Lire en anglais

Partager via

Démarrage rapide : créer un périmètre de sécurité réseau – Azure PowerShell

  • Article

Pour commencer, vous allez créer un périmètre de sécurité réseau pour un coffre de clés Azure à l’aide d’Azure PowerShell. Un périmètre de sécurité réseau permet aux ressources Azure PaaS (platform as a service) de communiquer dans une limite de confiance explicite. Vous créez et mettez à jour l’association d’une ressource PaaS dans un profil de périmètre de sécurité réseau. Vous devez ensuite créer et mettre à jour les règles d’accès au périmètre de sécurité réseau. Une fois que vous avez fini, supprimez toutes les ressources créées dans ce guide de démarrage rapide.

Important

Le périmètre de sécurité réseau est en préversion publique et disponible dans toutes les régions du cloud public Azure. Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Prérequis

  • L’inscription à la préversion publique du périmètre de sécurité réseau Azure est obligatoire. Pour vous inscrire, ajoutez l’indicateur de fonctionnalité AllowNSPInPublicPreview à votre abonnement. Capture d’écran de l’ajout de l’indicateur de fonctionnalité du périmètre de sécurité réseau à l’abonnement Azure.

    Pour plus d’informations sur l’ajout d’indicateurs de fonctionnalités, consultez Configurer des fonctionnalités en préversion dans un abonnement Azure.

  • Une fois l’indicateur de fonctionnalité ajouté, vous devez réinscrire le fournisseur de ressources Microsoft.Network dans votre abonnement.

    • Pour réinscrire le fournisseur de ressources Microsoft.Network dans le Portail Azure, sélectionnez votre abonnement, puis Fournisseurs de ressources. Recherchez Microsoft.Network, puis sélectionnez Réinscrire.

      Capture d’écran de la réinscription du fournisseur de ressources Microsoft.Network dans l’abonnement.

    • Pour réinscrire le fournisseur de ressources Microsoft.Network, utilisez la commande Azure PowerShell suivante :

    Azure PowerShell 
    # Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

    • Pour réinscrire le fournisseur de ressources Microsoft.Network, utilisez la commande Azure CLI suivante :

      Azure CLI 
      # Register the Microsoft.Network resource provider
az provider register --namespace Microsoft.Network

    Pour plus d’informations sur la réinscription des fournisseurs de ressources, consultez Fournisseurs et types de ressources Azure.

  • La dernière version du module Azure PowerShell avec des outils pour le périmètre de sécurité réseau.

    Azure PowerShell 
    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Utilisez Az.Tools.Installer pour installer la version d’évaluation d’Az.Network :

    Azure PowerShell 
    # Install the preview build of the Az.Network module
Install-Module -Name Az.Tools.Installer -Repository PSGallery -allowprerelease -force

# List the current versions of the Az.Network module available in the PowerShell Gallery
Find-Module -Name Az.Network -Allversions -AllowPrerelease

# Install the preview build of the Az.Network module using the 

Install-AzModule -Name Az.Network -AllowPrerelease -Force
Install-AzModule -Path <previewVersionNumber>

    Notes

    La préversion du module Az.Network est nécessaire pour utiliser les fonctionnalités de périmètre de sécurité réseau. La dernière version du module Az.Network est disponible dans PowerShell Gallery. Recherchez la version la plus récente qui se termine par -preview.

  • Si vous choisissez d’utiliser Azure PowerShell localement :

  • Si vous choisissez d’utiliser Azure Cloud Shell :

  • Pour obtenir de l’aide sur les applets de commande PowerShell, utilisez la commande Get-Help :

    Azure PowerShell 
    
# Get help for a specific command
get-help -Name <powershell-command> - full

# Example
get-help -Name New-AzNetworkSecurityPerimeter - full

Vous connecter à votre compte Azure et sélectionner votre abonnement

Pour commencer votre configuration, connectez-vous à votre compte Azure :

Azure PowerShell 
# Sign in to your Azure account
Connect-AzAccount

Puis, connectez-vous à votre abonnement :

Azure PowerShell 
# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Créer un groupe de ressources et un coffre de clés

Pour pouvoir créer un périmètre de sécurité réseau, vous devez créer au préalable un groupe de ressources et une ressource de coffre de clés.
Cet exemple crée un groupe de ressources nommé test-rg dans l’emplacement WestCentralUS et un coffre de clés nommé demo-keyvault-<RandomValue> dans le groupe de ressources avec les commandes suivantes :

Azure PowerShell 
# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Créer un périmètre de sécurité réseau

Dans cette étape, créez un périmètre de sécurité réseau avec la commande New-AzNetworkSecurityPerimeter suivante :

Notes

Ne placez aucune information d’identification personnelle ou donnée sensible dans les règles du périmètre de sécurité réseau ou toute autre configuration du périmètre de sécurité réseau.

Azure PowerShell 

# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Créer et mettre à jour l’association des ressources PaaS avec un nouveau profil

Au cours de cette étape, vous créez un profil, et associez la ressource PaaS, le coffre de clés Azure Key Vault, au profil à l’aide des commandes New-AzNetworkSecurityPerimeterProfile et New-AzNetworkSecurityPerimeterAssociation.

  1. Créez un profil pour votre périmètre de sécurité réseau à l’aide de la commande suivante :

    Azure PowerShell 
        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Associez le coffre de clés Azure (ressource PaaS) au profil de périmètre de sécurité réseau avec la commande suivante :

    Azure PowerShell 
        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Mettez à jour l’association en remplaçant le mode d’accès par enforced avec la commande Update-AzNetworkSecurityPerimeterAssociation, comme suit :

    Azure PowerShell 
        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Gérer les règles d’accès au périmètre de sécurité réseau

Dans cette étape, vous créez, mettez à jour et supprimez les règles d’accès au périmètre de sécurité réseau avec des préfixes d’adresse IP publique.

Azure PowerShell 
    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Notes

Si l’identité managée n’est pas affectée à la ressource qui la prend en charge, l’accès sortant aux autres ressources du même périmètre est refusé. Les règles de trafic entrant basées sur un abonnement, et qui visent à autoriser l’accès à partir de cette ressource, ne prennent pas effet.

Supprimer toutes les ressources

Lorsque vous n’avez plus besoin du périmètre de sécurité réseau, supprimez toutes les ressources associées au périmètre de sécurité réseau, supprimez le périmètre, puis supprimez le groupe de ressources.

Azure PowerShell 

    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Notes

La suppression de votre association de ressources du périmètre de sécurité réseau entraîne le basculement du contrôle d’accès vers la configuration existante du pare-feu de ressources. Cela peut entraîner l’autorisation/le refus de l’accès en fonction de la configuration du pare-feu de ressources. Si PublicNetworkAccess a la valeur SecuredByPerimeter, et si l’association a été supprimée, la ressource passe à l’état verrouillé. Pour plus d’informations, consultez Transition vers un périmètre de sécurité réseau dans Azure.

Étapes suivantes

Journalisation des diagnostics pour le périmètre de sécurité du réseau Azure