Azure Firewall-beleid gebruiken om een regel hiërarchie te definiëren

Beveiligings beheerders moeten firewalls beheren en ervoor zorgen dat wordt voldaan aan on-premises en Cloud implementaties. Een belang rijk onderdeel is de mogelijkheid om toepassings teams te voorzien van flexibiliteit voor het implementeren van CI/CD-pijp lijnen om firewall regels op een geautomatiseerde manier te maken.

Met Azure Firewall-beleid kunt u een regel hiërarchie definiëren en naleving afdwingen:

  • Voorziet in een hiërarchische structuur voor het bedekken van een centraal basis beleid boven op een onderliggend toepassings team beleid. Het basis beleid heeft een hogere prioriteit en wordt uitgevoerd vóór het onderliggende beleid.
  • Gebruik een aangepaste functie definitie van Azure om te voor komen dat er onbedoeld basis beleid wordt verwijderd en geef selectieve toegang tot regel verzamelings groepen binnen een abonnement of resource groep op.

Oplossingenoverzicht

De stappen op hoog niveau voor dit voor beeld zijn:

  1. Maak een basis firewall-beleid in de resource groep van het beveiligings team.
  2. Definieer IT-beveiligings regels in het basis beleid. Hiermee voegt u een algemene set regels toe om verkeer toe te staan of te weigeren.
  3. Maak een toepassings team beleid dat het basis beleid overneemt.
  4. Definieer specifieke regels voor het toepassings team in het beleid. U kunt ook regels migreren van bestaande firewalls.
  5. Maak Azure Active Directory aangepaste rollen om nauw keurige toegang te bieden tot regel verzamelings groep en rollen toe te voegen aan het bereik van een firewall beleid. In het volgende voor beeld kunnen leden van het verkoop team regel verzamelings groepen bewerken voor het firewall beleid verkoop teams. Hetzelfde geldt voor de data base en technische teams.
  6. Koppel het beleid aan de bijbehorende firewall. Een Azure-firewall kan slechts één toegewezen beleid hebben. Hiervoor moet elk toepassings team een eigen firewall hebben.

Teams en vereisten

Het firewall beleid maken

  • Een base firewall-beleid.

Beleids regels maken voor elk van de toepassings teams:

  • Een Sales firewall-beleid. Het firewall beleid verkoop neemt het basis-firewall beleid over.
  • Een database firewall beleid. Het firewall beleid van de data base neemt het basis firewall beleid over.
  • Een engineering firewall-beleid. Het beleid van de technische firewall neemt ook het basis beleid voor firewalls over.

Beleids hiërarchie

Aangepaste rollen maken voor toegang tot de regel verzamelings groepen

Voor elk toepassings team worden aangepaste rollen gedefinieerd. De rol definieert bewerkingen en bereik. De toepassings teams mogen regel verzamelings groepen voor hun respectieve toepassingen bewerken.

Gebruik de volgende procedure op hoog niveau om aangepaste rollen te definiëren:

  1. Het abonnement ophalen:

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Voer de volgende opdracht uit:

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Gebruik de Get-AzRoleDefinition opdracht om de rol van lezer in JSON-indeling uit te voeren.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Open de ReaderSupportRole.jsvoor het bestand in een editor.

    Hieronder ziet u de JSON-uitvoer. Zie voor meer informatie over de verschillende eigenschappen Azure aangepaste rollen.

   { 
     "Name": "Reader", 
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7", 
     "IsCustom": false, 
     "Description": "Lets you view everything, but not make any changes.", 
     "Actions": [ 
      "*/read" 
     ], 
     "NotActions": [], 
     "DataActions": [], 
     "NotDataActions": [], 
     "AssignableScopes": [ 
       "/" 
     ] 
   } 
  1. Bewerk het JSON-bestand om het toe te voegen 

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    bewerking naar de eigenschap Actions   . Vergeet niet om een komma toe te voegen na de read-bewerking. Met deze actie kan de gebruiker regel verzamelings groepen maken en bijwerken.

  2. Voeg in AssignableScopes uw abonnements-id toe met de volgende indeling: 

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    U moet expliciete abonnement-id's toevoegen, anders is het niet mogelijk om de rol in uw abonnement te importeren.

  3. Verwijder de regel voor de id-   eigenschap en wijzig de eigenschap IsCustom   in True.

  4. Wijzig de  ****   Eigenschappen van de naam en  Beschrijving in de   AZFM- regel verzamelings groep Auteur en gebruikers met deze rol kunnen Firewall beleids regel verzamelings groepen bewerken

Het JSON-bestand moet er ongeveer uitzien als in het volgende voor beeld:

{ 

    "Name":  "AZFM Rule Collection Group Author", 
    "IsCustom":  true, 
    "Description":  "Users in this role can edit Firewall Policy rule collection groups", 
    "Actions":  [ 
                    "*/read", 
                    "Microsoft.Network/*/read", 
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write" 
                ], 
    "NotActions":  [ 
                   ], 
    "DataActions":  [ 
                    ], 
    "NotDataActions":  [ 
                       ], 
    "AssignableScopes":  [ 
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"] 
} 
  1. Als u de nieuwe aangepaste rol wilt maken, gebruikt u de opdracht New-AzRoleDefinition en geeft u het definitie bestand van de JSON-rol op.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Aangepaste rollen opvragen

U kunt de Get-AzRoleDefinition opdracht gebruiken om alle aangepaste rollen weer te geven:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

U kunt ook de aangepaste rollen bekijken in de Azure Portal. Ga naar uw abonnement en selecteer toegangs beheer (IAM), rollen.

SalesAppPolicy

Lees machtiging SalesAppPolicy

Zie zelf studie: een aangepaste Azure-rol maken met Azure PowerShellvoor meer informatie.

Gebruikers toevoegen aan de aangepaste rol

In de portal kunt u gebruikers toevoegen aan de rol groep auteurs van AZFM regel en toegang verlenen tot het firewall beleid.

  1. Selecteer in de portal het toepassings team firewall beleid (bijvoorbeeld SalesAppPolicy).
  2. Selecteer Access Control.
  3. Selecteer Roltoewijzing toevoegen.
  4. Voeg gebruikers/gebruikers groepen (bijvoorbeeld het verkoop team) toe aan de rol.

Herhaal deze procedure voor het andere firewall beleid.

Samenvatting

Het firewall beleid met aangepaste rollen biedt nu selectieve toegang tot de verzamelings groepen firewall beleidsregel.

Gebruikers hebben geen machtigingen voor het volgende:

  • Verwijder het Azure Firewall-of firewall-beleid.
  • De hiërarchie van firewall beleid of DNS-instellingen of bedreigings informatie bijwerken.
  • Update het firewall beleid waarbij deze niet lid zijn van de groep AZFM.

Beveiligings beheerders kunnen basis beleid gebruiken om Guardrails af te dwingen en bepaalde soorten verkeer te blok keren (bijvoorbeeld ICMP) zoals vereist door hun bedrijf.

Volgende stappen

Meer informatie over Azure firewall-beleid.