Condividi tramite

Guida introduttiva: Creare un perimetro di sicurezza di rete - Interfaccia della riga di comando di Azure

Per iniziare a usare il perimetro di sicurezza di rete, creare un perimetro di sicurezza di rete per un'istanza di Azure Key Vault usando l'interfaccia della riga di comando di Azure. Un perimetro di sicurezza di rete consente alle risorse PaaS (PaaS) di Azure di comunicare all'interno di un limite attendibile esplicito. Successivamente, si crea e si aggiorna un'associazione di risorse PaaS in un profilo perimetrale di sicurezza di rete. Quindi si creano e si aggiornano le regole di accesso perimetrale della sicurezza di rete. Al termine, eliminare tutte le risorse create in questa guida introduttiva.

Importante

Il perimetro di sicurezza di rete è ora disponibile a livello generale in tutte le aree del cloud pubblico di Azure. Per informazioni sui servizi supportati, vedere Risorse di collegamento privato di cui è stato eseguito l'onboarding per i servizi PaaS supportati."

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
  • L'interfaccia della riga di comando di Azure più recente oppure è possibile usare Azure Cloud Shell nel portale.
    • Questo articolo richiede la versione 2.38.0 o successiva dell'interfaccia della riga di comando di Azure. Se si usa Azure Cloud Shell, la versione più recente è già installata.
  • Dopo l'aggiornamento alla versione più recente dell'interfaccia della riga di comando di Azure, importare i comandi perimetrali della sicurezza di rete usando az extension add --name nsp.

Connettersi all'account Azure e selezionare la sottoscrizione

Per iniziare, connettersi ad Azure Cloud Shell o usare l'ambiente CLI locale.

  1. Se si usa Azure Cloud Shell, accedere e selezionare la sottoscrizione.

  2. Se hai installato l'interfaccia della riga di comando localmente, accedi con il comando seguente.

    # Sign in to your Azure account
az login

  3. Una volta nella shell, selezionare la sottoscrizione attiva in locale con il comando seguente:

    # List all subscriptions
az account set --subscription <Azure Subscription>

# Re-register the Microsoft.Network resource provider
az provider register --namespace Microsoft.Network

Creare un gruppo di risorse e un Key Vault

Prima di poter creare un perimetro di sicurezza di rete, è necessario creare un gruppo di risorse e una risorsa Key Vault con az group create e az keyvault create.
Questo esempio crea un gruppo di risorse denominato resource-group nella località WestCentralUS e un key vault denominato key-vault-YYYYDDMM nel gruppo di risorse con i comandi seguenti:

az group create \
    --name resource-group \
    --location westcentralus

# Create a key vault using a datetime value to ensure a unique name

key_vault_name="key-vault-$(date +%s)"
az keyvault create \
    --name $key_vault_name \
    --resource-group resource-group \
    --location westcentralus \
    --query 'id' \
    --output tsv

Creare un perimetro di sicurezza di rete

In questo passaggio creare un perimetro di sicurezza di rete con il comando az network perimeter create .

Nota

Non inserire dati personali o sensibili nelle regole perimetrali di sicurezza di rete o in altre configurazioni perimetrali della sicurezza di rete.

az network perimeter create\
    --name network-security-perimeter \
    --resource-group resource-group \
    -l westcentralus

Creare e aggiornare l'associazione delle risorse PaaS con un nuovo profilo

In questo passaggio, crei un nuovo profilo e associ la risorsa PaaS, Azure Key Vault, al profilo utilizzando i comandi az network perimeter profile create e az network perimeter association create.

Nota

Per i valori dei parametri --private-link-resource e --profile, sostituire <PaaSArmId> e <networkSecurityPerimeterProfileId> con i valori per il Key Vault e l'ID del profilo, rispettivamente.

