Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Comece a usar o perímetro de segurança de rede criando um perímetro de segurança de rede para um Cofre de Chaves do Azure usando a CLI do Azure. Um perímetro de segurança de rede permite que os recursos PaaS (PaaS) do Azure se comuniquem dentro de um limite confiável explícito. Em seguida, crie e atualize uma associação de recursos PaaS em um perfil de perímetro de segurança de rede. Em seguida, você cria e atualiza as regras de acesso ao perímetro de segurança da rede. Quando terminar, exclua todos os recursos criados neste início rápido.
Important
O perímetro de segurança de rede agora está disponível em geral em todas as regiões de nuvem pública do Azure. Para obter informações sobre serviços suportados, consulte Recursos de link privado integrados para serviços PaaS suportados."
Prerequisites
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- A CLI mais recente do Azure, ou pode usar o Azure Cloud Shell no portal.
- Este artigo requer a versão 2.38.0 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.
- Depois de atualizar para a versão mais recente da CLI do Azure, importe os comandos do perímetro de segurança da rede usando
az extension add --name nsp.
Conecte-se à sua conta do Azure e selecione sua assinatura
Para começar, conecte-se ao Azure Cloud Shell ou use seu ambiente CLI local.
Se estiver usando o Azure Cloud Shell, entre e selecione sua assinatura.
Se você instalou a CLI localmente, entre com o seguinte comando:
# Sign in to your Azure account az loginUma vez em seu shell, selecione sua assinatura ativa localmente com o seguinte comando:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Criar um grupo de recursos e um cofre de chaves
Antes de criar um perímetro de segurança de rede, você precisa criar um grupo de recursos e um recurso de cofre de chaves com az group create e az keyvault create.
Este exemplo cria um grupo de recursos chamado resource-group no local WestCentralUS e um cofre de chaves chamado key-vault-YYYYDDMM no grupo de recursos com os seguintes comandos:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Criar um perímetro de segurança de rede
Nesta etapa, crie um perímetro de segurança de rede com o comando az network perimeter create .
Note
Não coloque dados pessoais identificáveis ou confidenciais nas regras de perímetro de segurança de rede ou em outra configuração de perímetro de segurança de rede.
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
Criar e atualizar a associação de recursos de PaaS com um novo perfil
Nesta etapa, você cria um novo perfil e associa o recurso PaaS, o Cofre da Chave do Azure ao perfil usando os comandos az network perimeter profile create e az network perimeter association create .
Note
Para os valores de --private-link-resource e o parâmetro --profile, substitua <PaaSArmId> pelo valor do cofre de chaves e <networkSecurityPerimeterProfileId> pelo ID do perfil, respectivamente.
Crie um novo perfil para o perímetro de segurança da rede com o seguinte comando:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeterAssocie o Cofre da Chave do Azure (recurso PaaS) ao perfil de perímetro de segurança de rede com os seguintes comandos.
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"Atualize a associação alterando o modo de acesso para forçado com o comando az network perimeter association create da seguinte maneira:
az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
Gerenciar regras de acesso ao perímetro de segurança de rede
Nesta etapa, você cria, atualiza e exclui regras de acesso de perímetro de segurança de rede com prefixos de endereço IP público usando o comando az network perimeter profile access-rule create .
Crie uma regra de acesso de entrada com um prefixo de endereço IP público para o perfil criado com o seguinte comando:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"Atualize sua regra de acesso de entrada com outro prefixo de endereço IP público com o seguinte comando:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"Se você precisar excluir uma regra de acesso, use o comando az network perimeter profile access-rule delete :
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
Note
Se a identidade gerenciada não for atribuída ao recurso que a suporta, o acesso de saída a outros recursos dentro do mesmo perímetro será negado. As regras de entrada baseadas em subscrição destinadas a permitir o acesso a partir deste recurso não entrarão em vigor.
Eliminar todos os recursos
Para excluir um perímetro de segurança de rede e outros recursos neste início rápido, use os seguintes comandos az network perimeter :
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Note
A remoção da associação do seu recurso do perímetro de segurança de rede leva ao retorno do controle de acesso à configuração atual do firewall de recursos. Isso pode resultar em acesso permitido/negado de acordo com a configuração do firewall de recursos. Se PublicNetworkAccess estiver definido como SecuredByPerimeter e a associação tiver sido excluída, o recurso entrará em um estado bloqueado. Para obter mais informações, consulte Transição para um perímetro de segurança de rede no Azure.