Compartir a través de

Inicio rápido: Creación de un perímetro de seguridad de red: Azure PowerShell

Empiece a trabajar con el perímetro de seguridad de red mediante la creación de un perímetro de seguridad de red para una instancia de Azure Key Vault mediante Azure PowerShell. Un perímetro de seguridad de red permite que los recursos de la plataforma como servicio (PaaS) de Azure se comuniquen dentro de un límite de confianza explícito. Puede crear y actualizar la asociación de un recurso PaaS en un perfil perimetral de seguridad de red. A continuación, creará y actualizará las reglas de acceso perimetral de seguridad de red. Cuando haya terminado, eliminará todos los recursos creados en este inicio rápido.

Importante

El perímetro de seguridad de red ahora está disponible con carácter general en todas las regiones de nube pública de Azure. Para obtener información sobre los servicios admitidos, consulte Recursos de vínculo privado incorporados para los servicios paaS compatibles".

Requisitos previos

  • Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.

  • Instale el módulo Az.Tools.Installer:

    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Instale la compilación en versión preliminar de Az.Network:

    # Install the preview build of the Az.Network module 
Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview

  • Puede optar por usar Azure PowerShell localmente o usar Azure Cloud Shell.

  • Para obtener ayuda con los cmdlets de PowerShell, use el comando Get-Help:

    # Get help for a specific command
Get-Help -Name <powershell-command> - full

# Example
Get-Help -Name New-AzNetworkSecurityPerimeter - full

Iniciar sesión en la cuenta de Azure y seleccione la suscripción

Para empezar la configuración, inicie sesión en la cuenta de Azure:

# Sign in to your Azure account
Connect-AzAccount

Luego, conéctela a la suscripción:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Creación de un grupo de recursos y de un almacén de claves

Para poder crear un perímetro de seguridad de red, debe crear un grupo de recursos y un recurso de almacén de claves.
En este ejemplo se crea un grupo de recursos denominado test-rg en la ubicación WestCentralUS y un almacén de claves denominado demo-keyvault-<RandomValue> en el grupo de recursos con los siguientes comandos:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Creación de un perímetro de seguridad de red

En este paso, cree un perímetro de seguridad de red con el comando New-AzNetworkSecurityPerimeter siguiente:

Nota:

No coloque ninguna identificación personal ni datos confidenciales en las reglas perimetrales de seguridad de red u otra configuración del perímetro de seguridad de red.


# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Creación y actualización de la asociación de recursos de PaaS con un nuevo perfil

En este paso, creará un nuevo perfil y asociará el recurso PaaS, Azure Key Vault con el perfil mediante los comandos New-AzNetworkSecurityPerimeterProfile y New-AzNetworkSecurityPerimeterAssociation.

  1. Cree un perfil para el perímetro de seguridad de red con el comando siguiente:

        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Asocie Azure Key Vault (recurso PaaS) con el perfil perimetral de seguridad de red con el siguiente comando:

        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Actualice la asociación cambiando el modo de acceso a enforced con el comando Update-AzNetworkSecurityPerimeterAssociation de la siguiente manera:

        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Administración de reglas de acceso perimetral de seguridad de red

En este paso, creará, actualizará y eliminará las reglas de acceso perimetral de seguridad de red con prefijos de dirección IP pública.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Nota:

Si la identidad administrada no está asignada al recurso que lo admite, se denegará el acceso saliente a otros recursos dentro del mismo perímetro. Las reglas de entrada basadas en suscripciones destinadas a permitir el acceso desde este recurso no surtirán efecto.

Eliminación de todos los recursos

Cuando ya no necesite el perímetro de seguridad de red, quite todos los recursos asociados al perímetro de seguridad de red, quite el perímetro y, a continuación, quite el grupo de recursos.


    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Nota:

Al quitar la asociación de recursos del perímetro de seguridad de red, el control de acceso se revierte a la configuración del firewall de recursos existente. Esto puede dar lugar a que se permita o deniegue el acceso según la configuración del firewall de recursos. Si PublicNetworkAccess está establecido en SecuredByPerimeter y la asociación se ha eliminado, el recurso escribirá un estado bloqueado. Para más información, consulte Transición a un perímetro de seguridad de red en Azure.

Pasos siguientes

Registro de diagnóstico para el perímetro de seguridad de red de Azure

  • Last updated on