  1. Creare un nuovo profilo per il perimetro di sicurezza di rete con il comando seguente:

    # Create a new profile
az network perimeter profile create \
    --name network-perimeter-profile \
    --resource-group resource-group \
    --perimeter-name network-security-perimeter

  2. Associare Azure Key Vault (risorsa PaaS) al profilo di sicurezza perimetrale della rete con i comandi seguenti.

    
# Get key vault id
az keyvault show \
    --name $key_vault_name \
    --resource-group resource-group \
    --query 'id'

# Get the profile id
az network perimeter profile show \
    --name network-perimeter-profile \
    --resource-group resource-group \
    --perimeter-name network-security-perimeter

# Associate the Azure Key Vault with the network security perimeter profile
# Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile
az network perimeter association create \
    --name network-perimeter-association \
    --perimeter-name network-security-perimeter \
    --resource-group resource-group \
    --access-mode Learning  \
    --private-link-resource "{id:<PaaSArmId>}" \
    --profile "{id:<networkSecurityPerimeterProfileId>}"

  3. Aggiornare l'associazione modificando la modalità di accesso a enforced utilizzando il comando Crea un’associazione del perimetro di rete di Azure. come segue:

    az network perimeter association create \
    --name network-perimeter-association \
    --perimeter-name network-security-perimeter \
    --resource-group resource-group \
    --access-mode Enforced  \
    --private-link-resource "{id:<PaaSArmId>}" \
    --profile "{id:<networkSecurityPerimeterProfileId>}"

Gestire le regole di accesso perimetrale della sicurezza di rete

In questo passaggio si creano, aggiornano ed eliminano regole di accesso perimetrale della sicurezza di rete con prefissi di indirizzo IP pubblico usando il comando az network perimeter profile access-rule create .

  1. Creare una regola di accesso in ingresso con un prefisso di indirizzo IP pubblico per il profilo creato con il comando seguente:

    
# Create an inbound access rule
az network perimeter profile access-rule create \
    --name access-rule \
    --profile-name network-perimeter-profile \
    --perimeter-name network-security-perimeter \
    --resource-group resource-group \
    --address-prefixes "[192.0.2.0/24]"

  2. Aggiornare la regola di accesso in ingresso con un altro prefisso di indirizzo IP pubblico con il comando seguente:

    
# Update the inbound access rule
az network perimeter profile access-rule create\
    --name access-rule \
    --profile-name network-perimeter-profile \
    --perimeter-name network-security-perimeter \
    --resource-group resource-group \
    --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"

  3. Se devi eliminare una regola di accesso, usa il comando az network perimeter profile access-rule delete:

    # Delete the access rule
az network perimeter profile access-rule delete \
    --Name network-perimeter-association \
    --profile-name network-perimeter-profile \
    --perimeter-name network-security-perimeter \
    --resource-group resource-group

Nota

L'abilitazione di un'identità gestita è necessaria per supportare la comunicazione tra le risorse all'interno del perimetro. Sebbene alcune funzionalità per determinate risorse (ad esempio, le funzionalità di Azure SQL che usano la comunicazione back-end SQL-SQL gestita dalla piattaforma) possano continuare a funzionare senza un MI, è fortemente consigliato garantire un accesso sicuro all'interno dello stesso perimetro o attraverso perimetri collegati.

Eliminare tutte le risorse

Per eliminare un perimetro di sicurezza di rete e altre risorse in questa guida introduttiva, usare i comandi az network perimeter seguenti:


    # Delete the network security perimeter association
    az network perimeter association delete \
        --name network-perimeter-association \
        --resource-group resource-group \
        --perimeter-name network-security-perimeter

    # Delete the network security perimeter
    az network perimeter delete \
        --resource-group resource-group \
        --name network-security-perimeter --yes
    
    # Delete the key vault
    az keyvault delete \
        --name $key_vault_name \
        --resource-group resource-group
    
    # Delete the resource group
    az group delete \
        --name resource-group \
        --yes \
        --no-wait

Nota

La rimozione dell'associazione delle risorse dal perimetro di sicurezza di rete comporta il passaggio del controllo degli accessi alla configurazione del firewall delle risorse esistente. Ciò può comportare l'accesso consentito/negato in base alla configurazione del firewall delle risorse. Se PublicNetworkAccess è impostato su SecuredByPerimeter e l'associazione è stata eliminata, la risorsa immetterà uno stato bloccato. Per altre informazioni, vedere Transizione a un perimetro di sicurezza di rete in Azure.

Passaggi successivi

Registrazione diagnostica per il perimetro di sicurezza di rete di Azure

  • Last updated on