Démarrage rapide : créer un périmètre de sécurité réseau – Azure PowerShell
Pour commencer, vous allez créer un périmètre de sécurité réseau pour un coffre de clés Azure à l’aide d’Azure PowerShell. Un périmètre de sécurité réseau permet aux ressources Azure PaaS (platform as a service) de communiquer dans une limite de confiance explicite. Vous créez et mettez à jour l’association d’une ressource PaaS dans un profil de périmètre de sécurité réseau. Vous devez ensuite créer et mettre à jour les règles d’accès au périmètre de sécurité réseau. Une fois que vous avez fini, supprimez toutes les ressources créées dans ce guide de démarrage rapide.
Important
Le périmètre de sécurité réseau est en préversion publique et disponible dans toutes les régions du cloud public Azure. Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Prérequis
- Compte Azure avec un abonnement actif. Créez un compte gratuitement.
L’inscription à la préversion publique du périmètre de sécurité réseau Azure est obligatoire. Pour vous inscrire, ajoutez l’indicateur de fonctionnalité
AllowNSPInPublicPreviewà votre abonnement.
Pour plus d’informations sur l’ajout d’indicateurs de fonctionnalités, consultez Configurer des fonctionnalités en préversion dans un abonnement Azure.
Une fois l’indicateur de fonctionnalité ajouté, vous devez réinscrire le fournisseur de ressources
Microsoft.Networkdans votre abonnement.Pour réinscrire le fournisseur de ressources
Microsoft.Networkdans le Portail Azure, sélectionnez votre abonnement, puis Fournisseurs de ressources. RecherchezMicrosoft.Network, puis sélectionnez Réinscrire.
Pour réinscrire le fournisseur de ressources
Microsoft.Network, utilisez la commande Azure PowerShell suivante :
# Register the Microsoft.Network resource provider Register-AzResourceProvider -ProviderNamespace Microsoft.NetworkPour réinscrire le fournisseur de ressources
Microsoft.Network, utilisez la commande Azure CLI suivante :# Register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Pour plus d’informations sur la réinscription des fournisseurs de ressources, consultez Fournisseurs et types de ressources Azure.
La dernière version du module Azure PowerShell avec des outils pour le périmètre de sécurité réseau.
# Install the Az.Tools.Installer module Install-Module -Name Az.Tools.Installer -Repository PSGalleryUtilisez
Az.Tools.Installerpour installer la version d’évaluation d’Az.Network:# Install the preview build of the Az.Network module Install-Module -Name Az.Tools.Installer -Repository PSGallery -allowprerelease -force # List the current versions of the Az.Network module available in the PowerShell Gallery Find-Module -Name Az.Network -Allversions -AllowPrerelease # Install the preview build of the Az.Network module using the Install-AzModule -Name Az.Network -AllowPrerelease -Force Install-AzModule -Path <previewVersionNumber>Remarque
La préversion du module Az.Network est nécessaire pour utiliser les fonctionnalités de périmètre de sécurité réseau. La dernière version du module Az.Network est disponible dans PowerShell Gallery. Recherchez la version la plus récente qui se termine par
-preview.Si vous choisissez d’utiliser Azure PowerShell localement :
- Installez la dernière version du module Az PowerShell.
- Connectez-vous à votre compte Azure à l’aide de la cmdlet Connect-AzAccount.
Si vous choisissez d’utiliser Azure Cloud Shell :
- Pour plus d’informations sur Azure Cloud Shell, consultez Vue d’ensemble d’Azure Cloud Shell.
Pour obtenir de l’aide sur les applets de commande PowerShell, utilisez la commande
Get-Help:# Get help for a specific command get-help -Name <powershell-command> - full # Example get-help -Name New-AzNetworkSecurityPerimeter - full
Vous connecter à votre compte Azure et sélectionner votre abonnement
Pour commencer votre configuration, connectez-vous à votre compte Azure :
# Sign in to your Azure account
Connect-AzAccount
Puis, connectez-vous à votre abonnement :
# List all subscriptions
Set-AzContext -Subscription <subscriptionId>
# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Créer un groupe de ressources et un coffre de clés
Pour pouvoir créer un périmètre de sécurité réseau, vous devez créer au préalable un groupe de ressources et une ressource de coffre de clés.
