Azure Firewall-beleid gebruiken om een regelhiërarchie te definiëren

Beveiligingsbeheerders moeten firewalls beheren en naleving garanderen voor on-premises implementaties en cloudimplementaties. Een belangrijk onderdeel is de mogelijkheid om toepassingsteams flexibiliteit te bieden om CI/CD-pijplijnen te implementeren om op een geautomatiseerde manier firewallregels te maken.

met Azure Firewall beleid kunt u een regelhiërarchie definiëren en naleving afdwingen:

  • Biedt een hiërarchische structuur voor het overlayen van een centraal basisbeleid boven op een onderliggend toepassingsteambeleid. Het basisbeleid heeft een hogere prioriteit en wordt uitgevoerd vóór het onderliggende beleid.
  • Gebruik een aangepaste azure-roldefinitie om onbedoeld verwijderen van basisbeleid te voorkomen en selectieve toegang te bieden tot regelverzamelingsgroepen binnen een abonnement of resourcegroep.

Oplossingenoverzicht

De stappen op hoog niveau voor dit voorbeeld zijn:

  1. Maak een basisfirewallbeleid in de resourcegroep van het beveiligingsteam.
  2. Definieer IT-beveiligingsspecifieke regels in het basisbeleid. Hiermee wordt een algemene set regels toegevoegd om verkeer toe te staan/te weigeren.
  3. Maak beleidsregels voor het toepassingsteam die het basisbeleid overnemen.
  4. Definieer toepassingsteamspecifieke regels in het beleid. U kunt ook regels migreren van bestaande firewalls.
  5. Maak Azure Active Directory aangepaste rollen om gedetailleerde toegang te bieden tot de groep regelverzameling en rollen toe te voegen aan een firewallbeleidsbereik. In het volgende voorbeeld kunnen leden van het verkoopteam regelverzamelingsgroepen bewerken voor het firewallbeleid van verkoopteams. Hetzelfde geldt voor de database- en engineeringteams.
  6. Koppel het beleid aan de bijbehorende firewall. Een Azure-firewall kan slechts één toegewezen beleid hebben. Hiervoor moet elk toepassingsteam een eigen firewall hebben.

Teams and requirements

Het firewallbeleid maken

  • Een basisfirewallbeleid.

Beleidsregels maken voor elk van de toepassingsteams:

  • Een firewallbeleid voor verkoop. Het firewallbeleid verkoop neemt het basisfirewallbeleid over.
  • Een databasefirewallbeleid. Het databasefirewallbeleid neemt basisfirewallbeleid over.
  • Een technisch firewallbeleid. Het technische firewallbeleid neemt ook het basisfirewallbeleid over.

Policy hierarchy

Aangepaste rollen maken voor toegang tot de groepen voor regelverzameling

Aangepaste rollen worden gedefinieerd voor elk toepassingsteam. De rol definieert bewerkingen en het bereik. De toepassingsteams mogen regelverzamelingsgroepen bewerken voor hun respectieve toepassingen.

Gebruik de volgende procedure op hoog niveau om aangepaste rollen te definiëren:

  1. Het abonnement ophalen:

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Voer de volgende opdracht uit:

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Gebruik de opdracht Get-AzRoleDefinition om de rol Lezer uit te voeren in de JSON-indeling.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Open het bestand ReaderSupportRole.json in een teksteditor.

    Hieronder ziet u de JSON-uitvoer. Zie Aangepaste Azure-rollen voor informatie over de verschillende eigenschappen.

   {
     "Name": "Reader",
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
     "IsCustom": false,
     "Description": "Lets you view everything, but not make any changes.",
     "Actions": [
      "*/read"
     ],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/"
     ]
   }
  1. Het JSON-bestand bewerken om het bestand toe te voegen

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    bewerking naar de eigenschap Acties . Vergeet niet om een komma toe te voegen na de read-bewerking. Met deze actie kan de gebruiker regelverzamelingsgroepen maken en bijwerken.

  2. Voeg in AssignableScopes uw abonnements-id toe met de volgende indeling:

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    U moet expliciete abonnement-id's toevoegen, anders is het niet mogelijk om de rol in uw abonnement te importeren.

  3. Verwijder de eigenschapsregel Id en wijzig de eigenschap IsCustom in true.

  4. De eigenschappen Naam en Beschrijving wijzigen in azfm rule collection group Author and Users in deze rol kunnen verzamelingsgroepen voor firewallbeleidsregels bewerken

Het JSON-bestand moet er ongeveer uitzien als in het volgende voorbeeld:

{

    "Name":  "AZFM Rule Collection Group Author",
    "IsCustom":  true,
    "Description":  "Users in this role can edit Firewall Policy rule collection groups",
    "Actions":  [
                    "*/read",
                    "Microsoft.Network/*/read",
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write"
                ],
    "NotActions":  [
                   ],
    "DataActions":  [
                    ],
    "NotDataActions":  [
                       ],
    "AssignableScopes":  [
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"]
}
  1. Gebruik voor het maken van de nieuwe aangepaste rol de opdracht New-AzRoleDefinition en geef het JSON-definitiebestand voor de rol op.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Aangepaste rollen opvragen

Als u alle aangepaste rollen wilt weergeven, kunt u de opdracht Get-AzRoleDefinition gebruiken:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

U kunt ook de aangepaste rollen in de Azure Portal zien. Ga naar uw abonnement, selecteer Toegangsbeheer (IAM), Rollen.

SalesAppPolicy

SalesAppPolicy read permission

Zie Zelfstudie: Een aangepaste Azure-rol maken met behulp van Azure PowerShell voor meer informatie.

Gebruikers toevoegen aan de aangepaste rol

In de portal kunt u gebruikers toevoegen aan de rol Auteurs van azfm-regelverzamelingsgroepen en toegang bieden tot het firewallbeleid.

  1. Selecteer in de portal het firewallbeleid van het toepassingsteam (bijvoorbeeld SalesAppPolicy).
  2. Selecteer Access Control.
  3. Selecteer Roltoewijzing toevoegen.
  4. Voeg gebruikers/gebruikersgroepen (bijvoorbeeld het verkoopteam) toe aan de rol.

Herhaal deze procedure voor het andere firewallbeleid.

Samenvatting

Firewallbeleid met aangepaste rollen biedt nu selectieve toegang tot verzamelingsgroepen voor firewallbeleidsregels.

Gebruikers hebben geen machtigingen voor het volgende:

  • Verwijder het Azure Firewall- of firewallbeleid.
  • Werk de hiërarchie van firewallbeleid of DNS-instellingen of bedreigingsinformatie bij.
  • Firewallbeleid bijwerken waarbij ze geen lid zijn van de groep Auteur van AZFM-regelverzamelingen.

Beveiligingsbeheerders kunnen basisbeleid gebruiken om kaders af te dwingen en bepaalde soorten verkeer (bijvoorbeeld ICMP) te blokkeren, zoals vereist door hun onderneming.

Volgende stappen

Meer informatie over Azure Firewall beleid.