Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Erste Schritte mit dem Umkreis der Netzwerksicherheit durch Erstellen eines Netzwerksicherheitsperimeters für einen Azure Key Vault mithilfe von Azure PowerShell. Ein Netzwerksicherheitsperimeter ermöglicht Azure-PaaS-Ressourcen (Platform-as-a-Service) die Kommunikation innerhalb einer expliziten vertrauenswürdigen Grenze. Sie erstellen und aktualisieren die Zuordnung einer PaaS-Ressource in einem Netzwerksicherheitsperimeter-Profil. Anschließend erstellen oder aktualisieren Sie Zugriffsregeln für den Netzwerksicherheitsperimeter. Wenn Sie fertig sind, löschen Sie alle in diesem Schnellstart erstellten Ressourcen.
Wichtig
Der Netzwerksicherheitsperimeter ist jetzt in allen öffentlichen Azure-Cloudregionen allgemein verfügbar. Informationen zu unterstützten Diensten finden Sie unter "Onboarded Private Link Resources " für unterstützte PaaS-Dienste."
Voraussetzungen
Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
Installieren Sie das Az.Tools.Installer-Modul:
# Install the Az.Tools.Installer module Install-Module -Name Az.Tools.Installer -Repository PSGalleryInstallieren Sie den Vorschaubuild der
Az.Network:# Install the preview build of the Az.Network module Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-previewSie können Azure PowerShell lokal verwenden oder Azure Cloud Shell verwenden.
Verwenden Sie den Befehl
Get-Help, um Hilfe zu den PowerShell-Cmdlets zu erhalten:# Get help for a specific command Get-Help -Name <powershell-command> - full # Example Get-Help -Name New-AzNetworkSecurityPerimeter - full
Melden Sie sich bei Ihrem Azure-Konto an, und wählen Sie Ihr Abonnement aus.
Um mit der Konfiguration zu beginnen, melden Sie sich bei Ihrem Azure-Konto an:
# Sign in to your Azure account
Connect-AzAccount
Stellen Sie dann eine Verbindung mit Ihrem Abonnement her:
# List all subscriptions
Set-AzContext -Subscription <subscriptionId>
# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Erstellen einer Ressourcengruppe und eines Schlüsseltresors
Bevor Sie einen Netzwerksicherheitsperimeter erstellen können, müssen Sie eine Ressourcengruppe und eine Schlüsseltresorressource erstellen.
In diesem Beispiel werden mit den folgenden Befehlen eine Ressourcengruppe namens test-rg am Standort „WestCentralUS“ und ein Schlüsseltresor namens demo-keyvault-<RandomValue> in der Ressourcengruppe erstellt:
# Create a resource group
$rgParams = @{
Name = "test-rg"
Location = "westcentralus"
}
New-AzResourceGroup @rgParams
# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
Name = $keyVaultName
ResourceGroupName = $rgParams.Name
Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams
Erstellen eines Netzwerksicherheitsperimeters
In diesem Schritt erstellen Sie einen Netzwerksicherheitsperimeter mit dem folgenden New-AzNetworkSecurityPerimeter-Befehl:
Hinweis
Geben Sie keine personenbezogenen oder vertraulichen Daten in den Netzwerksicherheitsperimeter-Regeln oder einer anderen Netzwerksicherheitsperimeter-Konfiguration an.
# Create a network security perimeter
$nsp = @{
Name = 'demo-nsp'
location = 'westcentralus'
ResourceGroupName = $rgParams.name
}
$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id
Erstellen und Aktualisieren der Zuordnung von PaaS-Ressourcen mit einem neuen Profil
In diesem Schritt erstellen Sie ein neues Profil und ordnen die PaaS-Ressource (die Azure Key Vault-Instanz) dem Profil zu. Dazu verwenden Sie die Befehle New-AzNetworkSecurityPerimeterProfile und New-AzNetworkSecurityPerimeterAssociation.
