Partager via

Démarrage rapide : créer un périmètre de sécurité réseau – Azure PowerShell

Commencez à utiliser le périmètre de sécurité réseau en créant un périmètre de sécurité réseau pour un coffre de clés Azure à l’aide d’Azure PowerShell. Un périmètre de sécurité réseau permet aux ressources Azure PaaS (platform as a service) de communiquer dans une limite de confiance explicite. Vous créez et mettez à jour l’association d’une ressource PaaS dans un profil de périmètre de sécurité réseau. Vous devez ensuite créer et mettre à jour les règles d’accès au périmètre de sécurité réseau. Une fois que vous avez fini, supprimez toutes les ressources créées dans ce guide de démarrage rapide.

Important

Le périmètre de sécurité réseau est désormais en disponibilité générale dans toutes les régions de cloud public Azure. Pour plus d’informations sur les services pris en charge, consultez les ressources de liaison privée intégrées pour les services PaaS pris en charge. »

Prérequis

  • Compte Azure avec un abonnement actif. Créez un compte gratuitement.

  • Installez le module Az.Tools.Installer :

    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Installez la version d’évaluation d’Az.Network :

    # Install the preview build of the Az.Network module 
Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview

  • Vous pouvez choisir d’utiliser Azure PowerShell localement ou d’utiliser Azure Cloud Shell.

  • Pour obtenir de l’aide sur les applets de commande PowerShell, utilisez la commande Get-Help :

    # Get help for a specific command
Get-Help -Name <powershell-command> - full

# Example
Get-Help -Name New-AzNetworkSecurityPerimeter - full

Vous connecter à votre compte Azure et sélectionner votre abonnement

Pour commencer votre configuration, connectez-vous à votre compte Azure :

# Sign in to your Azure account
Connect-AzAccount

Puis, connectez-vous à votre abonnement :

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Créer un groupe de ressources et un coffre de clés

Pour pouvoir créer un périmètre de sécurité réseau, vous devez créer au préalable un groupe de ressources et une ressource de coffre de clés.
Cet exemple crée un groupe de ressources nommé test-rg dans l’emplacement WestCentralUS et un coffre de clés nommé demo-keyvault-<RandomValue> dans le groupe de ressources avec les commandes suivantes :

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Créer un périmètre de sécurité réseau

Dans cette étape, créez un périmètre de sécurité réseau avec la commande New-AzNetworkSecurityPerimeter suivante :

Remarque

Ne placez aucune information d’identification personnelle ou donnée sensible dans les règles du périmètre de sécurité réseau ou toute autre configuration du périmètre de sécurité réseau.


# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Créer et mettre à jour l’association des ressources PaaS avec un nouveau profil

Au cours de cette étape, vous créez un profil, et associez la ressource PaaS, le coffre de clés Azure Key Vault, au profil à l’aide des commandes New-AzNetworkSecurityPerimeterProfile et New-AzNetworkSecurityPerimeterAssociation.

  1. Créez un profil pour votre périmètre de sécurité réseau à l’aide de la commande suivante :

        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Associez le coffre de clés Azure (ressource PaaS) au profil de périmètre de sécurité réseau avec la commande suivante :

        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Mettez à jour l’association en remplaçant le mode d’accès par enforced avec la commande Update-AzNetworkSecurityPerimeterAssociation, comme suit :

        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Gérer les règles d’accès au périmètre de sécurité réseau

Dans cette étape, vous créez, mettez à jour et supprimez les règles d’accès au périmètre de sécurité réseau avec des préfixes d’adresse IP publique.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Remarque

Si l’identité managée n’est pas affectée à la ressource qui la prend en charge, l’accès sortant aux autres ressources du même périmètre est refusé. Les règles de trafic entrant basées sur un abonnement, et qui visent à autoriser l’accès à partir de cette ressource, ne prennent pas effet.

Supprimer toutes les ressources

Lorsque vous n’avez plus besoin du périmètre de sécurité réseau, supprimez toutes les ressources associées au périmètre de sécurité réseau, supprimez le périmètre, puis supprimez le groupe de ressources.


    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Remarque

La suppression de votre association de ressources du périmètre de sécurité réseau entraîne le basculement du contrôle d’accès vers la configuration existante du pare-feu de ressources. Cela peut entraîner l’autorisation/le refus de l’accès en fonction de la configuration du pare-feu de ressources. Si PublicNetworkAccess a la valeur SecuredByPerimeter, et si l’association a été supprimée, la ressource passe à l’état verrouillé. Pour plus d’informations, consultez Transition vers un périmètre de sécurité réseau dans Azure.

Étapes suivantes

Journalisation des diagnostics pour le périmètre de sécurité du réseau Azure

  • Last updated on