Rychlý start: Vytvoření bezpečnostního perimetru sítě – Azure PowerShell

Začněte s ochranou perimetru sítě vytvořením perimetru zabezpečení sítě pro Azure Key Vault pomocí Azure PowerShellu. Hraniční síť pro zabezpečení sítě umožňuje prostředkům Azure Platform as a Service (PaaS) komunikovat v rámci explicitní důvěryhodné hranice. Přidružení prostředku PaaS vytvoříte a aktualizujete v hraničním profilu zabezpečení sítě. Pak vytvoříte a aktualizujete pravidla hraničního přístupu zabezpečení sítě. Až budete hotovi, odstraníte všechny zdroje vytvořené během tohoto rychlého startu.

Důležité

Perimetr síťové bezpečnosti je nyní obecně dostupný ve všech regionech veřejného cloudu Azure. Informace o podporovaných službách najdete v části Onboarded private link resources pro podporované služby PaaS.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• Nainstalujte modul Az.Tools.Installer:

  # Install the Az.Tools.Installer module    
  Install-Module -Name Az.Tools.Installer -Repository PSGallery
  

• Nainstalujte build náhledové verze Az.Network:

  # Install the preview build of the Az.Network module 
  Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview
  

• Můžete použít Azure PowerShell místně nebo použít Azure Cloud Shell.

• Nápovědu k rutinám PowerShellu získáte pomocí Get-Help příkazu:

  # Get help for a specific command
  Get-Help -Name <powershell-command> - full
  
  # Example
  Get-Help -Name New-AzNetworkSecurityPerimeter - full
  

Přihlaste se ke svému účtu Azure a vyberte své předplatné.

Pokud chcete zahájit konfiguraci, přihlaste se ke svému účtu Azure:

# Sign in to your Azure account
Connect-AzAccount

Pak se připojte k předplatnému:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Vytvořte skupinu prostředků a trezor klíčů

Než budete moct vytvořit perimetr síťové bezpečnosti, musíte vytvořit skupinu prostředků a prostředek pro úschovu klíčů.
Tento příklad vytvoří skupinu prostředků pojmenovanou test-rg v umístění WestCentralUS a trezor klíčů pojmenovaný demo-keyvault-<RandomValue> ve skupině prostředků s následujícími příkazy:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Vytvoření bezpečnostního perimetru sítě

V tomto kroku vytvořte bezpečnostní perimetr sítě pomocí následujícího New-AzNetworkSecurityPerimeter příkazu:

Poznámka:

Neumisťujte žádná osobní identifikovatelná ani citlivá data do pravidel zabezpečení sítě ani do jiné konfigurace hraniční sítě.

# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id
  

Vytvoření a aktualizace přidružení prostředků PaaS pomocí nového profilu

V tomto kroku vytvoříte nový profil a přidružíte prostředek PaaS, Azure Key Vault k profilu pomocí příkazů New-AzNetworkSecurityPerimeterProfile a New-AzNetworkSecurityPerimeterAssociation.

1. Vytvořte nový profil pro hraniční síť zabezpečení sítě pomocí následujícího příkazu:

       # Create a new profile
   
       $nspProfile = @{ 
           Name = 'nsp-profile' 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           }
   
       $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile
   

2. Následujícím příkazem přidružte azure Key Vault (prostředek PaaS) k hraničnímu profilu zabezpečení sítě:

       # Associate the PaaS resource with the above created profile
   
       $nspAssociation = @{ 
           AssociationName = 'nsp-association' 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           AccessMode = 'Learning'  
           ProfileId = $demoProfileNSP.Id 
           PrivateLinkResourceId = $keyVault.ResourceID
           }
   
       New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list
   

3. Aktualizujte asociaci změnou režimu přístupu na enforced pomocí příkazu Update-AzNetworkSecurityPerimeterAssociation takto:

       # Update the association to enforce the access mode
       $updateAssociation = @{ 
           AssociationName = $nspassociation.AssociationName 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           AccessMode = 'Enforced'
           }
       Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list
   

Správa pravidel přístupu perimetrálního zabezpečení sítě

V tomto kroku vytvoříte, aktualizujete a odstraníte pravidla hraničního přístupu zabezpečení sítě s předponami veřejných IP adres.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Poznámka:

Povolení spravované identity (MI) je nezbytné pro podporu komunikace mezi prostředky uvnitř perimetru. Některé funkce pro určité prostředky (například funkce Azure SQL, které používají platformou spravovanou back-endovou komunikaci SQL-to-SQL) mohou fungovat i bez MI, ale důrazně se doporučuje jeho povolení pro zajištění zabezpečeného přístupu v rámci stejného obvodu nebo napříč propojenými obvody.

Odstraňte všechny prostředky

Pokud už hraniční síť nepotřebujete, odeberte všechny prostředky přidružené k hraniční síti, odeberte hraniční síť a pak odeberte skupinu prostředků.

    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Poznámka:

Odebrání přidružení vašeho prostředku ze síťového bezpečnostního perimetru vede k tomu, že řízení přístupu se vrátí ke stávající konfiguraci brány firewall prostředku. Z toho může vyplynout povolení nebo zamítnutí přístupu v závislosti na nastavení firewallu pro zdroje. Pokud je vlastnost PublicNetworkAccess nastavená na SecuredByPerimeter a přidružení bylo odstraněno, prostředek přejde do uzamčeného stavu. Další informace najdete v tématu Přechod na síťový bezpečnostní perimetr v Azure.

Další kroky

Diagnostické protokolování pro perimetr síťové bezpečnosti Azure