Inicio rápido: Creación de un perímetro de seguridad de red: Azure PowerShell
Empiece a trabajar con el perímetro de seguridad de red mediante la creación de un perímetro de seguridad de red para un almacén de claves de Azure mediante Azure PowerShell. Un perímetro de seguridad de red permite que los recursos de la plataforma como servicio (PaaS) de Azure se comuniquen dentro de un límite de confianza explícito. Puede crear y actualizar la asociación de un recurso PaaS en un perfil perimetral de seguridad de red. A continuación, creará y actualizará las reglas de acceso perimetral de seguridad de red. Cuando haya terminado, eliminará todos los recursos creados en este inicio rápido.
Importante
El perímetro de seguridad de red está en versión preliminar pública y está disponible en todas las regiones de nube pública de Azure. Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.
Prerrequisitos
- Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Se requiere el registro de la versión preliminar pública del perímetro de seguridad de red de Azure. Para registrarse, agregue la marca de característica
AllowNSPInPublicPreviewa la suscripción.
Para más información sobre cómo agregar marcas de características, consulte Configuración de características en vista previa en la suscripción de Azure.
Una vez agregada la marca de características, debe volver a registrar el proveedor de recursos
Microsoft.Networken la suscripción.Para volver a registrar el proveedor de recursos
Microsoft.Networken Azure Portal, seleccione la suscripción y, a continuación, seleccione Proveedores de recursos. BusqueMicrosoft.Networky seleccione Volver a registrar.
Para volver a registrar el proveedor de recursos
Microsoft.Network, use el siguiente comando de Azure PowerShell:
# Register the Microsoft.Network resource provider Register-AzResourceProvider -ProviderNamespace Microsoft.NetworkPara volver a registrar el proveedor de recursos
Microsoft.Network, use el siguiente comando de la CLI de Azure:# Register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Para más información sobre cómo volver a registrar proveedores de recursos, consulte Tipos y proveedores de recursos de Azure.
La versión más reciente del módulo de Azure PowerShell con herramientas para el perímetro de seguridad de red.
# Install the Az.Tools.Installer module Install-Module -Name Az.Tools.Installer -Repository PSGalleryUse
Az.Tools.Installerpara instalar la compilación en versión preliminar deAz.Network:# Install the preview build of the Az.Network module Install-Module -Name Az.Tools.Installer -Repository PSGallery -allowprerelease -force # List the current versions of the Az.Network module available in the PowerShell Gallery Find-Module -Name Az.Network -Allversions -AllowPrerelease # Install the preview build of the Az.Network module using the Install-AzModule -Name Az.Network -AllowPrerelease -Force Install-AzModule -Path <previewVersionNumber>Nota:
La versión preliminar del módulo Az.Network es necesaria para usar las funcionalidades perimetrales de seguridad de red. La versión más reciente del módulo Az.Network está disponible en la Galería de PowerShell. Busque la versión más reciente que termina en
-preview.Si opta por usar Azure PowerShell en un entorno local:
- Instale la versión más reciente del módulo Az de PowerShell.
- Conéctese a su cuenta de Azure mediante el cmdlet Connect-AzAccount.
Si decide usar Azure Cloud Shell:
- Para obtener más información sobre Azure Cloud Shell, vea Introducción a Azure Cloud Shell.
Para obtener ayuda con los cmdlets de PowerShell, use el comando
Get-Help:# Get help for a specific command get-help -Name <powershell-command> - full # Example get-help -Name New-AzNetworkSecurityPerimeter - full
Iniciar sesión en la cuenta de Azure y seleccione la suscripción
Para empezar la configuración, inicie sesión en la cuenta de Azure:
# Sign in to your Azure account
Connect-AzAccount
Luego, conéctela a la suscripción:
# List all subscriptions
Set-AzContext -Subscription <subscriptionId>
# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Creación de un grupo de recursos y de un almacén de claves
Para poder crear un perímetro de seguridad de red, debe crear un grupo de recursos y un recurso de almacén de claves.
