Guia de início rápido: criar um perímetro de segurança de rede - CLI do Azure
Comece a usar o perímetro de segurança de rede criando um perímetro de segurança de rede para um cofre de chaves do Azure usando a CLI do Azure. Um perímetro de segurança de rede permite que os recursos PaaS (PaaS) do Azure se comuniquem dentro de um limite confiável explícito. Em seguida, crie e atualize uma associação de recursos PaaS em um perfil de perímetro de segurança de rede. Em seguida, você cria e atualiza as regras de acesso ao perímetro de segurança da rede. Quando terminar, exclua todos os recursos criados neste início rápido.
Importante
O Perímetro de Segurança de Rede está em pré-visualização pública e disponível em todas as regiões de nuvem pública do Azure. Esta versão de pré-visualização é disponibiliza sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.
Pré-requisitos
- Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
É necessário registar-se para a pré-visualização pública do Perímetro de Segurança de Rede do Azure. Para se registrar, adicione o sinalizador de
AllowNSPInPublicPreviewrecurso à sua assinatura.
Para obter mais informações sobre como adicionar sinalizadores de recursos, consulte Configurar recursos de visualização na assinatura do Azure.
Depois que o sinalizador de recurso for adicionado, você precisará registrar novamente o
Microsoft.Networkprovedor de recursos em sua assinatura.Para registar novamente o
Microsoft.Networkfornecedor de recursos no portal do Azure, selecione a sua subscrição e, em seguida, selecione Fornecedores de recursos.Microsoft.NetworkPesquise e selecione Registrar novamente.
Para registrar novamente o
Microsoft.Networkprovedor de recursos, use o seguinte comando do Azure PowerShell:
# Register the Microsoft.Network resource provider Register-AzResourceProvider -ProviderNamespace Microsoft.NetworkPara registrar novamente o
Microsoft.Networkprovedor de recursos, use o seguinte comando da CLI do Azure:# Register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Para obter mais informações sobre como registrar novamente os provedores de recursos, consulte Provedores e tipos de recursos do Azure.
- A CLI do Azure mais recente ou você pode usar o Azure Cloud Shell no portal.
- Este artigo requer a versão 2.38.0 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.
- Depois de atualizar para a versão mais recente da CLI do Azure, importe os comandos de perímetro de segurança de rede usando
az extension add --name nspo .
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
Conecte-se à sua conta do Azure e selecione sua assinatura
Para começar, conecte-se ao Azure Cloud Shell ou use seu ambiente CLI local.
Se estiver usando o Azure Cloud Shell, entre e selecione sua assinatura.
Se você instalou a CLI localmente, entre com o seguinte comando:
# Sign in to your Azure account az loginUma vez em seu shell, selecione sua assinatura ativa localmente com o seguinte comando:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Criar um grupo de recursos e um cofre de chaves
Antes de criar um perímetro de segurança de rede, você precisa criar um grupo de recursos e um recurso de cofre de chaves.
Este exemplo cria um grupo de recursos chamado resource-group no local WestCentralUS e um cofre de chaves chamado key-vault-YYYYDDMM no grupo de recursos com os seguintes comandos:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Criar um perímetro de segurança de rede
Nesta etapa, crie um perímetro de segurança de rede com o az network perimeter create comando.
Nota
Por favor, não coloque quaisquer dados pessoais identificáveis ou confidenciais nas regras de perímetro de segurança de rede ou outra configuração de perímetro de segurança de rede.
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
Criar e atualizar a associação de recursos de PaaS com um novo perfil
Nesta etapa, você cria um novo perfil e associa o recurso PaaS, o Cofre da Chave do Azure, ao perfil usando os az network perimeter profile create comandos and az network perimeter association create .
Nota
Para os --private-link-resource valores e --profile parâmetro, substitua <PaaSArmId> e <networkSecurityPerimeterProfileId> pelos valores do cofre de chaves e do ID do perfil, respectivamente.
Crie um novo perfil para o perímetro de segurança da rede com o seguinte comando:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeterAssocie o Cofre da Chave do Azure (recurso PaaS) ao perfil de perímetro de segurança de rede com os seguintes comandos.
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"Atualize a associação alterando o modo de acesso para imposto com o
az network perimeter association createcomando da seguinte maneira:az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
Gerenciar regras de acesso ao perímetro de segurança de rede
Nesta etapa, você cria, atualiza e exclui regras de acesso de perímetro de segurança de rede com prefixos de endereço IP público usando o az network perimeter profile access-rule comando.
Crie uma regra de acesso de entrada com um prefixo de endereço IP público para o perfil criado com o seguinte comando:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"Atualize sua regra de acesso de entrada com outro prefixo de endereço IP público com o seguinte comando:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"Se você precisar excluir uma regra de acesso, use o seguinte comando:
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
Nota
Se a identidade gerenciada não for atribuída ao recurso que a suporta, o acesso de saída a outros recursos dentro do mesmo perímetro será negado. As regras de entrada baseadas em subscrição destinadas a permitir o acesso a partir deste recurso não entrarão em vigor.
Eliminar todos os recursos
Para excluir um perímetro de segurança de rede e outros recursos neste início rápido, use os seguintes comandos:
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Nota
A remoção da associação de recursos do perímetro de segurança de rede resulta no retorno do controle de acesso à configuração de firewall de recursos existente. Isso pode resultar em acesso permitido/negado de acordo com a configuração do firewall de recursos. Se PublicNetworkAccess estiver definido como SecuredByPerimeter e a associação tiver sido excluída, o recurso entrará em um estado bloqueado. Para obter mais informações, consulte Transição para um perímetro de segurança de rede no Azure.