Definiowanie hierarchii reguł przy użyciu zasad Azure Firewall

Administratorzy zabezpieczeń muszą zarządzać zaporami i zapewnić zgodność we wdrożeniach lokalnych i w chmurze. Kluczowym składnikiem jest możliwość zapewnienia zespołom aplikacji elastyczności implementowania potoków ciągłej integracji/ciągłego wdrażania w celu tworzenia reguł zapory w zautomatyzowany sposób.

Azure Firewall zasady umożliwiają definiowanie hierarchii reguł i wymuszanie zgodności:

  • Zapewnia hierarchiczną strukturę, która nakłada centralne zasady podstawowe na zasady podrzędnego zespołu aplikacji. Zasady podstawowe mają wyższy priorytet i są uruchamiane przed zasadami podrzędnych.
  • Użyj niestandardowej definicji roli platformy Azure, aby zapobiec niezamierzonemu usunięciu zasad podstawowych i zapewnić selektywny dostęp do grup kolekcji reguł w ramach subskrypcji lub grupy zasobów.

Omówienie rozwiązania

W tym przykładzie przedstawiono kroki wysokiego poziomu:

  1. Utwórz podstawowe zasady zapory w grupie zasobów zespołu zabezpieczeń.
  2. Zdefiniuj reguły specyficzne dla zabezpieczeń IT w zasadach podstawowych. Spowoduje to dodanie wspólnego zestawu reguł zezwalania na ruch/odmawiania go.
  3. Utwórz zasady zespołu aplikacji, które dziedziczą podstawowe zasady.
  4. Zdefiniuj reguły specyficzne dla zespołu aplikacji w zasadach. Reguły można również migrować ze wstępnie istniejących zapór.
  5. Utwórz Azure Active Directory role niestandardowe, aby zapewnić precyzyjny dostęp do grupy kolekcji reguł i dodać role w zakresie zasad zapory. W poniższym przykładzie członkowie zespołu ds. sprzedaży mogą edytować grupy kolekcji reguł dla zespołów sprzedaży — zasady zapory. To samo dotyczy zespołów ds. baz danych i inżynierii.
  6. Skojarz zasady z odpowiednią zaporą. Zapora platformy Azure może mieć tylko jedno przypisane zasady. Wymaga to, aby każdy zespół aplikacji miał własną zaporę.

Teams and requirements

Tworzenie zasad zapory

  • Podstawowe zasady zapory.

Utwórz zasady dla każdego z zespołów aplikacji:

  • Zasady zapory sprzedaży. Zasady zapory Sales dziedziczą podstawowe zasady zapory.
  • Zasady zapory bazy danych. Zasady zapory bazy danych dziedziczą podstawowe zasady zapory.
  • Zasady zapory inżynieryjnej. Zasady zapory inżynieryjnej dziedziczą również podstawowe zasady zapory.

Policy hierarchy

Tworzenie ról niestandardowych w celu uzyskania dostępu do grup kolekcji reguł

Role niestandardowe są definiowane dla każdego zespołu aplikacji. Rola definiuje operacje i zakres. Zespoły aplikacji mogą edytować grupy kolekcji reguł dla odpowiednich aplikacji.

Użyj następującej procedury wysokiego poziomu, aby zdefiniować role niestandardowe:

  1. Pobierz subskrypcję:

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Uruchom następujące polecenie:

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Użyj polecenia Get-AzRoleDefinition w celu wygenerowania roli Czytelnik w formacie JSON.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Otwórz plik ReaderSupportRole.json w edytorze.

    Poniżej przedstawiono dane wyjściowe w formacie JSON. Aby uzyskać informacje o różnych właściwościach, zobacz Role niestandardowe platformy Azure.

   {
     "Name": "Reader",
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
     "IsCustom": false,
     "Description": "Lets you view everything, but not make any changes.",
     "Actions": [
      "*/read"
     ],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/"
     ]
   }
  1. Edytuj plik JSON, aby dodać plik

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    operacja we właściwości Actions . Pamiętaj o dodaniu przecinka po operacji odczytu. Ta akcja umożliwia użytkownikowi tworzenie i aktualizowanie grup kolekcji reguł.

  2. W obszarze AssignableScopes dodaj identyfikator subskrypcji w następującym formacie:

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    Musisz jawnie dodać identyfikatory subskrypcji, ponieważ w przeciwnym razie nie będzie można zaimportować roli do subskrypcji.

  3. Usuń wiersz właściwości Id i zmień właściwość IsCustom na true.

  4. Zmień właściwości Name and Description na AZFM Rule Collection Group Author (Autor grupy kolekcji reguł azFM ) i Users (Użytkownicy) w tej roli mogą edytować grupy kolekcji reguł zapory

Plik JSON powinien wyglądać podobnie do poniższego przykładu:

{

    "Name":  "AZFM Rule Collection Group Author",
    "IsCustom":  true,
    "Description":  "Users in this role can edit Firewall Policy rule collection groups",
    "Actions":  [
                    "*/read",
                    "Microsoft.Network/*/read",
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write"
                ],
    "NotActions":  [
                   ],
    "DataActions":  [
                    ],
    "NotDataActions":  [
                       ],
    "AssignableScopes":  [
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"]
}
  1. Aby utworzyć nową rolę niestandardową, użyj polecenia New-AzRoleDefinition i określ plik definicji roli JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Wyświetlanie ról niestandardowych

Aby wyświetlić listę wszystkich ról niestandardowych, możesz użyć polecenia Get-AzRoleDefinition:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Role niestandardowe można również zobaczyć w Azure Portal. Przejdź do subskrypcji, wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami),Role.

SalesAppPolicy

SalesAppPolicy read permission

Aby uzyskać więcej informacji, zobacz Samouczek: tworzenie roli niestandardowej platformy Azure przy użyciu Azure PowerShell.

Dodawanie użytkowników do roli niestandardowej

W portalu można dodać użytkowników do roli Autorów grup reguł azFM i zapewnić dostęp do zasad zapory.

  1. W portalu wybierz zasady zapory zespołu aplikacji (na przykład SalesAppPolicy).
  2. Wybierz pozycję Access Control.
  3. Wybierz pozycję Dodaj przypisanie roli.
  4. Dodaj użytkowników/grupy użytkowników (na przykład zespół ds. sprzedaży) do roli.

Powtórz tę procedurę dla innych zasad zapory.

Podsumowanie

Zasady zapory z rolami niestandardowymi zapewniają teraz selektywny dostęp do grup kolekcji reguł zasad zapory.

Użytkownicy nie mają uprawnień do:

  • Usuń zasady Azure Firewall lub zapory.
  • Zaktualizuj hierarchię zasad zapory lub ustawienia DNS lub analizę zagrożeń.
  • Zaktualizuj zasady zapory, w których nie są członkami grupy autorów grup kolekcji reguł azFM.

Administratorzy zabezpieczeń mogą używać zasad bazowych do wymuszania zabezpieczenia i blokowania niektórych typów ruchu (na przykład ICMP) zgodnie z wymaganiami przedsiębiorstwa.

Następne kroki

Dowiedz się więcej o zasadach Azure Firewall.