Démarrage rapide : Créer un périmètre de sécurité réseau - Portail Azure
Article
Commencez à utiliser le périmètre de sécurité réseau en créant un périmètre de sécurité réseau pour un coffre de clés Azure à l’aide du Portail Microsoft Azure. Un périmètre de sécurité réseau permet aux ressources Azure PaaS (PaaS)de communiquer dans une limite de confiance explicite. Vous devez ensuite créer et mettre à jour une association de ressources PaaS dans un profil de périmètre de sécurité réseau. Vous devez ensuite créer et mettre à jour les règles d’accès au périmètre de sécurité réseau. Une fois que vous avez fini, supprimez toutes les ressources créées dans ce guide de démarrage rapide.
Important
Le périmètre de sécurité réseau est en préversion publique et disponible dans toutes les régions du cloud public Azure.
Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production.
Certaines fonctionnalités peuvent être limitées ou non prises en charge.
Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Prérequis
Avant de commencer, assurez-vous de disposer des éléments suivants :
Un compte Azure avec un abonnement actif et un accès au Portail Microsoft Azure. Si vous n’avez pas encore de compte Azure, créez-en un gratuitement.
L’inscription à la version préliminaire publique du périmètre de sécurité réseau Azure est requise. Pour vous inscrire, ajoutez l’indicateur de fonctionnalité AllowNSPInPublicPreview à votre abonnement.
Une fois l’indicateur de fonctionnalité ajouté, vous devez réinscrire le fournisseur de ressources Microsoft.Network dans votre abonnement.
Pour réinscrire le fournisseur de ressources Microsoft.Network dans le Portail Azure, sélectionnez votre abonnement, puis Fournisseurs de ressources. Recherchez Microsoft.Network, puis sélectionnez Réinscrire.
Pour réinscrire le fournisseur de ressources Microsoft.Network, utilisez la commande Azure PowerShell suivante :
Azure PowerShell
# Register the Microsoft.Network resource providerRegister-AzResourceProvider -ProviderNamespace Microsoft.Network
Pour réinscrire le fournisseur de ressources Microsoft.Network, utilisez la commande Azure CLI suivante :
Azure CLI
# Register the Microsoft.Network resource provideraz provider register --namespace Microsoft.Network
Connectez-vous au portail Azure avec votre compte Azure.
Créer un groupe de ressources et un coffre de clés
Avant de créer un périmètre de sécurité réseau, vous créez un groupe de ressources pour contenir toutes les ressources et un coffre-fort de clés protégé par un périmètre de sécurité réseau.
Notes
Azure Key Vault nécessite un nom unique. Si vous recevez une erreur indiquant que le nom est déjà utilisé, essayez un autre nom. Dans notre exemple, nous utilisons un nom unique en ajoutant l'année (AAAA), le mois (MM) et le jour (JJ) au nom - ey-vault-YYYYDDMM.
Dans la zone de recherche en haut du portail, saisissez Coffres-forts de clés. Sélectionnez Coffres de clés dans les résultats de la recherche.
Dans la fenêtre Comptes de coffres-forts qui apparaît, sélectionnez + Créer.
Dans la fenêtre Créer un coffre-fort de clés, saisissez les informations suivantes :
Paramètre
Valeur
Abonnement
Sélectionnez l’abonnement que vous souhaitez utiliser pour ce coffre-fort de clés.
Resource group
Sélectionnez Créer un nouveau, puis entrez resource-group comme nom.
Nom du coffre de clés
Entrez le coffre-fort à clés<RandomNameInformation>.
Région
Sélectionnez la région dans laquelle vous souhaitez que votre coffre-fort de clés soit créé. Pour ce démarrage rapide, (US) West Central US est utilisé.
Laissez les paramètres par défaut restants et sélectionnez Réviser + Créer>Créer.
Créez un périmètre de sécurité réseau
Une fois que vous avez créé un coffre-fort de clés, vous pouvez procéder à la création d’un périmètre de sécurité réseau.
Notes
Pour des raisons de sécurité organisationnelle et informationnelle, il est conseillé de ne pas inclure de données personnelles identifiables ou sensibles dans les règles du périmètre de sécurité du réseau ou dans toute autre configuration du périmètre de sécurité du réseau.
Dans la zone de recherche du Portail Microsoft Azure, entrez périmètres de sécurité réseau. Sélectionnez les périmètres de sécurité réseau parmi les résultats de la recherche.
Dans la fenêtre des périmètres de sécurité du réseau, sélectionnez + Créer.
Dans la fenêtre Créer un périmètre de sécurité réseau, saisissez les informations suivantes :
Paramètre
Valeur
Abonnement
Sélectionnez l’abonnement que vous souhaitez utiliser pour ce périmètre de sécurité réseau.
