Compartilhar via

Início Rápido: criar um perímetro de segurança da rede – Azure PowerShell

  • Artigo

Comece a usar o perímetro de segurança da rede criando um perímetro de segurança da rede para um cofre de chaves do Azure usando o Azure PowerShell. Um perímetro de segurança da rede permite que os recursos da Plataforma como serviço (PaaS) do Azure se comuniquem dentro de um limite confiável explícito. Em seguida, crie e atualize uma associação de recursos da PaaS em um perfil do perímetro de segurança de rede. Em seguida, você cria e atualiza as regras de acesso do perímetro de segurança da rede. Quando terminar, você excluirá todos os recursos criados neste início rápido.

Importante

O Perímetro de Segurança da Rede está em visualização pública e está disponível em todas as regiões de nuvem pública do Azure. Essa versão prévia é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.

Pré-requisitos

  • O registro para a visualização pública do Perímetro de Segurança da Rede do Azure é necessário. Para se registrar, adicione o sinalizador de recurso AllowNSPInPublicPreview à sua assinatura. Captura de tela da adição do sinalizador de recurso de perímetro de segurança da rede à assinatura do Azure.

    Para obter mais informações sobre como adicionar sinalizadores de recursos, consulte Configurar versão prévia do recurso na assinatura do Azure.

  • Depois que o sinalizador de recurso for adicionado, você precisará registrar novamente o provedor de recursos Microsoft.Network em sua assinatura.

    • Para registrar novamente o provedor de recursos Microsoft.Network no portal do Azure, selecione sua assinatura e selecione Provedores de recursos. Pesquise Microsoft.Network e selecione Registrar novamente.

      Captura de tela do novo registro do provedor de recursos Microsoft.Network na assinatura.

    • Para registrar novamente o provedor de recursos Microsoft.Network, use o seguinte comando do Azure PowerShell:

    # Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

    • Para registrar novamente o provedor de recursos Microsoft.Network, use o seguinte comando da CLI do Azure:

      # Register the Microsoft.Network resource provider
az provider register --namespace Microsoft.Network

    Para obter mais informações sobre como registrar novamente provedores de recursos, consulte provedores e tipos de recursos do Azure.

  • A versão mais recente do módulo do Azure PowerShell com ferramentas para perímetro de segurança da rede.

    # Install the Az.Tools.Installer module    
Install-Module -Name Az.Tools.Installer -Repository PSGallery

  • Use Az.Tools.Installer para instalar a compilação de pré-visualização do Az.Network:

    # Install the preview build of the Az.Network module
Install-Module -Name Az.Tools.Installer -Repository PSGallery -allowprerelease -force

# List the current versions of the Az.Network module available in the PowerShell Gallery
Find-Module -Name Az.Network -Allversions -AllowPrerelease

# Install the preview build of the Az.Network module using the 

Install-AzModule -Name Az.Network -AllowPrerelease -Force
Install-AzModule -Path <previewVersionNumber>

    Observação

    A versão prévia do módulo Az.Network é necessária para usar recursos de perímetro de segurança da rede. A versão mais recente do módulo Az.Network está disponível na Galeria do PowerShell. Procure a versão mais recente que termina em -preview.

  • Se você optar por usar o Azure PowerShell localmente:

  • Se você optar por usar o Azure Cloud Shell:

  • Para obter ajuda com os cmdlets do PowerShell, use o comando Get-Help:

    
# Get help for a specific command
get-help -Name <powershell-command> - full

# Example
get-help -Name New-AzNetworkSecurityPerimeter - full

Entre na sua conta do Azure e selecione sua assinatura

Para iniciar sua configuração, entrar na sua conta do Azure:

# Sign in to your Azure account
Connect-AzAccount

Em seguida, conecte-se à sua assinatura:

# List all subscriptions
Set-AzContext -Subscription <subscriptionId>

# Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Criar um grupo de recursos e um cofre de chaves

Antes de criar um perímetro de segurança da rede, você precisa criar um grupo de recursos e um recurso do cofre de chaves.
Este exemplo cria um grupo de recursos chamado test-rg na localização WestCentralUS e um cofre de chaves chamado demo-keyvault-<RandomValue> no grupo de recursos com os seguintes comandos:

# Create a resource group
$rgParams = @{
    Name = "test-rg"
    Location = "westcentralus"
}
New-AzResourceGroup @rgParams

# Create a key vault
$keyVaultName = "demo-keyvault-$(Get-Random)"
$keyVaultParams = @{
    Name = $keyVaultName
    ResourceGroupName = $rgParams.Name
    Location = $rgParams.Location
}
$keyVault = New-AzKeyVault @keyVaultParams

Criar um perímetro de segurança da rede

Nesta etapa, crie um perímetro de segurança de rede com o seguinte comando New-AzNetworkSecurityPerimeter:

Observação

Não coloque dados pessoais identificáveis ou confidenciais nas regras de perímetro de segurança da rede ou em outra configuração de perímetro de segurança da rede.


