Hızlı Başlangıç: Ağ güvenlik çevresi oluşturma - Azure PowerShell

Azure PowerShell kullanarak Azure Key Vault için bir ağ güvenlik çevresi oluşturarak ağ güvenlik çevresini kullanmaya başlayın. Ağ güvenlik çevresi, Azure Platform Hizmetleri (PaaS) kaynaklarının açık bir güvenilir sınır içinde iletişim kurmasına olanak tanır. Ağ güvenlik çevre profilinde PaaS kaynağının ilişkilendirmesini oluşturur ve güncelleştirirsiniz. Ardından ağ güvenlik çevresi erişim kurallarını oluşturup güncelleştirirsiniz. İşiniz bittiğinde, bu hızlı başlangıçta oluşturulan tüm kaynakları silersiniz.

Önemli

Ağ güvenlik çevresi artık tüm Azure genel bulut bölgelerinde genel kullanıma sunuldu. Desteklenen hizmetler hakkında bilgi için bkz. Desteklenen PaaS hizmetleri için eklenen özel bağlantı kaynakları ."

Önkoşullar

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.

• Az.Tools.Installer modülünü yükleyin:

  # Install the Az.Tools.Installer module    
  Install-Module -Name Az.Tools.Installer -Repository PSGallery
  

• Az.Network öğesinin önizleme derlemesini yükleyin.

  # Install the preview build of the Az.Network module 
  Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview
  

• Azure PowerShell'i yerel olarak kullanmayı veya Azure Cloud Shell'i kullanmayı seçebilirsiniz.

• PowerShell cmdlet'leri ile ilgili yardım almak için komutunu Get-Help kullanın:

  # Get help for a specific command
  Get-Help -Name <powershell-command> - full
  
  # Example
  Get-Help -Name New-AzNetworkSecurityPerimeter - full
  

Azure hesabınızda oturum açın ve aboneliğinizi seçin

Yapılandırmanıza başlamak için Azure hesabınızda oturum açın:

# Sign in to your Azure account
Connect-AzAccount

Ardından aboneliğinize bağlanın:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Bir kaynak grubu ve anahtar kasası oluşturun

Ağ güvenlik çevresi oluşturabilmeniz için önce bir kaynak grubu ve anahtar kasası kaynağı oluşturmanız gerekir.
Bu örnek, aşağıdaki komutlarla WestCentralUS konumunda bir kaynak grubu adı olarak test-rg ve bu kaynak grubunda bir anahtar kasası adı olarak demo-keyvault-<RandomValue> oluşturur.

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Ağ güvenlik çevresi oluşturma

Bu adımda, aşağıdaki New-AzNetworkSecurityPerimeter komutla bir ağ güvenlik çevresi oluşturun:

Note

Lütfen ağ güvenlik çevre kurallarına veya diğer ağ güvenlik çevre yapılandırmasına kişisel veya hassas veriler koymayın.

# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id
  

PaaS kaynaklarının ilişkilendirmesini yeni bir profille oluşturma ve güncelleştirme

Bu adımda yeni bir profil oluşturacak ve ve New-AzNetworkSecurityPerimeterProfile komutlarını kullanarak PaaS kaynağı olan Azure Key Vault'u New-AzNetworkSecurityPerimeterAssociation profille ilişkilendirirsiniz.

1. Aşağıdaki komutla ağ güvenlik çevreniz için yeni bir profil oluşturun:

       # Create a new profile
   
       $nspProfile = @{ 
           Name = 'nsp-profile' 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           }
   
       $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile
   

2. Aşağıdaki komutla Azure Key Vault'un (PaaS kaynağı) ağ güvenlik çevre profiliyle ilişkilendirin:

       # Associate the PaaS resource with the above created profile
   
       $nspAssociation = @{ 
           AssociationName = 'nsp-association' 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           AccessMode = 'Learning'  
           ProfileId = $demoProfileNSP.Id 
           PrivateLinkResourceId = $keyVault.ResourceID
           }
   
       New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list
   

3. Erişim modunu enforced komutuyla şu şekilde değiştirerek ilişkilendirmeyi güncelleştirin Update-AzNetworkSecurityPerimeterAssociation :

       # Update the association to enforce the access mode
       $updateAssociation = @{ 
           AssociationName = $nspassociation.AssociationName 
           ResourceGroupName = $rgParams.name 
           SecurityPerimeterName = $nsp.name 
           AccessMode = 'Enforced'
           }
       Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list
   

Ağ güvenliği çevre erişim kurallarını yönetme

Bu adımda, genel IP adresi ön ekleriyle ağ güvenliği çevre erişim kurallarını oluşturur, güncelleştirir ve silersiniz.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Note

Yönetilen kimlik, destekleyen kaynağa atanmazsa, aynı çevre içindeki diğer kaynaklara dışa yönelik erişim reddedilir. Bu kaynaktan erişime izin vermek için tasarlanan gelen abonelik tabanlı kurallar geçerli olmayacaktır.

Tüm kaynakları silme

Ağ güvenlik çevresine artık ihtiyacınız kalmadığında, önce, ağ güvenlik çevresiyle ilişkili tüm kaynakları kaldırın, ardından çevresini kaldırın ve sonunda kaynak grubunu kaldırın.

    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Note

Kaynak ilişkilendirmenizin ağ güvenlik çevresinden kaldırılması, erişim denetiminin mevcut kaynak güvenlik duvarı yapılandırmasına geri dönmesine neden olur. Bu, kaynak güvenlik duvarı yapılandırmasına göre erişime izin verilebileceği/reddedildiğine neden olabilir. PublicNetworkAccess SecuredByPerimeter olarak ayarlandıysa ve ilişkilendirme silinmişse, kaynak kilitli duruma girer. Daha fazla bilgi için bkz . Azure'da ağ güvenlik çevresine geçiş.

Sonraki adımlar

Azure Ağ Güvenliği Çevresi için tanılama kaydı