Resource group
Sélectionnez resource-group.
Nom
Entrez network-security-perimeter.
Région
Sélectionnez la région dans laquelle vous souhaitez que votre périmètre de sécurité réseau soit créé. Pour ce démarrage rapide, (US) West Central US est utilisé.
Nom du profil
Entrez profile-1.
Sélectionnez l’onglet Ressources ou Suivant pour passer à l’étape suivante.
Dans l’onglet Ressources, sélectionnez + Ajouter.
Dans la fenêtre Sélectionner les ressources, cochez key-vault-YYYYDDMM et choisissez Sélectionner.
Sélectionnez Règles d’accès entrant et sélectionnez + Ajouter.
Dans la fenêtre Ajouter une règle d’accès entrant, saisissez les informations suivantes et sélectionnez Ajouter :
Paramètres
Valeur
Nom de la règle
Entrez inbound-rule.
Type de source
Sélectionnez Plage d’adresses IP.
Sources autorisées
Saisissez une plage d’adresses IP publiques à partir de laquelle vous souhaitez autoriser le trafic entrant.
Sélectionnez Règles d’accès sortant et sélectionnez + Ajouter.
Dans la fenêtre Ajouter une règle d’accès sortant, saisissez les informations suivantes et sélectionnez Ajouter :
Paramètres
Valeur
Nom de la règle
Entrez outbound-rule.
Type de destination
Sélectionnez FQDN.
Destinations autorisées
Saisissez le FQDN des destinations que vous souhaitez autoriser. Par exemple : www.contoso.com.
Sélectionnez Vérifier + créer, puis Créer.
Sélectionnez Accéder à la ressource pour afficher le périmètre de sécurité réseau nouvellement créé.
Notes
Si l’identité managée n’est pas affectée à la ressource qui la prend en charge, l’accès sortant aux autres ressources du même périmètre est refusé. Les règles entrantes basées sur un abonnement destinées à autoriser l'accès à partir de cette ressource ne prendront pas effet.
Supprimez un périmètre de sécurité réseau
Lorsque vous n’avez plus besoin d’un périmètre de sécurité réseau, supprimez toutes les ressources associées au périmètre de sécurité réseau, puis supprimez le périmètre en suivant ces étapes :
Depuis votre périmètre de sécurité réseau, sélectionnez Ressources associées sous Paramètres.
Sélectionnez key-vault-YYYYDDMM dans la liste des ressources associées.
Dans la barre d’action, sélectionnez **Paramètres ** puis sélectionnez Supprimer dans la fenêtre de confirmation.
Revenez à la page Présentation de votre périmètre de sécurité réseau.
Sélectionnez Supprimer et confirmez la suppression en saisissant network-security-perimeter dans la zone de texte correspondant au nom de la ressource.
Accédez au resource-group et sélectionnez Supprimer pour supprimer le groupe de ressources et toutes les ressources qu’il contient.
Notes
La suppression de votre association de ressources du périmètre de sécurité réseau entraîne le basculement du contrôle d’accès vers la configuration existante du pare-feu de ressources. Cela peut entraîner l’autorisation/le refus de l’accès en fonction de la configuration du pare-feu de ressources. Si PublicNetworkAccess a la valeur SecuredByPerimeter, et si l’association a été supprimée, la ressource passe à l’état verrouillé. Pour plus d’informations, consultez Transition vers un périmètre de sécurité réseau dans Azure.
Apprenez à configurer les paramètres réseau d’Azure Key Vault par le biais du portail Azure pour sécuriser le contrôle d’accès à votre coffre et protéger les secrets et clés sensibles.
Démontrez les compétences nécessaires afin de mettre en œuvre des contrôles de sécurité, de maintenir la posture de sécurité d’une organisation, et d’identifier et de remédier aux vulnérabilités en matière de sécurité.
Découvrez les composants du périmètre de sécurité réseau, une fonctionnalité qui permet aux ressources PaaS Azure de communiquer au sein d’une limite approuvée explicite (ou périmètre).
Découvrez les options de stockage des journaux de diagnostic pour le périmètre de sécurité réseau et apprenez à activer la journalisation via le Portail Azure.
Découvrez comment créer un périmètre de sécurité réseau pour une ressource Azure à l’aide d’Azure CLI. Cet exemple illustre la création d’un périmètre de sécurité réseau pour un coffre de clés Azure Key Vault.
Découvrez comment créer un périmètre de sécurité réseau pour une ressource Azure avec Azure PowerShell. Cet exemple illustre la création d’un périmètre de sécurité réseau pour un coffre de clés Azure Key Vault.
Syntaxe et propriétés Azure Microsoft.Network/networkSecurityPerimeters à utiliser dans les modèles Azure Resource Manager pour déployer la ressource. Version de l’API la plus récente
