Använd Azure Firewall princip för att definiera en regelhierarki

Säkerhetsadministratörer måste hantera brandväggar och säkerställa efterlevnad i lokala distributioner och molndistributioner. En viktig komponent är möjligheten att ge programteam flexibilitet att implementera CI/CD-pipelines för att skapa brandväggsregler på ett automatiserat sätt.

Azure Firewall princip kan du definiera en regelhierarki och framtvinga efterlevnad:

  • Tillhandahåller en hierarkisk struktur för att lägga över en central basprincip ovanpå en underordnad programgruppsprincip. Basprincipen har högre prioritet och körs före den underordnade principen.
  • Använd en anpassad Rolldefinition i Azure för att förhindra oavsiktlig borttagning av basprincip och ge selektiv åtkomst till regelsamlingsgrupper i en prenumeration eller resursgrupp.

Lösningsöversikt

De övergripande stegen för det här exemplet är:

  1. Skapa en grundläggande brandväggsprincip i resursgruppen för säkerhetsteamet.
  2. Definiera IT-säkerhetsspecifika regler i basprincipen. Detta lägger till en gemensam uppsättning regler för att tillåta/neka trafik.
  3. Skapa principer för programteam som ärver basprincipen.
  4. Definiera programteamspecifika regler i principen. Du kan också migrera regler från befintliga brandväggar.
  5. Skapa Azure Active Directory anpassade roller för att ge detaljerad åtkomst till regelsamlingsgruppen och lägga till roller i ett brandväggsprincipomfång. I följande exempel kan säljteamets medlemmar redigera regelsamlingsgrupper för brandväggsprincipen för säljteam. Samma sak gäller för databas- och teknikteamen.
  6. Associera principen med motsvarande brandvägg. En Azure-brandvägg kan bara ha en tilldelad princip. Detta kräver att varje programteam har en egen brandvägg.

Teams and requirements

Skapa brandväggsprinciperna

  • En grundläggande brandväggsprincip.

Skapa principer för vart och ett av programteamen:

  • En brandväggsprincip för försäljning. Brandväggsprincipen Sales ärver den grundläggande brandväggsprincipen.
  • En databasbrandväggsprincip. Databasens brandväggsprincip ärver den grundläggande brandväggsprincipen.
  • En brandväggsprincip för teknik. Den tekniska brandväggsprincipen ärver också den grundläggande brandväggsprincipen.

Policy hierarchy

Skapa anpassade roller för att få åtkomst till regelsamlingsgrupperna

Anpassade roller definieras för varje programteam. Rollen definierar åtgärder och omfång. Programteamen kan redigera regelsamlingsgrupper för sina respektive program.

Använd följande övergripande procedur för att definiera anpassade roller:

  1. Hämta prenumerationen:

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Kör följande kommando:

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Använd kommandot Get-AzRoleDefinition för att mata ut rollen Reader (Läsare) i JSON-format.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Öppna filen ReaderSupportRole.json i en textredigerare.

    Följande visar JSON-utdata. Information om de olika egenskaperna finns i Anpassade Azure-roller.

   {
     "Name": "Reader",
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
     "IsCustom": false,
     "Description": "Lets you view everything, but not make any changes.",
     "Actions": [
      "*/read"
     ],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/"
     ]
   }
  1. Redigera JSON-filen för att lägga till

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    åtgärd till egenskapen Actions . Se till att inkludera ett kommatecken efter läsåtgärden. Med den här åtgärden kan användaren skapa och uppdatera regelsamlingsgrupper.

  2. I AssignableScopes lägger du till ditt prenumerations-ID med följande format:

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    Du måste lägga till explicita prenumerations-ID:n; annars tillåts du inte importera rollen i din prenumeration.

  3. Ta bort ID-egenskapsraden och ändra egenskapen IsCustom till true.

  4. Ändra namn- ochbeskrivningsegenskaperna till AZFM-regelsamlingens gruppförfattare och användare i den här rollen kan redigera brandväggsprincipregelsamlingsgrupper

JSON-filen bör se ut ungefär som i följande exempel:

{

    "Name":  "AZFM Rule Collection Group Author",
    "IsCustom":  true,
    "Description":  "Users in this role can edit Firewall Policy rule collection groups",
    "Actions":  [
                    "*/read",
                    "Microsoft.Network/*/read",
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write"
                ],
    "NotActions":  [
                   ],
    "DataActions":  [
                    ],
    "NotDataActions":  [
                       ],
    "AssignableScopes":  [
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"]
}
  1. För att skapa en ny anpassad roll använder du kommandot New-AzRoleDefinition och anger JSON-rolldefinitionsfilen.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Lista anpassade roller

Om du vill visa en lista över alla anpassade roller kan du använda kommandot Get-AzRoleDefinition:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Du kan också se de anpassade rollerna i Azure Portal. Gå till din prenumeration, välj Åtkomstkontroll (IAM), Roller.

SalesAppPolicy

SalesAppPolicy read permission

Mer information finns i Självstudie: Skapa en anpassad Azure-roll med Azure PowerShell.

Lägga till användare i den anpassade rollen

På portalen kan du lägga till användare i rollen AZFM-regelsamlingens gruppförfattare och ge åtkomst till brandväggsprinciperna.

  1. Från portalen väljer du brandväggsprincipen för programteamet (till exempel SalesAppPolicy).
  2. Välj Access Control.
  3. Välj Lägg till rolltilldelning.
  4. Lägg till användare/användargrupper (till exempel säljteamet) i rollen.

Upprepa den här proceduren för de andra brandväggsprinciperna.

Sammanfattning

Brandväggsprincip med anpassade roller ger nu selektiv åtkomst till brandväggsprincipregelsamlingsgrupper.

Användarna har inte behörighet att:

  • Ta bort Azure Firewall- eller brandväggsprincipen.
  • Uppdatera brandväggens principhierarki, DNS-inställningar eller hotinformation.
  • Uppdatera brandväggsprincipen där de inte är medlemmar i gruppen AZFM-regelsamlingsgruppsförfattare.

Säkerhetsadministratörer kan använda basprincip för att framtvinga skyddsräcken och blockera vissa typer av trafik (till exempel ICMP) som krävs av företaget.

Nästa steg

Läs mer om Azure Firewall princip.