# Create a network security perimeter
$nsp = @{ 
        Name = 'demo-nsp' 
        location = 'westcentralus' 
        ResourceGroupName = $rgParams.name  
        } 

$demoNSP=New-AzNetworkSecurityPerimeter @nsp
$nspId = $demoNSP.Id

Criar e atualizar a associação de recursos de PaaS com um novo perfil

Nesta etapa, você criará um novo perfil e associará o recurso de PaaS, o Azure Key Vault ao perfil usando os comandos New-AzNetworkSecurityPerimeterProfile e New-AzNetworkSecurityPerimeterAssociation.

  1. Crie um novo perfil para o seu perímetro de segurança da rede com o seguinte comando:

        # Create a new profile

    $nspProfile = @{ 
        Name = 'nsp-profile' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        }

    $demoProfileNSP=New-AzNetworkSecurityPerimeterProfile @nspprofile

  2. Associe o Azure Key Vault (recurso de PaaS) ao perfil de perímetro de segurança da rede com os comandos a seguir:

        # Associate the PaaS resource with the above created profile

    $nspAssociation = @{ 
        AssociationName = 'nsp-association' 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Learning'  
        ProfileId = $demoProfileNSP.Id 
        PrivateLinkResourceId = $keyVault.ResourceID
        }

    New-AzNetworkSecurityPerimeterAssociation @nspassociation | format-list

  3. Atualize a associação alterando o modo de acesso para enforced com o comando Update-AzNetworkSecurityPerimeterAssociation da seguinte maneira:

        # Update the association to enforce the access mode
    $updateAssociation = @{ 
        AssociationName = $nspassociation.AssociationName 
        ResourceGroupName = $rgParams.name 
        SecurityPerimeterName = $nsp.name 
        AccessMode = 'Enforced'
        }
    Update-AzNetworkSecurityPerimeterAssociation @updateAssociation | format-list

Gerenciar regras de acesso de perímetro de segurança da rede

Nesta etapa, você criará, atualizará e excluirá regras de acesso de perímetro de segurança da rede com prefixos de endereço IP.

    # Create an inbound access rule for a public IP address prefix
    $inboundRule = @{ 
        Name = 'nsp-inboundRule' 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        Direction = 'Inbound'  
        AddressPrefix = '192.0.2.0/24' 
        } 

    New-AzNetworkSecurityPerimeterAccessRule @inboundrule | format-list

    # Update the inbound access rule to add more public IP address prefixes
    $updateInboundRule = @{ 
        Name = $inboundrule.Name 
        ProfileName = $nspprofile.Name  
        ResourceGroupName = $rgParams.Name  
        SecurityPerimeterName = $nsp.Name  
        AddressPrefix = @('192.0.2.0/24','198.51.100.0/24')
        }
    Update-AzNetworkSecurityPerimeterAccessRule @updateInboundRule | format-list

Observação

Se a identidade gerenciada não for atribuída ao recurso que dá suporte a ela, o acesso de saída a outros recursos dentro do mesmo perímetro será negado. As regras de entrada baseadas em assinatura destinadas a permitir o acesso desse recurso não entrarão em vigor.

Excluir todos os recursos

Quando você não precisar mais do perímetro de segurança da rede, remova todos os recursos associados ao perímetro de segurança da rede, remova o perímetro e remova o grupo de recursos.


    # Retrieve the network security perimeter and place it in a variable
    $nsp= Get-AzNetworkSecurityPerimeter -Name demo-nsp -ResourceGroupName $rg.Params.Name

    # Delete the network security perimeter and all associated resources
    $removeNsp = @{ 
        Name = 'nsp-association'
        ResourceGroupName = $rgParams.Name
        SecurityPerimeterName = $nsp.Name
        }
    Remove-AzNetworkSecurityPerimeterAssociation @removeNsp
    
    Remove-AzNetworkSecurityPerimeter -Name $nsp.Name -ResourceGroupName $rgParams.Name
    
    # Remove the resource group
    Remove-AzResourceGroup -Name $rgParams.Name -Force

Observação

Remover a associação de recursos do perímetro de segurança da rede faz com que o controle de acesso retorne à configuração existente de firewall do recurso. Isso pode fazer com que o acesso seja permitido/negado de acordo com a configuração de firewal do recurso. Se PublicNetworkAccess estiver definido como SecuredByPerimeter e a associação for excluída, o recurso entrará em um estado bloqueado. Para obter mais informações, confira o artigo Transição para um perímetro de segurança da rede no Azure.

Próximas etapas

Registro em log dos diagnósticos para o perímetro de segurança da rede do Azure