Share via

Szabályhierarchia definiálása az Azure Firewall-szabályzat használatával

  • Cikk

A biztonsági rendszergazdáknak tűzfalakat kell kezelnie, és biztosítaniuk kell a megfelelőséget a helyszíni és a felhőbeli üzemelő példányok között. Kulcsfontosságú összetevő, hogy az alkalmazáscsapatok rugalmasan implementálják a CI-/CD-folyamatokat a tűzfalszabályok automatikus létrehozása érdekében.

Az Azure Firewall-szabályzat lehetővé teszi egy szabályhierarchia definiálását és a megfelelőség kikényszerítését:

  • Hierarchikus struktúrát biztosít, amely egy központi alapházirendet fed át egy gyermekalkalmazás-csapatszabályzatra. Az alapházirend magasabb prioritással rendelkezik, és a gyermekházirend előtt fut.
  • Egyéni Azure-szerepkördefinícióval megakadályozhatja az alapszabályzat véletlen eltávolítását, és szelektív hozzáférést biztosíthat az előfizetésen vagy erőforráscsoporton belüli szabálygyűjtemény-csoportokhoz.

Megoldás áttekintése

A példa magas szintű lépései a következők:

  1. Hozzon létre egy alapszintű tűzfalszabályzatot a biztonsági csapat erőforráscsoportjában.
  2. Informatikai biztonsági szabályok definiálása az alapszabályzatban. Ez egy általános szabálykészletet ad hozzá a forgalom engedélyezéséhez/megtagadásához.
  3. Az alapházirendet öröklő alkalmazáscsoport-szabályzatok létrehozása.
  4. Alkalmazáscsoportspecifikus szabályok definiálása a szabályzatban. A szabályokat a már meglévő tűzfalakról is áttelepítheti.
  5. Hozzon létre egyéni Microsoft Entra-szerepköröket, hogy részletes hozzáférést biztosítson a szabálygyűjteményi csoporthoz, és szerepköröket vegyen fel egy tűzfalszabályzat hatókörébe. Az alábbi példában az értékesítési csapat tagjai szerkeszthetik az értékesítési csapatok tűzfalszabályzatának szabálygyűjteményi csoportjait. Ugyanez vonatkozik az adatbázis- és mérnöki csapatokra is.
  6. Társítsa a szabályzatot a megfelelő tűzfalhoz. Egy Azure-tűzfal csak egy hozzárendelt szabályzattal rendelkezhet. Ehhez minden alkalmazáscsapatnak saját tűzfalra van szüksége.

Teams and requirements

A tűzfalszabályzatok létrehozása

  • Alapszintű tűzfalszabályzat.

Szabályzatok létrehozása az egyes alkalmazáscsoportokhoz:

  • Értékesítési tűzfalszabályzat. A Sales tűzfalszabályzat örökli az alapszintű tűzfalszabályzatot.
  • Adatbázis tűzfalszabályzata. Az adatbázis tűzfalszabályzata örökli az alapszintű tűzfalszabályzatot.
  • Mérnöki tűzfalszabályzat. A mérnöki tűzfalszabályzat az alapszintű tűzfalszabályzatot is örökli.

Policy hierarchy

Egyéni szerepkörök létrehozása a szabálygyűjtemény-csoportok eléréséhez

Az egyes alkalmazáscsapatokhoz egyéni szerepkörök vannak definiálva. A szerepkör határozza meg a műveleteket és a hatókört. Az alkalmazáscsapatok szerkeszthetik a szabálygyűjtemény-csoportokat a megfelelő alkalmazásaikhoz.

Egyéni szerepkörök definiálásához használja az alábbi magas szintű eljárást:

  1. Szerezze be az előfizetést.

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Futtassa az alábbi parancsot.

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. A Get-AzRoleDefinition paranccsal JSON formátumban adja ki az Olvasó szerepkört.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Nyissa meg a ReaderSupportRole.json fájlt egy tetszőleges szövegszerkesztőben.

