Ler en inglés

Compartir por

Inicio rápido: Creación de un perímetro de seguridad de red: Azure PowerShell

  • Artigo

Empiece a trabajar con el perímetro de seguridad de red mediante la creación de un perímetro de seguridad de red para un almacén de claves de Azure mediante Azure PowerShell. Un perímetro de seguridad de red permite que los recursos de la plataforma como servicio (PaaS) de Azure se comuniquen dentro de un límite de confianza explícito. Puede crear y actualizar la asociación de un recurso PaaS en un perfil perimetral de seguridad de red. A continuación, creará y actualizará las reglas de acceso perimetral de seguridad de red. Cuando haya terminado, eliminará todos los recursos creados en este inicio rápido.

Importante

El perímetro de seguridad de red está en versión preliminar pública y está disponible en todas las regiones de nube pública de Azure. Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Prerrequisitos

  • Se requiere el registro de la versión preliminar pública del perímetro de seguridad de red de Azure. Para registrarse, agregue la marca de característica AllowNSPInPublicPreview a la suscripción. Captura de pantalla de la adición de la marca de característica perimetral de seguridad de red a la suscripción de Azure.

    Para más información sobre cómo agregar marcas de características, consulte Configuración de características en vista previa en la suscripción de Azure.

  • Una vez agregada la marca de características, debe volver a registrar el proveedor de recursos Microsoft.Network en la suscripción.

    • Para volver a registrar el proveedor de recursos Microsoft.Network en Azure Portal, seleccione la suscripción y, a continuación, seleccione Proveedores de recursos. Busque Microsoft.Network y seleccione Volver a registrar.

      Captura de pantalla del nuevo registro del proveedor de recursos Microsoft.Network en la suscripción.

    • Para volver a registrar el proveedor de recursos Microsoft.Network, use el siguiente comando de Azure PowerShell:

    Azure PowerShell 
    # Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

    • Para volver a registrar el proveedor de recursos Microsoft.Network, use el siguiente comando de la CLI de Azure:

      Azure CLI 
      # Register the Microsoft.Network resource provider
az provider register --namespace Microsoft.Network

    Para más información sobre cómo volver a registrar proveedores de recursos, consulte Tipos y proveedores de recursos de Azure.

  • La versión más reciente del módulo de Azure PowerShell con herramientas para el perímetro de seguridad de red.

    Azure PowerShell 
    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Use Az.Tools.Installer para instalar la compilación en versión preliminar de Az.Network:

    Azure PowerShell 
    # Install the preview build of the Az.Network module
Install-Module -Name Az.Tools.Installer -Repository PSGallery -allowprerelease -force

# List the current versions of the Az.Network module available in the PowerShell Gallery
Find-Module -Name Az.Network -Allversions -AllowPrerelease

# Install the preview build of the Az.Network module using the 

Install-AzModule -Name Az.Network -AllowPrerelease -Force
Install-AzModule -Path <previewVersionNumber>

    Nota

    La versión preliminar del módulo Az.Network es necesaria para usar las funcionalidades perimetrales de seguridad de red. La versión más reciente del módulo Az.Network está disponible en la Galería de PowerShell. Busque la versión más reciente que termina en -preview.

  • Si opta por usar Azure PowerShell en un entorno local:

  • Si decide usar Azure Cloud Shell:

  • Para obtener ayuda con los cmdlets de PowerShell, use el comando Get-Help:

    Azure PowerShell 
    
# Get help for a specific command
get-help -Name <powershell-command> - full

# Example
get-help -Name New-AzNetworkSecurityPerimeter - full

Iniciar sesión en la cuenta de Azure y seleccione la suscripción

Para empezar la configuración, inicie sesión en la cuenta de Azure:

Azure PowerShell 
# Sign in to your Azure account
Connect-AzAccount

Luego, conéctela a la suscripción:

Azure PowerShell 
# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Creación de un grupo de recursos y de un almacén de claves

Para poder crear un perímetro de seguridad de red, debe crear un grupo de recursos y un recurso de almacén de claves.
En este ejemplo se crea un grupo de recursos denominado test-rg en la ubicación WestCentralUS y un almacén de claves denominado demo-keyvault-<RandomValue> en el grupo de recursos con los siguientes comandos:

Azure PowerShell 
# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Creación de un perímetro de seguridad de red

En este paso, cree un perímetro de seguridad de red con el comando New-AzNetworkSecurityPerimeter siguiente:

Nota

No coloque ninguna identificación personal ni datos confidenciales en las reglas perimetrales de seguridad de red u otra configuración del perímetro de seguridad de red.

Azure PowerShell 

# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Creación y actualización de la asociación de recursos de PaaS con un nuevo perfil

En este paso, creará un nuevo perfil y asociará el recurso PaaS, Azure Key Vault con el perfil mediante los comandos New-AzNetworkSecurityPerimeterProfile y New-AzNetworkSecurityPerimeterAssociation.

  1. Cree un perfil para el perímetro de seguridad de red con el comando siguiente:

    Azure PowerShell 
        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Asocie Azure Key Vault (recurso PaaS) con el perfil perimetral de seguridad de red con el siguiente comando:

    Azure PowerShell 
        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Actualice la asociación cambiando el modo de acceso a enforced con el comando Update-AzNetworkSecurityPerimeterAssociation de la siguiente manera:

    Azure PowerShell 
        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Administración de reglas de acceso perimetral de seguridad de red

En este paso, creará, actualizará y eliminará las reglas de acceso perimetral de seguridad de red con prefijos de dirección IP pública.

Azure PowerShell 
    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Nota

Si la identidad administrada no está asignada al recurso que lo admite, se denegará el acceso saliente a otros recursos dentro del mismo perímetro. Las reglas de entrada basadas en suscripciones destinadas a permitir el acceso desde este recurso no surtirán efecto.

Eliminación de todos los recursos

Cuando ya no necesite el perímetro de seguridad de red, quite todos los recursos asociados al perímetro de seguridad de red, quite el perímetro y, a continuación, quite el grupo de recursos.

Azure PowerShell 

    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Nota

Al quitar la asociación de recursos del perímetro de seguridad de red, el control de acceso se revierte a la configuración del firewall de recursos existente. Esto puede dar lugar a que se permita o deniegue el acceso según la configuración del firewall de recursos. Si PublicNetworkAccess está establecido en SecuredByPerimeter y la asociación se ha eliminado, el recurso escribirá un estado bloqueado. Para más información, consulte Transición a un perímetro de seguridad de red en Azure.

Pasos siguientes

Registro de diagnóstico para el perímetro de seguridad de red de Azure