions: []
        emailAddresses: []
        phoneNumbers: []
    }
}

resource resourceAssociation 'Microsoft.Network/networkSecurityPerimeters/resourceAssociations@2023-07-01-preview' = {
    parent: networkSecurityPerimeter
    name: associationName
    location: location
    properties: {
        privateLinkResource: {
            id: keyVault.id
        }
        profile: {
            id: profile.id
        }
        accessMode: 'Enforced'
    }
}

Soubor Bicep definuje více prostředků Azure:

Nasazení souboru Bicep

  1. Uložte soubor Bicep jako main.bicep do místního počítače.

  2. Nasaďte soubor Bicep pomocí Azure CLI nebo Azure PowerShellu.

    az group create --name resource-group --location eastus
az deployment group create --resource-group resource-group --template-file main.bicep --parameters
networkSecurityPerimeterName=<network-security-perimeter-name>

Ověření nasazení

  1. Přihlaste se k webu Azure Portal.
  2. Do vyhledávacího pole v horní části portálu zadejte perimetr síťové bezpečnosti. Vyberte Hraniční body zabezpečení sítě ve výsledcích vyhledávání.
  3. Ze seznamu síťových bezpečnostních perimetrů vyberte prostředek networkPerimeter.
  4. Ověřte, že se prostředek networkPerimeter úspěšně vytvořil. Na stránce Přehled se zobrazí podrobnosti o perimetru zabezpečení sítě, včetně profilů a přidružených prostředků.

Čištění zdrojů

Pokud už nepotřebujete prostředky, které jste vytvořili pomocí hraniční služby zabezpečení sítě, odstraňte skupinu prostředků. Tím se odebere služba pro zabezpečení obvodové sítě a všechny související prostředky.

az group delete --name resource-group

Poznámka:

Odebrání přidružení vašeho prostředku ze síťového bezpečnostního perimetru vede k tomu, že řízení přístupu se vrátí ke stávající konfiguraci brány firewall prostředku. Z toho může vyplynout povolení nebo zamítnutí přístupu v závislosti na nastavení firewallu pro zdroje. Pokud je vlastnost PublicNetworkAccess nastavená na SecuredByPerimeter a přidružení bylo odstraněno, prostředek přejde do uzamčeného stavu. Další informace najdete v tématu Přechod na síťový bezpečnostní perimetr v Azure.

Další kroky

Diagnostické protokolování pro bezpečnostní perimetr sítě Azure