Compartilhar via

Início Rápido: criar um perímetro de segurança da rede – Azure PowerShell

Comece a usar o perímetro de segurança de rede criando um perímetro de segurança de rede para um Azure Key Vault usando o Azure PowerShell. Um perímetro de segurança da rede permite que os recursos da Plataforma como serviço (PaaS) do Azure se comuniquem dentro de um limite confiável explícito. Em seguida, crie e atualize uma associação de recursos da PaaS em um perfil do perímetro de segurança de rede. Em seguida, você cria e atualiza as regras de acesso do perímetro de segurança da rede. Quando terminar, você excluirá todos os recursos criados neste início rápido.

Importante

O perímetro de segurança de rede agora está disponível em todas as regiões de nuvem pública do Azure. Para obter informações sobre serviços com suporte, consulte Recursos de link privado integrado para serviços de PaaS com suporte."

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

  • Instale o módulo Az.Tools.Installer:

    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Instale o build de visualização do Az.Network:

    # Install the preview build of the Az.Network module 
Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview

  • Você pode optar por usar o Azure PowerShell localmente ou usar o Azure Cloud Shell.

  • Para obter ajuda com os cmdlets do PowerShell, use o comando Get-Help:

    # Get help for a specific command
Get-Help -Name <powershell-command> - full

# Example
Get-Help -Name New-AzNetworkSecurityPerimeter - full

Entre na sua conta do Azure e selecione sua assinatura

Para iniciar sua configuração, entrar na sua conta do Azure:

# Sign in to your Azure account
Connect-AzAccount

Em seguida, conecte-se à sua assinatura:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Criar um grupo de recursos e um cofre de chaves

Antes de criar um perímetro de segurança da rede, você precisa criar um grupo de recursos e um recurso do cofre de chaves.
Este exemplo cria um grupo de recursos chamado test-rg na localização WestCentralUS e um cofre de chaves chamado demo-keyvault-<RandomValue> no grupo de recursos com os seguintes comandos:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Criar um perímetro de segurança da rede

Nesta etapa, crie um perímetro de segurança de rede com o seguinte comando New-AzNetworkSecurityPerimeter:

Observação

Não coloque dados pessoais identificáveis ou confidenciais nas regras de perímetro de segurança da rede ou em outra configuração de perímetro de segurança da rede.


# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Criar e atualizar a associação de recursos de PaaS com um novo perfil

Nesta etapa, você criará um novo perfil e associará o recurso de PaaS, o Azure Key Vault ao perfil usando os comandos New-AzNetworkSecurityPerimeterProfile e New-AzNetworkSecurityPerimeterAssociation.

  1. Crie um novo perfil para o seu perímetro de segurança da rede com o seguinte comando:

        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Associe o Azure Key Vault (recurso de PaaS) ao perfil de perímetro de segurança da rede com os comandos a seguir:

        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Atualize a associação alterando o modo de acesso para enforced com o comando Update-AzNetworkSecurityPerimeterAssociation da seguinte maneira:

        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Gerenciar regras de acesso de perímetro de segurança da rede

Nesta etapa, você criará, atualizará e excluirá regras de acesso de perímetro de segurança da rede com prefixos de endereço IP.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Observação

Se a identidade gerenciada não for atribuída ao recurso que dá suporte a ela, o acesso de saída a outros recursos dentro do mesmo perímetro será negado. As regras de entrada baseadas em assinatura destinadas a permitir o acesso desse recurso não entrarão em vigor.

Excluir todos os recursos

Quando você não precisar mais do perímetro de segurança da rede, remova todos os recursos associados ao perímetro de segurança da rede, remova o perímetro e remova o grupo de recursos.


    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Observação

Remover a associação de recursos do perímetro de segurança da rede faz com que o controle de acesso retorne à configuração existente de firewall do recurso. Isso pode fazer com que o acesso seja permitido/negado de acordo com a configuração de firewal do recurso. Se PublicNetworkAccess estiver definido como SecuredByPerimeter e a associação for excluída, o recurso entrará em um estado bloqueado. Para obter mais informações, confira o artigo Transição para um perímetro de segurança da rede no Azure.

Próximas etapas

Registro em log dos diagnósticos para o perímetro de segurança da rede do Azure

  • Last updated on