Dela via

Snabbstart: Skapa en nätverkssäkerhetsperimeter – Azure PowerShell

Kom igång med nätverkssäkerhetsperimetern genom att skapa en nätverkssäkerhetsperimeter för ett Azure Key Vault med hjälp av Azure PowerShell. Med en nätverkssäkerhetsperimeter kan Azure Platform as a Service-resurser (PaaS) kommunicera inom en explicit betrodd gräns. Du skapar och uppdaterar en PaaS-resursassociation i en nätverkssäkerhetsprofil. Sedan skapar och uppdaterar du åtkomstregler för nätverkssäkerhet. När du är klar tar du bort alla resurser som skapats i den här snabbstarten.

Viktigt!

Nätverkssäkerhetsperimetern är nu allmänt tillgänglig i alla offentliga Azure-molnregioner. Information om tjänster som stöds finns i Onboarded private link resources for supported PaaS services (Onboarded private link resources for supported PaaS services( Onboarded private link resources for supported PaaS services( Onboarded private link resources for supported PaaS services( Onboarded

Förutsättningar

  • Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

  • Installera modulen Az.Tools.Installer:

    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Installera förhandsversionen av Az.Network:

    # Install the preview build of the Az.Network module 
Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview

  • Du kan välja att använda Azure PowerShell lokalt eller använda Azure Cloud Shell.

  • För att få hjälp med PowerShell-cmdletar, använd kommandot Get-Help.

    # Get help for a specific command
Get-Help -Name <powershell-command> - full

# Example
Get-Help -Name New-AzNetworkSecurityPerimeter - full

Logga in på ditt Azure-konto och välj din prenumeration

Börja konfigurationen genom att logga in på ditt Azure-konto:

# Sign in to your Azure account
Connect-AzAccount

Anslut sedan till din prenumeration:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Skapa en resursgrupp och ett nyckelvalv

Innan du kan skapa en nätverkssäkerhetsperimeter måste du skapa en resursgrupp och en nyckelvalvsresurs.
I det här exemplet skapas en resursgrupp med namnet test-rg på platsen WestCentralUS och ett nyckelvalv med namnet demo-keyvault-<RandomValue> i resursgruppen med följande kommandon:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Skapa en nätverkssäkerhetsperimeter

I det här steget skapar du en nätverkssäkerhetsperimeter med följande New-AzNetworkSecurityPerimeter kommando:

Anmärkning

Placera inga personliga identifierbara eller känsliga data i reglerna för nätverkssäkerhetsperimeter eller annan nätverkssäkerhetsperimeterkonfiguration.


# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Skapa och uppdatera PaaS-resursers association med en ny profil

I det här steget skapar du en ny profil och associerar PaaS-resursen, Azure Key Vault med profilen New-AzNetworkSecurityPerimeterProfile med hjälp av kommandona och New-AzNetworkSecurityPerimeterAssociation .

  1. Skapa en ny profil för nätverkssäkerhetsperimetern med följande kommando:

        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Associera Azure Key Vault (PaaS-resursen) med nätverkssäkerhetsprofilen med följande kommando:

        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Uppdatera associationen genom att ändra åtkomstläget till enforced med kommandot Update-AzNetworkSecurityPerimeterAssociation så här:

        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Hantera åtkomstregler för nätverkssäkerhetsperimeter

I det här steget skapar, uppdaterar och tar du bort åtkomstregler för nätverkssäkerhet med offentliga IP-adressprefix.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Anmärkning

Om den hanterade identiteten inte har tilldelats den resurs som stöder den nekas utgående åtkomst till andra resurser inom samma perimeter. Prenumerationsbaserade regler för inkommande trafik, som är avsedda att tillåta åtkomst från denna resurs, kommer inte att träda i kraft.

Ta bort alla resurser

När du inte längre behöver nätverkssäkerhetsperimetern tar du bort alla resurser som är associerade med nätverkssäkerhetsperimetern, tar bort perimetern och tar sedan bort resursgruppen.


    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Anmärkning

Om du tar bort resursassociationen från nätverkssäkerhetsperimetern återgår åtkomstkontrollen till den befintliga resursbrandväggskonfigurationen. Detta kan leda till att åtkomst tillåts/nekas enligt resursbrandväggskonfigurationen. Om PublicNetworkAccess är inställt på SecuredByPerimeter och associationen har tagits bort, kommer resursen att ange ett låst tillstånd. Mer information finns i Övergång till en nätverkssäkerhetsperimeter i Azure.

Nästa steg

Diagnostikloggning för Azure Network Security Perimeter