Udostępnij przez

Szybki start: tworzenie obwodu zabezpieczeń sieci — Azure PowerShell

Rozpocznij pracę z obwodem zabezpieczeń sieci, tworząc obwód zabezpieczeń sieci dla usługi Azure Key Vault przy użyciu programu Azure PowerShell. Obwód zabezpieczeń sieci umożliwia zasobom platformy Azure jako usługi (PaaS) komunikowanie się w ramach jawnej zaufanej granicy. Tworzysz i aktualizujesz skojarzenie zasobu PaaS w profilu perymetru bezpieczeństwa sieci. Następnie utworzysz i zaktualizujesz reguły dostępu obwodowego zabezpieczeń sieci. Po zakończeniu usuń wszystkie zasoby utworzone w tym szybkim starcie.

Ważne

Obwód zabezpieczeń sieci jest teraz ogólnie dostępny we wszystkich regionach chmury publicznej platformy Azure. Aby uzyskać informacje na temat obsługiwanych usług, zobacz Dołączane zasoby łącza prywatnego dla obsługiwanych usług PaaS.

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

  • Zainstaluj moduł Az.Tools.Installer:

    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Zainstaluj kompilację wersji zapoznawczej Az.Network:

    # Install the preview build of the Az.Network module 
Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview

  • Możesz użyć programu Azure PowerShell lokalnie lub użyć usługi Azure Cloud Shell.

  • Aby uzyskać pomoc dotyczącą poleceń cmdlet programu PowerShell, użyj Get-Help polecenia :

    # Get help for a specific command
Get-Help -Name <powershell-command> - full

# Example
Get-Help -Name New-AzNetworkSecurityPerimeter - full

Zaloguj się do konta platformy Azure i wybierz swoją subskrypcję

Aby rozpocząć konfigurację, zaloguj się do konta platformy Azure:

# Sign in to your Azure account
Connect-AzAccount

Następnie połącz się z subskrypcją:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Utwórz grupę zasobów i skarbiec kluczy

Przed utworzeniem obwodu zabezpieczeń sieci należy utworzyć grupę zasobów i zasób magazynu kluczy.
W tym przykładzie tworzy się grupę zasobów o nazwie test-rg w regionie WestCentralUS oraz magazyn kluczy o nazwie demo-keyvault-<RandomValue> w grupie zasobów przy użyciu następujących poleceń:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Tworzenie obwodu zabezpieczeń sieci

W tym kroku utwórz obwód zabezpieczeń sieci za pomocą następującego New-AzNetworkSecurityPerimeter polecenia:

Uwaga

Nie należy umieszczać żadnych danych osobowych lub poufnych w regułach obwodu zabezpieczeń sieci ani w innej konfiguracji obwodowej zabezpieczeń sieci.


# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Tworzenie i aktualizowanie skojarzenia zasobów PaaS z nowym profilem

W tym kroku utworzysz nowy profil i skojarzysz z profilem zasób PaaS, usługę Azure Key Vault, przy użyciu poleceń New-AzNetworkSecurityPerimeterProfile i New-AzNetworkSecurityPerimeterAssociation.

  1. Utwórz nowy profil dla obwodu zabezpieczeń sieci za pomocą następującego polecenia:

        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Skojarz usługę Azure Key Vault (zasób PaaS) z profilem obwodowym zabezpieczeń sieci za pomocą następującego polecenia:

        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Zaktualizuj skojarzenie, zmieniając tryb dostępu na enforced z poleceniem Update-AzNetworkSecurityPerimeterAssociation w następujący sposób:

        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Zarządzanie regułami dostępu perymetru bezpieczeństwa sieci

W tym kroku utworzysz, zaktualizujesz i usuniesz reguły dostępu obwodowego zabezpieczeń sieci przy użyciu prefiksów publicznych adresów IP.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Uwaga

Jeśli tożsamość zarządzana nie jest przypisana do zasobu, który go obsługuje, dostęp wychodzący do innych zasobów w obrębie tego samego obwodu zostanie odrzucony. Reguły ruchu przychodzącego oparte na subskrypcji przeznaczone do zezwalania na dostęp z tego zasobu nie zostaną zastosowane.

Usuwanie wszystkich zasobów

Jeśli nie potrzebujesz już obwodu zabezpieczeń sieci, usuń wszystkie zasoby skojarzone z obwodem zabezpieczeń sieci, usuń obwód, a następnie usuń grupę zasobów.


    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Uwaga

Usunięcie skojarzenia zasobu z perymetrem bezpieczeństwa sieciowego powoduje, że kontrola dostępu powraca do istniejącej konfiguracji zapory sieciowej zasobu. Może to spowodować zezwolenie/odmowę dostępu zgodnie z konfiguracją zapory zasobów. Jeśli parametr PublicNetworkAccess jest ustawiony na Wartość SecuredByPerimeter i skojarzenie zostało usunięte, zasób przejdzie w stan zablokowany. Aby uzyskać więcej informacji, zobacz Przejście do obwodu zabezpieczeń sieci na platformie Azure.

Następne kroki

Rejestrowanie diagnostyczne dla perymetru zabezpieczeń sieciowych platformy Azure

  • Last updated on