Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Comece a usar o perímetro de segurança de rede criando um perímetro de segurança de rede para um Cofre de Chaves do Azure usando a CLI do Azure. Um perímetro de segurança de rede permite que os recursos PaaS (PaaS) do Azure se comuniquem dentro de um limite confiável explícito. Em seguida, crie e atualize uma associação de recursos PaaS em um perfil de perímetro de segurança de rede. Em seguida, você cria e atualiza as regras de acesso ao perímetro de segurança da rede. Quando terminar, exclua todos os recursos criados neste início rápido.
Importante
O perímetro de segurança de rede está agora geralmente disponível em todas as regiões de cloud pública do Azure e nas regiões do Azure Government (US Gov Virginia, US Gov Texas, US Gov Arizona, US DoD East e US DoD Central). Para obter informações sobre os serviços suportados, consulte Recursos de ligação privada integrados para os serviços PaaS suportados.
Prerequisites
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- A CLI mais recente do Azure, ou pode usar o Azure Cloud Shell no portal.
- Este artigo requer a versão 2.38.0 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.
- Depois de atualizar para a versão mais recente da CLI do Azure, importe os comandos do perímetro de segurança da rede usando
az extension add --name nsp.
Conecte-se à sua conta do Azure e selecione sua assinatura
Para começar, conecte-se ao Azure Cloud Shell ou use seu ambiente CLI local.
Se estiver usando o Azure Cloud Shell, entre e selecione sua assinatura.
Se você instalou a CLI localmente, entre com o seguinte comando:
# Sign in to your Azure account az loginUma vez em seu shell, selecione sua assinatura ativa localmente com o seguinte comando:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Criar um grupo de recursos e um cofre de chaves
Antes de criar um perímetro de segurança de rede, você precisa criar um grupo de recursos e um recurso de cofre de chaves com az group create e az keyvault create.
Este exemplo cria um grupo de recursos chamado resource-group no local WestCentralUS e um cofre de chaves chamado key-vault-YYYYDDMM no grupo de recursos com os seguintes comandos:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Criar um perímetro de segurança de rede
Nesta etapa, crie um perímetro de segurança de rede com o comando az network perimeter create .
Nota
Não coloque dados pessoais identificáveis ou confidenciais nas regras de perímetro de segurança de rede ou em outra configuração de perímetro de segurança de rede.
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
Criar e atualizar a associação de recursos de PaaS com um novo perfil
Nesta etapa, você cria um novo perfil e associa o recurso PaaS, o Cofre da Chave do Azure ao perfil usando os comandos az network perimeter profile create e az network perimeter association create .
Nota
Para os valores de --private-link-resource e o parâmetro --profile, substitua <PaaSArmId> pelo valor do cofre de chaves e <networkSecurityPerimeterProfileId> pelo ID do perfil, respectivamente.
Crie um novo perfil para o perímetro de segurança da rede com o seguinte comando:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeterAssocie o Cofre da Chave do Azure (recurso PaaS) ao perfil de perímetro de segurança de rede com os seguintes comandos.
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"Atualize a associação alterando o modo de acesso para forçado com o comando az network perimeter association create da seguinte maneira:
az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
Gerenciar regras de acesso ao perímetro de segurança de rede
Nesta etapa, você cria, atualiza e exclui regras de acesso de perímetro de segurança de rede com prefixos de endereço IP público usando o comando az network perimeter profile access-rule create .
Crie uma regra de acesso de entrada com um prefixo de endereço IP público para o perfil criado com o seguinte comando:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"Atualize sua regra de acesso de entrada com outro prefixo de endereço IP público com o seguinte comando:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"Se você precisar excluir uma regra de acesso, use o comando az network perimeter profile access-rule delete :
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
Nota
É necessário ativar uma Identidade Gerida (MI) para suportar a comunicação intra-perímetro entre recursos. Embora algumas funcionalidades para certos recursos (por exemplo, as funcionalidades do SQL do Azure que usam comunicação backend SQL-to-SQL gerida por plataforma) possam continuar a funcionar sem um MI, é fortemente recomendado permitir para garantir acesso seguro dentro do mesmo perímetro ou através de perímetros ligados.
Eliminar todos os recursos
Para excluir um perímetro de segurança de rede e outros recursos neste início rápido, use os seguintes comandos az network perimeter :
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Nota
A remoção da associação do seu recurso do perímetro de segurança de rede leva ao retorno do controle de acesso à configuração atual do firewall de recursos. Isso pode resultar em acesso permitido/negado de acordo com a configuração do firewall de recursos. Se PublicNetworkAccess estiver definido como SecuredByPerimeter e a associação tiver sido excluída, o recurso entrará em um estado bloqueado. Para obter mais informações, consulte Transição para um perímetro de segurança de rede no Azure.