Rychlý start: Vytvoření bezpečnostního perimetru sítě – Azure PowerShell

Začněte s ochranou perimetru sítě vytvořením perimetru zabezpečení sítě pro Azure Key Vault pomocí Azure PowerShellu. Hraniční síť pro zabezpečení sítě umožňuje prostředkům Azure Platform as a Service (PaaS) komunikovat v rámci explicitní důvěryhodné hranice. Přidružení prostředku PaaS vytvoříte a aktualizujete v hraničním profilu zabezpečení sítě. Pak vytvoříte a aktualizujete pravidla hraničního přístupu zabezpečení sítě. Až budete hotovi, odstraníte všechny prostředky vytvořené v tomto rychlém startu.

Důležité

Hraniční zabezpečení sítě je ve verzi Public Preview a je dostupné ve všech oblastech veřejného cloudu Azure. Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro úlohy v produkčním prostředí. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• Nainstalujte modul Az.Tools.Installer:

  # Install the Az.Tools.Installer module    
  Install-Module -Name Az.Tools.Installer -Repository PSGallery
  

• Nainstalujte build Preview :Az.Network

  # Install the preview build of the Az.Network module 
  Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview
  

• Můžete použít Azure PowerShell místně nebo použít Azure Cloud Shell.

• Nápovědu k rutinám PowerShellu získáte pomocí Get-Help příkazu:

  # Get help for a specific command
  Get-Help -Name <powershell-command> - full
  
  # Example
  Get-Help -Name New-AzNetworkSecurityPerimeter - full
  

Přihlaste se ke svému účtu Azure a vyberte své předplatné.

Pokud chcete zahájit konfiguraci, přihlaste se ke svému účtu Azure:

# Sign in to your Azure account
Connect-AzAccount

Pak se připojte k předplatnému:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Vytvořte skupinu prostředků a trezor klíčů

Než budete moct vytvořit perimetr síťové bezpečnosti, musíte vytvořit skupinu prostředků a prostředek pro úschovu klíčů.
Tento příklad vytvoří skupinu prostředků pojmenovanou test-rg v umístění WestCentralUS a trezor klíčů pojmenovaný demo-keyvault-<RandomValue> ve skupině prostředků s následujícími příkazy:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Vytvoření bezpečnostního perimetru sítě

V tomto kroku vytvořte bezpečnostní perimetr sítě pomocí následujícího New-AzNetworkSecurityPerimeter příkazu:

Poznámka:

Neumisťujte žádná osobní identifikovatelná ani citlivá data do pravidel zabezpečení sítě ani do jiné konfigurace hraniční sítě.

# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id
  

Vytvoření a aktualizace přidružení prostředků PaaS pomocí nového profilu

V tomto kroku vytvoříte nový profil a přidružíte prostředek PaaS, Azure Key Vault k profilu pomocí příkazů New-AzNetworkSecurityPerimeterProfile a New-AzNetworkSecurityPerimeterAssociation.

1. Vytvořte nový profil pro hraniční síť zabezpečení sítě pomocí následujícího příkazu:

       # Create a new profile
   
       $nspProfile = @{ 
           Name = 'nsp-profile' 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           }
   
       $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile
   

2. Následujícím příkazem přidružte azure Key Vault (prostředek PaaS) k hraničnímu profilu zabezpečení sítě:

       # Associate the PaaS resource with the above created profile
   
       $nspAssociation = @{ 
           AssociationName = 'nsp-association' 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           AccessMode = 'Learning'  
           ProfileId = $demoProfileNSP.Id 
           PrivateLinkResourceId = $keyVault.ResourceID
           }
   
       New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list
   

3. Aktualizujte asociaci změnou režimu přístupu na enforced pomocí příkazu Update-AzNetworkSecurityPerimeterAssociation takto:

       # Update the association to enforce the access mode
       $updateAssociation = @{ 
           AssociationName = $nspassociation.AssociationName 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           AccessMode = 'Enforced'
           }
       Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list
   

Spravovat pravidla přístupu perimetru zabezpečení sítě

V tomto kroku vytvoříte, aktualizujete a odstraníte pravidla hraničního přístupu zabezpečení sítě s předponami veřejných IP adres.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Poznámka:

Pokud spravovaná identita není přiřazená k prostředku, který ho podporuje, odchozí přístup k jiným prostředkům ve stejné hraniční síti se odepře. Pravidla pro příchozí komunikaci založená na předplatném, která mají umožnit přístup z tohoto prostředku, nebudou účinná.

Odstraňte všechny prostředky

Pokud už hraniční síť nepotřebujete, odeberte všechny prostředky přidružené k hraniční síti, odeberte hraniční síť a pak odeberte skupinu prostředků.

    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Poznámka:

Odebrání přidružení prostředků z obvodu síťové bezpečnosti vede k tomu, že řízení přístupu se vrátí ke stávající konfiguraci brány firewall prostředků. To může mít za následek povolení nebo odepření přístupu na základě konfigurace prostředků brány firewall. Pokud je vlastnost PublicNetworkAccess nastavená na SecuredByPerimeter a přidružení bylo odstraněno, prostředek přejde do uzamčeného stavu. Další informace najdete v tématu Přechod na síťový bezpečnostní perimetr v Azure.

Další kroky

Diagnostické protokolování pro perimetr síťové bezpečnosti Azure