Erstellen Sie mit dem folgenden Befehl ein neues Profil für den Netzwerksicherheitsperimeter:
# Create a new profile $nspProfile = @{ Name = 'nsp-profile' ResourceGroupName = $rgParams.name SecurityPerimeterName = $nsp.name } $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofileOrdnen Sie die Azure Key Vault-Instanz (PaaS-Ressource) mit dem folgenden Befehl dem Netzwerksicherheitsperimeter-Profil zu:
# Associate the PaaS resource with the above created profile $nspAssociation = @{ AssociationName = 'nsp-association' ResourceGroupName = $rgParams.name SecurityPerimeterName = $nsp.name AccessMode = 'Learning' ProfileId = $demoProfileNSP.Id PrivateLinkResourceId = $keyVault.ResourceID } New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-listAktualisieren Sie die Zuordnung, indem Sie den Zugriffsmodus mit dem Befehl
enforcedwie folgt inUpdate-AzNetworkSecurityPerimeterAssociationändern:# Update the association to enforce the access mode $updateAssociation = @{ AssociationName = $nspassociation.AssociationName ResourceGroupName = $rgParams.name SecurityPerimeterName = $nsp.name AccessMode = 'Enforced' } Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list
Verwalten von Zugriffsregeln für den Netzwerksicherheitsperimeter
In diesem Schritt erstellen, aktualisieren und löschen Sie Zugriffsregeln für den Netzwerksicherheitsperimeter mit Präfixen öffentlicher IP-Adressen.
# Create an inbound access rule for a public IP address prefix
$inboundRule = @{
Name = 'nsp-inboundRule'
ProfileName = $nspprofile.Name
ResourceGroupName = $rgParams.Name
SecurityPerimeterName = $nsp.Name
Direction = 'Inbound'
AddressPrefix = '192.0.2.0/24'
}
New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list
# Update the inbound access rule to add more public IP address prefixes
$updateInboundRule = @{
Name = $inboundrule.Name
ProfileName = $nspprofile.Name
ResourceGroupName = $rgParams.Name
SecurityPerimeterName = $nsp.Name
AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
}
Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list
Hinweis
Wenn der Ressource, die dies unterstützt, keine verwaltete Identität zugewiesen wird, wird der ausgehende Zugriff auf andere Ressourcen innerhalb desselben Perimeters verweigert. Abonnementbasierte Regeln für eingehenden Datenverkehr, die den Zugriff von dieser Ressource zulassen sollen, werden nicht wirksam.
Löschen aller Ressourcen
Wenn Sie den Netzwerksicherheitsperimeter nicht mehr benötigen, entfernen Sie alle Ressourcen, die dem Netzwerksicherheitsperimeter zugeordnet sind, entfernen Sie den Perimeter, und entfernen Sie dann die Ressourcengruppe.
# Retrieve the network security perimeter and place it in a variable
$nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name
# Delete the network security perimeter and all associated resources
$removeNsp = @{
Name = 'nsp-association'
ResourceGroupName = $rgParams.Name
SecurityPerimeterName = $nsp.Name
}
Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
# Remove the resource group
Remove-AzResourceGroup -Name $rgParams.Name -Force
Hinweis
Das Entfernen der Ressourcenzuordnung aus dem Netzwerksicherheitsperimeter führt dazu, dass die Zugriffssteuerung auf die vorhandene Ressourcenfirewallkonfiguration zurückgreift. Dies kann dazu führen, dass der Zugriff gemäß der Ressourcenfirewallkonfiguration zugelassen oder verweigert wird. Wenn „PublicNetworkAccess“ auf „SecuredByPerimeter“ festgelegt ist und die Zuordnung gelöscht wurde, wechselt die Ressource in einen gesperrten Zustand. Weitere Informationen finden Sie unter Übergang zu einem Netzwerksicherheitsperimeter in Azure.