En este ejemplo se crea un grupo de recursos denominado test-rg en la ubicación WestCentralUS y un almacén de claves denominado demo-keyvault-<RandomValue> en el grupo de recursos con los siguientes comandos:
# Create a resource group
$rgParams = @{
Name = "test-rg"
Location = "westcentralus"
}
New-AzResourceGroup @rgParams
# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
Name = $keyVaultName
ResourceGroupName = $rgParams.Name
Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams
Creación de un perímetro de seguridad de red
En este paso, cree un perímetro de seguridad de red con el comando New-AzNetworkSecurityPerimeter siguiente:
Nota:
No coloque ninguna identificación personal ni datos confidenciales en las reglas perimetrales de seguridad de red u otra configuración del perímetro de seguridad de red.
# Create a network security perimeter
$nsp = @{
Name = 'demo-nsp'
location = 'westcentralus'
ResourceGroupName = $rgParams.name
}
$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id
Creación y actualización de la asociación de recursos de PaaS con un nuevo perfil
En este paso, creará un nuevo perfil y asociará el recurso PaaS, Azure Key Vault con el perfil mediante los comandos New-AzNetworkSecurityPerimeterProfile y New-AzNetworkSecurityPerimeterAssociation.
Cree un perfil para el perímetro de seguridad de red con el comando siguiente:
# Create a new profile $nspProfile = @{ Name = 'nsp-profile' ResourceGroupName = $rgParams.name SecurityPerimeterName = $nsp.name } $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofileAsocie Azure Key Vault (recurso PaaS) con el perfil perimetral de seguridad de red con el siguiente comando:
# Associate the PaaS resource with the above created profile $nspAssociation = @{ AssociationName = 'nsp-association' ResourceGroupName = $rgParams.name SecurityPerimeterName = $nsp.name AccessMode = 'Learning' ProfileId = $demoProfileNSP.Id PrivateLinkResourceId = $keyVault.ResourceID } New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-listActualice la asociación cambiando el modo de acceso a
enforcedcon el comandoUpdate-AzNetworkSecurityPerimeterAssociationde la siguiente manera:# Update the association to enforce the access mode $updateAssociation = @{ AssociationName = $nspassociation.AssociationName ResourceGroupName = $rgParams.name SecurityPerimeterName = $nsp.name AccessMode = 'Enforced' } Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list
Administración de reglas de acceso perimetral de seguridad de red
En este paso, creará, actualizará y eliminará las reglas de acceso perimetral de seguridad de red con prefijos de dirección IP pública.
# Create an inbound access rule for a public IP address prefix
$inboundRule = @{
Name = 'nsp-inboundRule'
ProfileName = $nspprofile.Name
ResourceGroupName = $rgParams.Name
SecurityPerimeterName = $nsp.Name
Direction = 'Inbound'
AddressPrefix = '192.0.2.0/24'
}
New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list
# Update the inbound access rule to add more public IP address prefixes
$updateInboundRule = @{
Name = $inboundrule.Name
ProfileName = $nspprofile.Name
ResourceGroupName = $rgParams.Name
SecurityPerimeterName = $nsp.Name
AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
}
Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list
Nota:
Si la identidad administrada no está asignada al recurso que lo admite, se denegará el acceso saliente a otros recursos dentro del mismo perímetro. Las reglas de entrada basadas en suscripciones destinadas a permitir el acceso desde este recurso no surtirán efecto.
Eliminación de todos los recursos
Cuando ya no necesite el perímetro de seguridad de red, quite todos los recursos asociados al perímetro de seguridad de red, quite el perímetro y, a continuación, quite el grupo de recursos.
# Retrieve the network security perimeter and place it in a variable
$nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name
# Delete the network security perimeter and all associated resources
$removeNsp = @{
Name = 'nsp-association'
ResourceGroupName = $rgParams.Name
SecurityPerimeterName = $nsp.Name
}
Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
# Remove the resource group
Remove-AzResourceGroup -Name $rgParams.Name -Force
Nota:
Al quitar la asociación de recursos del perímetro de seguridad de red, el control de acceso se revierte a la configuración del firewall de recursos existente. Esto puede dar lugar a que se permita o deniegue el acceso según la configuración del firewall de recursos. Si PublicNetworkAccess está establecido en SecuredByPerimeter y la asociación se ha eliminado, el recurso escribirá un estado bloqueado. Para más información, consulte Transición a un perímetro de seguridad de red en Azure.