Het blauwdrukvoorbeeld voor Azure Security Benchmark Foundation implementeren
Belangrijk
Op 11 juli 2026 worden Blauwdrukken (preview) afgeschaft. Migreer uw bestaande blauwdrukdefinities en -toewijzingen naar sjabloonspecificaties en implementatiestacks. Blauwdrukartefacten moeten worden geconverteerd naar ARM JSON-sjablonen of Bicep-bestanden die worden gebruikt om implementatiestacks te definiëren. Zie voor meer informatie over het ontwerpen van een artefact als een ARM-resource:
Als u het blauwdrukvoorbeeld Azure Security Benchmark Foundation wilt implementeren, moet u de volgende stappen uitvoeren:
- Een nieuwe blauwdruk maken op basis van het voorbeeld
- Uw kopie van het voorbeeld markeren als Gepubliceerd
- Uw kopie van de blauwdruk toewijzen aan een bestaand abonnement
Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.
Een blauwdruk maken op basis van een voorbeeld
Implementeer eerst het blauwdrukvoorbeeld door een nieuwe blauwdruk in uw omgeving te maken op basis van het voorbeeld.
Selecteer Alle services in het linkerdeelvenster. Zoek en selecteer Blauwdrukken.
Op de pagina Aan de slag aan de linkerkant selecteert u de knop Maken onder Een blauwdruk maken.
Zoek het blauwdrukvoorbeeld Azure Security Benchmark Foundation onder Andere voorbeelden en selecteer Dit voorbeeld gebruiken.
Voer de Basisinstellingen van het blauwdrukvoorbeeld in:
- Naam van blauwdruk: geef een naam op voor uw exemplaar van het blauwdrukvoorbeeld Azure Security Benchmark Foundation.
- Definitielocatie: Gebruik het weglatingsteken en selecteer de beheergroep waarin u uw kopie van het voorbeeld wilt opslaan.
Selecteer het tabblad Artefacten boven aan de pagina of kies Volgende: Artefacten onder aan de pagina.
Controleer de lijst met artefacten die samen het blauwdrukvoorbeeld vormen. Veel van de artefacten bevatten parameters die we later zullen definiëren. Selecteer Concept opslaan wanneer u klaar bent met het controleren van het blauwdrukvoorbeeld.
De voorbeeldkopie publiceren
Uw kopie van het blauwdrukvoorbeeld is nu gemaakt in uw omgeving. De kopie is gemaakt in de Concept-modus en moet worden Gepubliceerd voordat deze kan worden toegewezen en geïmplementeerd. De kopie van het blauwdrukvoorbeeld kan worden aangepast aan uw omgeving en behoeften, maar door deze wijziging wordt deze mogelijk verwijderd van de Azure Security Benchmark Foundation-blauwdruk.
Selecteer Alle services in het linkerdeelvenster. Zoek en selecteer Blauwdrukken.
Selecteer de pagina Blauwdrukdefinities aan de linkerkant. Gebruik de filters om uw kopie van het blauwdrukvoorbeeld te zoeken en selecteer vervolgens uw kopie.
Selecteer Blauwdruk publiceren boven aan de pagina. Op de nieuwe pagina aan de rechterkant geeft u een Versie voor uw kopie van het blauwdrukvoorbeeld op. Deze eigenschap is handig als u later een aanpassing wilt maken. Geef wijzigingsnotities op, zoals 'Eerste gepubliceerde versie op basis van het blauwdrukvoorbeeld Azure Security Benchmark Foundation'. Selecteer vervolgens Publiceren onderaan de pagina.
De voorbeeldkopie toewijzen
Zodra de kopie van het blauwdrukvoorbeeld is Gepubliceerd, kan het worden toegewezen aan een abonnement binnen de beheergroep waarin de kopie is opgeslagen. Dit is de stap waarin parameters worden opgegeven om elke implementatie van de kopie van het blauwdrukvoorbeeld uniek te maken.
Selecteer Alle services in het linkerdeelvenster. Zoek en selecteer Blauwdrukken.
Selecteer de pagina Blauwdrukdefinities aan de linkerkant. Gebruik de filters om uw kopie van het blauwdrukvoorbeeld te zoeken en selecteer vervolgens uw kopie.
Selecteer Blauwdruk toewijzen boven aan de pagina Blauwdrukdefinitie.
Geef de parameterwaarden op voor de blauwdruktoewijzing:
Basisbeginselen
- Abonnementen: Selecteer een of meer van de abonnementen in de beheergroep waarin u uw kopie van het blauwdrukvoorbeeld hebt opgeslagen. Als u meer dan één abonnement selecteert, wordt een toewijzing gemaakt voor elk abonnement waarvoor de ingevoerde parameters worden gebruikt.
- Naam van toewijzing: De naam wordt vooraf voor u ingevuld op basis van de naam van de blauwdruk. Wijzig de naam als dat nodig is of gebruik de opgegeven naam.
- Locatie: Selecteer een regio waarin u de beheerde identiteit wilt maken.
- Azure Blueprints gebruikt deze beheerde identiteit om alle artefacten in de toegewezen blauwdruk te implementeren. Zie Beheerde identiteiten voor Azure-resources voor meer informatie.
