Delen via

Quickstart: Een netwerkbeveiligingsperimeter maken - Azure PowerShell

  • Artikel

Ga aan de slag met de netwerkbeveiligingsperimeter door een netwerkbeveiligingsperimeter te maken voor een Azure-sleutelkluis met behulp van Azure PowerShell. Met een netwerkbeveiligingsperimeter kunnen PaaS-resources (Platform as a Service) communiceren binnen een expliciete vertrouwde grens. U maakt en werkt de koppeling van een PaaS-resource in een perimeterprofiel voor netwerkbeveiliging bij. Vervolgens maakt en werkt u regels voor netwerkbeveiligingsperimetertoegang bij. Wanneer u klaar bent, verwijdert u alle resources die in deze quickstart zijn gemaakt.

Belangrijk

Netwerkbeveiligingsperimeter bevindt zich in openbare preview en is beschikbaar in alle openbare Azure-cloudregio's. Deze preview-versie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

Vereisten

  • Registratie voor de openbare preview van azure-netwerkbeveiligingsperimeter is vereist. Als u zich wilt registreren, voegt u de AllowNSPInPublicPreview functievlag toe aan uw abonnement. Schermopname van het toevoegen van de vlag voor de netwerkbeveiligingsperimeter aan een Azure-abonnement.

    Zie Preview-functies instellen in een Azure-abonnement voor meer informatie over het toevoegen van functievlagmen.

  • Nadat de functievlag is toegevoegd, moet u de Microsoft.Network resourceprovider opnieuw registreren in uw abonnement.

    • Als u de Microsoft.Network resourceprovider opnieuw wilt registreren in Azure Portal, selecteert u uw abonnement en selecteert u vervolgens Resourceproviders. Microsoft.Network Zoek en selecteer Opnieuw registreren.

      Schermopname van de herregistratie van de Microsoft.Network-resourceprovider in het abonnement.

    • Gebruik de volgende Azure PowerShell-opdracht om de Microsoft.Network resourceprovider opnieuw te registreren:

    # Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

    • Gebruik de volgende Azure CLI-opdracht om de Microsoft.Network resourceprovider opnieuw te registreren:

      # Register the Microsoft.Network resource provider
az provider register --namespace Microsoft.Network

    Zie Azure-resourceproviders en -typen voor meer informatie over het opnieuw registreren van resourceproviders.

  • De nieuwste versie van de Azure PowerShell-module met hulpprogramma's voor netwerkbeveiligingsperimeter.

    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Gebruik Az.Tools.Installer deze om de preview-build van het Az.Networkvolgende te installeren:

    # Install the preview build of the Az.Network module
Install-Module -Name Az.Tools.Installer -Repository PSGallery -allowprerelease -force

# List the current versions of the Az.Network module available in the PowerShell Gallery
Find-Module -Name Az.Network -Allversions -AllowPrerelease

# Install the preview build of the Az.Network module using the 

Install-AzModule -Name Az.Network -AllowPrerelease -Force
Install-AzModule -Path <previewVersionNumber>

    Notitie

    De preview-versie van de Az.Network-module is vereist voor het gebruik van netwerkbeveiligingsperimetermogelijkheden. De nieuwste versie van de Az.Network-module is beschikbaar in de PowerShell Gallery. Zoek naar de nieuwste versie die eindigt op -preview.

  • Als u ervoor kiest om Azure PowerShell lokaal te gebruiken:

  • Als u ervoor kiest om Azure Cloud Shell te gebruiken:

    • Zie Overzicht van Azure Cloud Shell voor meer informatie over Azure Cloud Shell.

  • Gebruik de Get-Help opdracht om hulp te krijgen bij de PowerShell-cmdlets:

    
# Get help for a specific command
get-help -Name <powershell-command> - full

# Example
get-help -Name New-AzNetworkSecurityPerimeter - full

Aanmelden bij uw Azure-account en uw abonnement selecteren

Meld u aan bij uw Azure-account om uw configuratie te starten:

# Sign in to your Azure account
Connect-AzAccount

Maak vervolgens verbinding met uw abonnement:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Een resourcegroep en sleutelkluis maken

Voordat u een netwerkbeveiligingsperimeter kunt maken, moet u een resourcegroep en een sleutelkluisresource maken.
In dit voorbeeld wordt een resourcegroep gemaakt met de naam test-rg op de locatie WestCentralUS en een sleutelkluis met de naam demo-keyvault-<RandomValue> in de resourcegroep met de volgende opdrachten:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Een netwerkbeveiligingsperimeter maken

In deze stap maakt u een netwerkbeveiligingsperimeter met de volgende New-AzNetworkSecurityPerimeter opdracht:

Notitie

Plaats geen persoonlijke of gevoelige gegevens in de perimeterregels voor netwerkbeveiliging of andere netwerkbeveiligingsperimeterconfiguraties.


# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Koppeling van PaaS-resources maken en bijwerken met een nieuw profiel

In deze stap maakt u een nieuw profiel en koppelt u de PaaS-resource, de Azure Key Vault aan het profiel met behulp van de New-AzNetworkSecurityPerimeterProfile en New-AzNetworkSecurityPerimeterAssociation opdrachten.

  1. Maak een nieuw profiel voor uw netwerkbeveiligingsperimeter met de volgende opdracht:

        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Koppel de Azure Key Vault (PaaS-resource) aan het perimeterprofiel voor netwerkbeveiliging met de volgende opdracht:

        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Werk de koppeling bij door de toegangsmodus enforced als volgt te wijzigen in met de Update-AzNetworkSecurityPerimeterAssociation opdracht:

        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Toegangsregels voor perimetertoegang voor netwerkbeveiliging beheren

In deze stap maakt, werkt u perimetertoegangsregels voor netwerkbeveiliging bij en verwijdert u deze met voorvoegsels voor openbare IP-adressen.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Notitie

Als beheerde identiteit niet is toegewezen aan de resource die deze ondersteunt, wordt uitgaande toegang tot andere resources binnen dezelfde perimeter geweigerd. Inkomende regels op basis van een abonnement die zijn bedoeld om toegang vanuit deze resource toe te staan, worden niet van kracht.

Alle resources verwijderen

Wanneer u de netwerkbeveiligingsperimeter niet meer nodig hebt, verwijdert u alle resources die zijn gekoppeld aan de netwerkbeveiligingsperimeter, verwijdert u de perimeter en verwijdert u vervolgens de resourcegroep.


    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Notitie

Als u de resourcekoppeling verwijdert uit de netwerkbeveiligingsperimeter, leidt dit tot toegangsbeheer dat terugvalt op de bestaande resourcefirewallconfiguratie. Dit kan ertoe leiden dat toegang wordt toegestaan/geweigerd volgens de configuratie van de resourcefirewall. Als PublicNetworkAccess is ingesteld op SecuredByPerimeter en de koppeling is verwijderd, wordt de resource vergrendeld. Zie Overgang naar een netwerkbeveiligingsperimeter in Azure voor meer informatie.

Volgende stappen

Diagnostische logboekregistratie voor Azure Network Security Perimeter