Cet exemple crée un groupe de ressources nommé test-rg dans l’emplacement WestCentralUS et un coffre de clés nommé demo-keyvault-<RandomValue> dans le groupe de ressources avec les commandes suivantes :
# Create a resource group
$rgParams = @{
Name = "test-rg"
Location = "westcentralus"
}
New-AzResourceGroup @rgParams
# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
Name = $keyVaultName
ResourceGroupName = $rgParams.Name
Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams
Créer un périmètre de sécurité réseau
Dans cette étape, créez un périmètre de sécurité réseau avec la commande New-AzNetworkSecurityPerimeter suivante :
Remarque
Ne placez aucune information d’identification personnelle ou donnée sensible dans les règles du périmètre de sécurité réseau ou toute autre configuration du périmètre de sécurité réseau.
# Create a network security perimeter
$nsp = @{
Name = 'demo-nsp'
location = 'westcentralus'
ResourceGroupName = $rgParams.name
}
$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id
Créer et mettre à jour l’association des ressources PaaS avec un nouveau profil
Au cours de cette étape, vous créez un profil, et associez la ressource PaaS, le coffre de clés Azure Key Vault, au profil à l’aide des commandes New-AzNetworkSecurityPerimeterProfile et New-AzNetworkSecurityPerimeterAssociation.
Créez un profil pour votre périmètre de sécurité réseau à l’aide de la commande suivante :
# Create a new profile $nspProfile = @{ Name = 'nsp-profile' ResourceGroupName = $rgParams.name SecurityPerimeterName = $nsp.name } $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofileAssociez le coffre de clés Azure (ressource PaaS) au profil de périmètre de sécurité réseau avec la commande suivante :
# Associate the PaaS resource with the above created profile $nspAssociation = @{ AssociationName = 'nsp-association' ResourceGroupName = $rgParams.name SecurityPerimeterName = $nsp.name AccessMode = 'Learning' ProfileId = $demoProfileNSP.Id PrivateLinkResourceId = $keyVault.ResourceID } New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-listMettez à jour l’association en remplaçant le mode d’accès par
enforcedavec la commandeUpdate-AzNetworkSecurityPerimeterAssociation, comme suit :# Update the association to enforce the access mode $updateAssociation = @{ AssociationName = $nspassociation.AssociationName ResourceGroupName = $rgParams.name SecurityPerimeterName = $nsp.name AccessMode = 'Enforced' } Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list
Gérer les règles d’accès au périmètre de sécurité réseau
Dans cette étape, vous créez, mettez à jour et supprimez les règles d’accès au périmètre de sécurité réseau avec des préfixes d’adresse IP publique.
# Create an inbound access rule for a public IP address prefix
$inboundRule = @{
Name = 'nsp-inboundRule'
ProfileName = $nspprofile.Name
ResourceGroupName = $rgParams.Name
SecurityPerimeterName = $nsp.Name
Direction = 'Inbound'
AddressPrefix = '192.0.2.0/24'
}
New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list
# Update the inbound access rule to add more public IP address prefixes
$updateInboundRule = @{
Name = $inboundrule.Name
ProfileName = $nspprofile.Name
ResourceGroupName = $rgParams.Name
SecurityPerimeterName = $nsp.Name
AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
}
Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list
Remarque
Si l’identité managée n’est pas affectée à la ressource qui la prend en charge, l’accès sortant aux autres ressources du même périmètre est refusé. Les règles de trafic entrant basées sur un abonnement, et qui visent à autoriser l’accès à partir de cette ressource, ne prennent pas effet.
Supprimer toutes les ressources
Lorsque vous n’avez plus besoin du périmètre de sécurité réseau, supprimez toutes les ressources associées au périmètre de sécurité réseau, supprimez le périmètre, puis supprimez le groupe de ressources.
# Retrieve the network security perimeter and place it in a variable
$nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name
# Delete the network security perimeter and all associated resources
$removeNsp = @{
Name = 'nsp-association'
ResourceGroupName = $rgParams.Name
SecurityPerimeterName = $nsp.Name
}
Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
# Remove the resource group
Remove-AzResourceGroup -Name $rgParams.Name -Force
Remarque
La suppression de votre association de ressources du périmètre de sécurité réseau entraîne le basculement du contrôle d’accès vers la configuration existante du pare-feu de ressources. Cela peut entraîner l’autorisation/le refus de l’accès en fonction de la configuration du pare-feu de ressources. Si PublicNetworkAccess a la valeur SecuredByPerimeter, et si l’association a été supprimée, la ressource passe à l’état verrouillé. Pour plus d’informations, consultez Transition vers un périmètre de sécurité réseau dans Azure.