- Blauwdrukdefinitieversie: Kies een gepubliceerde versie van uw kopie van het blauwdrukvoorbeeld.
Toewijzing vergrendelen
Selecteer de instelling voor het vergrendelen van de blauwdruk voor uw omgeving. Zie voor meer informatie Vergrendeling van blauwdrukresources.
Beheerde identiteit
Kies de standaardoptie voor de door het systeem toegewezen beheerde identiteit of de optie voor de door de gebruiker toegewezen identiteit.
Blauwdrukparameters
De parameters die in deze sectie worden gedefinieerd, worden door veel van de artefacten in de definitie van de blauwdruk gebruikt om consistentie te bieden.
- Voorvoegsel voor resources en resourcegroepen: deze tekenreeks wordt gebruikt als voorvoegsel voor alle resource- en resourcegroepnamen
- Hubnaam: naam voor de hub
- Logboekretentie (dagen): het aantal dagen dat logboeken worden bewaard; als u '0' invoert, worden logboeken voor onbepaalde tijd bewaard
- Hub implementeren: voer 'true' of 'false' in om op te geven of de toewijzing de hubonderdelen van de architectuur implementeert
- Hublocatie: locatie voor de hubresourcegroep
- Doel-IP-adressen: doel-IP-adressen voor uitgaande connectiviteit; Door komma's gescheiden lijst met IP-adressen of IP-bereikvoorvoegsels
- Network Watcher naam: naam voor de Network Watcher-resource
- naam van resourcegroep Network Watcher: naam voor de Network Watcher resourcegroep
- DDoS-beveiliging inschakelen: voer 'true' of 'false' in om op te geven of DDoS Protection al dan niet is ingeschakeld in het virtuele netwerk
Notitie
Als Network Watcher al is ingeschakeld, is het raadzaam de bestaande Network Watcher resourcegroep te gebruiken. U moet ook de locatie opgeven voor de bestaande Network Watcher resourcegroep voor de parameter artefact Network Watcher locatie van de resourcegroep.
Artefactparameters
De parameters die in deze sectie worden gedefinieerd, zijn van toepassing op het artefact waaronder de parameter is gedefinieerd. Deze parameters zijn dynamische parameters, aangezien ze zijn gedefinieerd tijdens de toewijzing van de blauwdruk. Zie de tabel met artefactparameters voor een volledige lijst met artefactparameters en hun beschrijvingen.
Zodra alle parameters zijn ingevoerd, selecteert u Toewijzen onder aan de pagina. De blauwdruktoewijzing wordt gemaakt en de implementatie van het artefact begint. De implementatie duurt circa één uur. Open de blauwdruktoewijzing om de status van de implementatie te controleren.
Waarschuwing
De Azure Blueprints-service en de ingebouwde blauwdrukvoorbeelden zijn gratis. Azure-resources zijn geprijsd per product. Gebruik de prijscalculator om de kosten te schatten voor het uitvoeren van resources die door dit blauwdrukvoorbeeld zijn geïmplementeerd.
Tabel met artefactparameters
De volgende tabel bevat een lijst met de blauwdrukparameters:
| Naam van het artefact | Type artefact | Parameternaam | Beschrijving |
|---|---|---|---|
| Hub-resourcegroep | Resourcegroep | Naam van de resourcegroep | Vergrendeld: voegt het voorvoegsel samen met de naam van de hub |
| Hub-resourcegroep | Resourcegroep | Resourcegroeplocatie | Vergrendeld - Maakt gebruik van hublocatie |
| Sjabloon voor Azure Firewall | Resource Manager-sjabloon | Azure Firewall privé-IP-adres | |
| Sjabloon voor Azure Log Analytics en diagnostische gegevens | Resource Manager-sjabloon | Locatie van Log Analytics-werkruimte | Locatie waar de Log Analytics-werkruimte wordt gemaakt; uitvoeren Get-AzLocation | Where-Object Providers -like 'Microsoft.OperationalInsights' | Select DisplayName in Azure PowersShell om beschikbare regio's te bekijken |
| Sjabloon voor Azure Log Analytics en diagnostische gegevens | Resource Manager-sjabloon | Azure Automation account-id (optioneel) | Resource-id van Automation-account; wordt gebruikt om een gekoppelde service te maken tussen Log Analytics en een Automation-account |
| Sjabloon voor Azure-netwerkbeveiligingsgroep | Resource Manager-sjabloon | NSG-stroomlogboeken inschakelen | Voer 'true' of 'false' in om NSG-stroomlogboeken in of uit te schakelen |
| Azure Virtual Network hub-sjabloon | Resource Manager-sjabloon | Adresvoorvoegsel van virtueel netwerk | Virtueel netwerkadresvoorvoegsel voor virtueel hubnetwerk |
| Azure Virtual Network hub-sjabloon | Resource Manager-sjabloon | Adresvoorvoegsel van firewallsubnet | Adresvoorvoegsel van firewallsubnet voor virtueel hubnetwerk |
