Condividi tramite

Guida introduttiva: Creare un perimetro di sicurezza di rete - Azure PowerShell

Per iniziare con il perimetro di sicurezza di rete, crea un perimetro di sicurezza di rete per un Azure Key Vault utilizzando Azure PowerShell. Un perimetro di sicurezza di rete consente alle risorse PaaS (Platform as a Service) di Azure di comunicare all'interno di un limite attendibile esplicito. Si crea e si aggiorna l'associazione di una risorsa PaaS in un profilo perimetrale di sicurezza di rete. Quindi si creano e si aggiornano le regole di accesso perimetrale della sicurezza di rete. Al termine, eliminare tutte le risorse create in questa guida introduttiva.

Importante

Il perimetro di sicurezza di rete è ora disponibile a livello generale in tutte le aree del cloud pubblico di Azure. Per informazioni sui servizi supportati, vedere Risorse di collegamento privato di cui è stato eseguito l'onboarding per i servizi PaaS supportati."

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

  • Installare il modulo Az.Tools.Installer:

    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Installare la build di anteprima di Az.Network:

    # Install the preview build of the Az.Network module 
Install-Module -Name Az.Network -AllowPrerelease -Force -RequiredVersion 7.13.0-preview

  • È possibile scegliere di usare Azure PowerShell in locale o azure Cloud Shell.

  • Per ottenere assistenza con i cmdlet di PowerShell, usare il Get-Help comando :

    # Get help for a specific command
Get-Help -Name <powershell-command> - full

# Example
Get-Help -Name New-AzNetworkSecurityPerimeter - full

Accedere al proprio account Azure e selezionare la sottoscrizione

Per iniziare la configurazione, accedere all'account Azure:

# Sign in to your Azure account
Connect-AzAccount

Connettersi quindi alla sottoscrizione:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Creare un gruppo di risorse e un Key Vault

Prima di poter creare un perimetro di sicurezza di rete, è necessario creare un gruppo di risorse e una risorsa di Key Vault.
Questo esempio crea un gruppo di risorse denominato test-rg nell'area WestCentralUS e un Key Vault denominato demo-keyvault-<RandomValue> nel gruppo di risorse con i comandi seguenti:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Creare un perimetro di sicurezza di rete

In questo passaggio creare un perimetro di sicurezza di rete con il comando seguente New-AzNetworkSecurityPerimeter :

Nota

Non inserire dati personali o sensibili nelle regole perimetrali di sicurezza di rete o in altre configurazioni perimetrali della sicurezza di rete.


# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Creare e aggiornare l'associazione delle risorse PaaS con un nuovo profilo

In questo passaggio si crea un nuovo profilo e si associa la risorsa PaaS, Azure Key Vault al profilo usando i New-AzNetworkSecurityPerimeterProfile comandi e New-AzNetworkSecurityPerimeterAssociation .

  1. Creare un nuovo profilo per il perimetro di sicurezza di rete con il comando seguente:

        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Associare Azure Key Vault (risorsa PaaS) al profilo del perimetro di sicurezza di rete con il comando seguente:

        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Aggiornare l'associazione modificando la modalità di accesso a enforced utilizzando il comando Update-AzNetworkSecurityPerimeterAssociation come indicato di seguito:

        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Gestire le regole di accesso perimetrale della sicurezza di rete

In questo passaggio si creano, si aggiornano ed eliminano le regole di accesso perimetrale della sicurezza di rete con prefissi di indirizzo IP pubblico.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Nota

L'abilitazione di un'identità gestita è necessaria per supportare la comunicazione tra le risorse all'interno del perimetro. Sebbene alcune funzionalità per determinate risorse (ad esempio, le funzionalità di Azure SQL che usano la comunicazione back-end SQL-SQL gestita dalla piattaforma) possano continuare a funzionare senza un MI, è fortemente consigliato garantire un accesso sicuro all'interno dello stesso perimetro o attraverso perimetri collegati.

Eliminare tutte le risorse

Quando non è più necessario il perimetro di sicurezza di rete, rimuovere tutte le risorse associate al perimetro di sicurezza di rete, rimuovere il perimetro e quindi rimuovere il gruppo di risorse.


    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Nota

La rimozione dell'associazione delle risorse dal perimetro di sicurezza di rete comporta il passaggio del controllo degli accessi alla configurazione del firewall delle risorse esistente. Ciò può comportare l'accesso consentito/negato in base alla configurazione del firewall delle risorse. Se PublicNetworkAccess è impostato su SecuredByPerimeter e l'associazione è stata eliminata, la risorsa immetterà uno stato bloccato. Per altre informazioni, vedere Transizione a un perimetro di sicurezza di rete in Azure.

Passaggi successivi

Registrazione diagnostica per il perimetro di sicurezza di rete di Azure

  • Last updated on