    Itt a JSON-kimenet. A különböző tulajdonságokról további információt az Egyéni Azure-szerepkörökben talál.

   {
     "Name": "Reader",
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
     "IsCustom": false,
     "Description": "Lets you view everything, but not make any changes.",
     "Actions": [
      "*/read"
     ],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/"
     ]
   }

  1. Szerkessze a JSON-fájlt a

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    műveletet a Műveletek tulajdonságra. Ügyeljen arra, hogy az olvasási művelet után mindenképpen használjon vesszőt. Ez a művelet lehetővé teszi, hogy a felhasználó szabálycsoportokat hozzon létre és frissítsen.

  2. Az AssignableScopesben adja hozzá az előfizetés azonosítóját az alábbi formátumban. 

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    Explicit előfizetési azonosítókat kell hozzáadnia. Ellenkező esetben nem importálhatja a szerepkört az előfizetésébe.

  3. Törölje az Azonosító tulajdonságsort, és módosítsa az IsCustom tulajdonság értékét igaz értékre.

  4. Módosítsa a Név és leírástulajdonságokat az AZFM-szabálycsoport-csoport szerzőjének és a szerepkörben lévő felhasználóknak a tűzfalszabály-gyűjteménycsoportok szerkesztésére

A JSON-fájlnak az alábbi példához hasonlóan kell kinéznie:

{

    "Name":  "AZFM Rule Collection Group Author",
    "IsCustom":  true,
    "Description":  "Users in this role can edit Firewall Policy rule collection groups",
    "Actions":  [
                    "*/read",
                    "Microsoft.Network/*/read",
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write"
                ],
    "NotActions":  [
                   ],
    "DataActions":  [
                    ],
    "NotDataActions":  [
                       ],
    "AssignableScopes":  [
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"]
}

  1. Az új egyéni szerepkör létrehozásához használja a New-AzRoleDefinition parancsot, és adja meg a JSON-szerepkördefiníciós fájlt.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Egyéni szerepkörök listázása

Az összes egyéni szerepkör listázásához használja a Get-AzRoleDefinition parancsot:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Az egyéni szerepköröket az Azure Portalon is megtekintheti. Nyissa meg az előfizetését, és válassza a Hozzáférés-vezérlés (IAM), Szerepkörök lehetőséget.

SalesAppPolicy

SalesAppPolicy read permission

További információ : Oktatóanyag: Egyéni Azure-szerepkör létrehozása az Azure PowerShell használatával.

Felhasználók hozzáadása az egyéni szerepkörhöz

A portálon hozzáadhat felhasználókat az AZFM szabálycsoport-létrehozói szerepkörhöz, és hozzáférést biztosíthat a tűzfalszabályzatokhoz.

  1. A portálon válassza ki az alkalmazáscsoport tűzfalszabályzatát (például SalesAppPolicy).
  2. Válassza a Hozzáférés-vezérlés lehetőséget.
  3. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
  4. Adjon hozzá felhasználókat/felhasználói csoportokat (például az Értékesítési csoportot) a szerepkörhöz.

Ismételje meg ezt az eljárást a többi tűzfalszabályzat esetében.

Összegzés

Az egyéni szerepkörökkel rendelkező tűzfalszabályzat mostantól szelektív hozzáférést biztosít a tűzfalszabály-gyűjteménycsoportokhoz.

A felhasználók nem rendelkeznek az alábbiakra vonatkozó engedélyekkel:

  • Törölje az Azure Firewall vagy a tűzfalszabályzatot.
  • Frissítse a tűzfalszabályzat-hierarchiát, a DNS-beállításokat vagy a fenyegetésfelderítést.
  • Frissítse a tűzfalszabályzatot, ha azok nem tagjai az AZFM szabálygyűjteménycsoport szerzői csoportjának.

A biztonsági rendszergazdák alapszabályzattal kényszeríthetik a védőkorlátokat, és letilthatnak bizonyos típusú forgalmat (például az ICMP-t) a vállalatuk által megkövetelt módon.

Következő lépések