| Azure Virtual Network hub-sjabloon | Resource Manager-sjabloon | Bastion-subnetadresvoorvoegsel | Bastion-subnetadresvoorvoegsel voor virtueel hubnetwerk |
| Azure Virtual Network hub-sjabloon | Resource Manager-sjabloon | Adresvoorvoegsel van gatewaysubnet | Gatewaysubnetadresvoorvoegsel voor virtueel hubnetwerk |
| Azure Virtual Network hub-sjabloon | Resource Manager-sjabloon | Adresvoorvoegsel van beheersubnet | Beheersubnetadresvoorvoegsel voor virtueel hubnetwerk |
| Azure Virtual Network hub-sjabloon | Resource Manager-sjabloon | Adresvoorvoegsel van jumpbox-subnet | Adresvoorvoegsel van het jumpbox-subnet voor het virtuele netwerk van de hub |
| Azure Virtual Network hub-sjabloon | Resource Manager-sjabloon | Subnetadresnamen (optioneel) | Matrix van subnetnamen die moeten worden geïmplementeerd in het virtuele hubnetwerk; bijvoorbeeld 'subnet1','subnet2' |
| Azure Virtual Network hub-sjabloon | Resource Manager-sjabloon | Subnetadresvoorvoegsels (optioneel) | Matrix van IP-adresvoorvoegsels voor optionele subnetten voor het virtuele hubnetwerk; bijvoorbeeld "10.0.7.0/24","10.0.8.0/24" |
| Spoke-resourcegroep | Resourcegroep | Naam van de resourcegroep | Vergrendeld : voegt voorvoegsel samen met spoke-naam |
| Spoke-resourcegroep | Resourcegroep | Resourcegroeplocatie | Vergrendeld - Maakt gebruik van hublocatie |
| Azure Virtual Network spoke-sjabloon | Resource Manager-sjabloon | Spoke implementeren | Voer 'true' of 'false' in om op te geven of de toewijzing de spoke-onderdelen van de architectuur implementeert |
| Azure Virtual Network spoke-sjabloon | Resource Manager-sjabloon | Hub-abonnements-id | Abonnements-id waar de hub is geïmplementeerd; standaardwaarde is het abonnement waarin de blauwdrukdefinitie zich bevindt |
| Azure Virtual Network spoke-sjabloon | Resource Manager-sjabloon | Spoke-naam | Naam van de spoke |
| Azure Virtual Network spoke-sjabloon | Resource Manager-sjabloon | Voorvoegsel van adres voor virtueel netwerk | Virtual Network adresvoorvoegsel voor virtueel spoke-netwerk |
| Azure Virtual Network spoke-sjabloon | Resource Manager-sjabloon | Subnetadresvoorvoegsel | Subnetadresvoorvoegsel voor virtueel spoke-netwerk |
| Azure Virtual Network spoke-sjabloon | Resource Manager-sjabloon | Subnetadresnamen (optioneel) | Matrix van subnetnamen die moeten worden geïmplementeerd in het virtuele spoke-netwerk; bijvoorbeeld 'subnet1','subnet2' |
| Azure Virtual Network spoke-sjabloon | Resource Manager-sjabloon | Subnetadresvoorvoegsels (optioneel) | Matrix van IP-adresvoorvoegsels voor optionele subnetten voor het virtuele spoke-netwerk; bijvoorbeeld "10.0.7.0/24","10.0.8.0/24" |
| Azure Virtual Network spoke-sjabloon | Resource Manager-sjabloon | Spoke implementeren | Voer 'true' of 'false' in om op te geven of de toewijzing de spoke-onderdelen van de architectuur implementeert |
| Azure Network Watcher-sjabloon | Resource Manager-sjabloon | Network Watcher locatie | Locatie voor de Network Watcher-resource |
| Azure Network Watcher-sjabloon | Resource Manager-sjabloon | locatie van Network Watcher resourcegroep | Als Network Watcher al is ingeschakeld, moet deze parameterwaarde overeenkomen met de locatie van de bestaande Network Watcher resourcegroep. |
Problemen oplossen
Als de fout The resource group 'NetworkWatcherRG' failed to deploy due to the following error: Invalid resource group location '{location}'. The Resource group already exists in location '{location}'.optreedt, controleert u of de naam van de blauwdrukparameter Network Watcher resourcegroep de naam van de bestaande Network Watcher resourcegroep opgeeft en of de artefactparameter Network Watcher locatie van de resourcegroep de bestaande Network Watcher locatie van resourcegroep.
Volgende stappen
Nu u de stappen voor het implementeren van het blauwdrukvoorbeeld van Azure Security Benchmark Foundation hebt bekeken, gaat u naar het volgende artikel voor meer informatie over de architectuur:
Aanvullende artikelen over blauwdrukken en het gebruik hiervan:
- Meer informatie over de levenscyclus van een blauwdruk.
- Meer informatie over hoe u statische en dynamische parameters gebruikt.
- Meer informatie over hoe u de blauwdrukvolgorde aanpast.
- Meer informatie over hoe u gebruikmaakt van resourcevergrendeling in blauwdrukken.
- Meer informatie over hoe u bestaande toewijzingen bijwerkt.