Guia de início rápido: criar um perímetro de segurança de rede - CLI do Azure
Artigo
Comece a usar o perímetro de segurança de rede criando um perímetro de segurança de rede para um cofre de chaves do Azure usando a CLI do Azure. Um perímetro de segurança de rede permite que os recursos PaaS (PaaS) do Azure se comuniquem dentro de um limite confiável explícito. Em seguida, crie e atualize uma associação de recursos PaaS em um perfil de perímetro de segurança de rede. Em seguida, você cria e atualiza as regras de acesso ao perímetro de segurança da rede. Quando terminar, exclua todos os recursos criados neste início rápido.
Importante
O Perímetro de Segurança de Rede está em pré-visualização pública e disponível em todas as regiões de nuvem pública do Azure.
Esta versão de pré-visualização é disponibiliza sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção.
Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas.
Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.
É necessário registar-se para a pré-visualização pública do Perímetro de Segurança de Rede do Azure. Para se registrar, adicione o sinalizador de AllowNSPInPublicPreview recurso à sua assinatura.
Depois que o sinalizador de recurso for adicionado, você precisará registrar novamente o Microsoft.Network provedor de recursos em sua assinatura.
Para registar novamente o Microsoft.Network fornecedor de recursos no portal do Azure, selecione a sua subscrição e, em seguida, selecione Fornecedores de recursos.
Microsoft.Network Pesquise e selecione Registrar novamente.
Para registrar novamente o Microsoft.Network provedor de recursos, use o seguinte comando do Azure PowerShell:
# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Para registrar novamente o Microsoft.Network provedor de recursos, use o seguinte comando da CLI do Azure:
# Register the Microsoft.Network resource provider
az provider register --namespace Microsoft.Network
Para obter mais informações sobre como registrar novamente os provedores de recursos, consulte Provedores e tipos de recursos do Azure.
A CLI do Azure mais recente ou você pode usar o Azure Cloud Shell no portal.
Este artigo requer a versão 2.38.0 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.
Depois de atualizar para a versão mais recente da CLI do Azure, importe os comandos de perímetro de segurança de rede usando az extension add --name nspo .
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
Conecte-se à sua conta do Azure e selecione sua assinatura
Para começar, conecte-se ao Azure Cloud Shell ou use seu ambiente CLI local.
Se estiver usando o Azure Cloud Shell, entre e selecione sua assinatura.
Se você instalou a CLI localmente, entre com o seguinte comando:
# Sign in to your Azure account
az login
Uma vez em seu shell, selecione sua assinatura ativa localmente com o seguinte comando:
# List all subscriptions
az account set --subscription <Azure Subscription>
# Re-register the Microsoft.Network resource provider
az provider register --namespace Microsoft.Network
Criar um grupo de recursos e um cofre de chaves
Antes de criar um perímetro de segurança de rede, você precisa criar um grupo de recursos e um recurso de cofre de chaves com az group create e az keyvault create.
Este exemplo cria um grupo de recursos chamado resource-group no local WestCentralUS e um cofre de chaves chamado key-vault-YYYYDDMM no grupo de recursos com os seguintes comandos:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Não coloque dados pessoais identificáveis ou confidenciais nas regras de perímetro de segurança de rede ou em outra configuração de perímetro de segurança de rede.
Para os --private-link-resource valores e --profile parâmetro, substitua <PaaSArmId> e <networkSecurityPerimeterProfileId> pelos valores do cofre de chaves e do ID do perfil, respectivamente.
Crie um novo perfil para o perímetro de segurança da rede com o seguinte comando:
# Create a new profile
az network perimeter profile create \
--name network-perimeter-profile \
--resource-group resource-group \
--perimeter-name network-security-perimeter
Associe o Cofre da Chave do Azure (recurso PaaS) ao perfil de perímetro de segurança de rede com os seguintes comandos.
# Get key vault id
az keyvault show \
--name $key_vault_name \
--resource-group resource-group \
--query 'id'
# Get the profile id
az network perimeter profile show \
--name network-perimeter-profile \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Associate the Azure Key Vault with the network security perimeter profile
# Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile
az network perimeter association create \
--name network-perimeter-association \
--perimeter-name network-security-perimeter \
--resource-group resource-group \
--access-mode Learning \
--private-link-resource "{id:<PaaSArmId>}" \
--profile "{id:<networkSecurityPerimeterProfileId>}"
Se a identidade gerenciada não for atribuída ao recurso que a suporta, o acesso de saída a outros recursos dentro do mesmo perímetro será negado. As regras de entrada baseadas em subscrição destinadas a permitir o acesso a partir deste recurso não entrarão em vigor.
Eliminar todos os recursos
Para excluir um perímetro de segurança de rede e outros recursos neste início rápido, use os seguintes comandos az network perimeter :
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Nota
A remoção da associação de recursos do perímetro de segurança de rede resulta no retorno do controle de acesso à configuração de firewall de recursos existente. Isso pode resultar em acesso permitido/negado de acordo com a configuração do firewall de recursos. Se PublicNetworkAccess estiver definido como SecuredByPerimeter e a associação tiver sido excluída, o recurso entrará em um estado bloqueado. Para obter mais informações, consulte Transição para um perímetro de segurança de rede no Azure.
Aprenda a definir as definições de rede do Azure Key Vault através do portal do Azure, permitindo o controlo de acesso seguro ao seu cofre, protegendo chaves e segredos confidenciais.
Demonstre as habilidades necessárias para implementar controles de segurança, manter a postura de segurança de uma organização e identificar e corrigir vulnerabilidades de segurança.
