Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Začněte s zabezpečením sítě vytvořením bezpečnostního perimetru pro službu Azure Key Vault pomocí Azure CLI. Hraniční síť pro zabezpečení sítě umožňuje prostředkům Azure PaaS (PaaS) komunikovat v rámci explicitní důvěryhodné hranice. Dále vytvoříte a aktualizujete přidružení prostředků PaaS v hraničním profilu zabezpečení sítě. Pak vytvoříte a aktualizujete pravidla hraničního přístupu zabezpečení sítě. Až budete hotovi, odstraníte všechny prostředky vytvořené v tomto rychlém startu.
Důležité
Perimetr zabezpečení sítě je teď obecně dostupný ve všech oblastech veřejného cloudu služby Azure. Informace o podporovaných službách najdete v části Onboarded private link resources pro podporované služby PaaS.
Požadavky
- Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
- Nejnovější Azure CLI, nebo můžete použít Azure Cloud Shell v portálu.
- Tento článek vyžaduje verzi 2.38.0 nebo novější azure CLI. Pokud používáte Azure Cloud Shell, je už nainstalovaná nejnovější verze.
- Po upgradu na nejnovější verzi Azure CLI naimportujte příkazy zabezpečení sítě pomocí
az extension add --name nsp.
Připojte se ke svému účtu Azure a vyberte své předplatné.
Začněte tím, že se připojíte ke službě Azure Cloud Shell nebo použijete místní prostředí rozhraní příkazového řádku.
Pokud používáte Azure Cloud Shell, přihlaste se a vyberte své předplatné.
Pokud jste rozhraní příkazového řádku nainstalovali místně, přihlaste se pomocí následujícího příkazu:
# Sign in to your Azure account az loginV terminálu vyberte své aktivní předplatné místně pomocí následujícího příkazu:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Vytvořte skupinu prostředků a trezor klíčů
Než budete moct vytvořit perimetr zabezpečení sítě, musíte vytvořit skupinu prostředků a prostředek trezor klíčů pomocí az group create a az keyvault create.
Tento příklad vytvoří skupinu prostředků pojmenovanou skupinu prostředků v umístění WestCentralUS a trezor klíčů s názvem key-vault-YYYYDDMM ve skupině prostředků s následujícími příkazy:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Vytvoření bezpečnostního perimetru sítě
V tomto kroku vytvořte hraniční síť pomocí příkazu az network perimeter create .
Poznámka:
Neumisťujte žádná osobní identifikovatelná ani citlivá data do pravidel zabezpečení sítě ani do jiné konfigurace hraniční sítě.
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
Vytvoření a aktualizace přidružení prostředků PaaS pomocí nového profilu
V tomto kroku vytvoříte nový profil a přidružíte k tomuto profilu prostředek PaaS, službu Azure Key Vault, pomocí příkazů az network perimeter profile create a az network perimeter association create.
Poznámka:
Nahraďte hodnoty --private-link-resource a --profile hodnotami trezoru klíčů a ID profilu u parametrů <PaaSArmId> a <networkSecurityPerimeterProfileId>.
Vytvořte nový profil pro hraniční síť zabezpečení sítě pomocí následujícího příkazu:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeterPřiřaďte Azure Key Vault (prostředek PaaS) k hraničnímu profilu zabezpečení sítě pomocí následujících příkazů.
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"Aktualizujte přidružení změnou režimu přístupu na vynucený pomocí příkazu az network perimeter association create následujícím způsobem:
az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
Správa pravidel přístupu perimetrálního zabezpečení sítě
V tomto kroku vytvoříte, aktualizujete a odstraníte pravidla přístupu k zabezpečenému perimetru sítě s předponami veřejných IP adres pomocí příkazu az network perimeter profile access-rule create.
Vytvořte příchozí pravidlo přístupu s předponou veřejné IP adresy pro profil vytvořený pomocí následujícího příkazu:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"Aktualizujte příchozí pravidlo přístupu pomocí jiné předpony veřejné IP adresy pomocí následujícího příkazu:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"Pokud potřebujete odstranit pravidlo přístupu, použijte příkaz az network perimeter profile access-rule delete.
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
Poznámka:
Povolení spravované identity (MI) je nezbytné pro podporu komunikace mezi prostředky uvnitř perimetru. Některé funkce pro určité prostředky (například funkce Azure SQL, které používají platformou spravovanou back-endovou komunikaci SQL-to-SQL) mohou fungovat i bez MI, ale důrazně se doporučuje jeho povolení pro zajištění zabezpečeného přístupu v rámci stejného obvodu nebo napříč propojenými obvody.
Odstraňte všechny prostředky
K odstranění síťového bezpečnostního perimetru a dalších prostředků v tomto rychlém průvodci použijte následující příkazy az network perimeter :
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Poznámka:
Odebrání přidružení prostředků ze síťového bezpečnostního perimetru znamená, že řízení přístupu přechází na stávající konfiguraci brány firewall prostředků. Z toho může vyplynout povolení nebo zamítnutí přístupu v závislosti na nastavení firewallu pro zdroje. Pokud je vlastnost PublicNetworkAccess nastavená na SecuredByPerimeter a přidružení bylo odstraněno, prostředek přejde do uzamčeného stavu. Pro více informací, viz Přechod na perimetr síťové bezpečnosti v Azure.