Definiowanie hierarchii reguł przy użyciu zasad zapory platformy AzureUse Azure Firewall policy to define a rule hierarchy

Administratorzy zabezpieczeń muszą zarządzać zaporami i zapewnić zgodność między wdrożeniami lokalnymi i w chmurze.Security administrators need to manage firewalls and ensure compliance across on-premise and cloud deployments. Kluczowy składnik to możliwość zapewnienia zespołom aplikacji elastyczności w celu wdrożenia potoków ciągłej integracji/ciągłego tworzenia reguł zapory w zautomatyzowany sposób.A key component is the ability to provide application teams with flexibility to implement CI/CD pipelines to create firewall rules in an automated way.

Zasady zapory platformy Azure umożliwiają zdefiniowanie hierarchii reguł i Wymuszanie zgodności:Azure Firewall policy allows you to define a rule hierarchy and enforce compliance:

  • Udostępnia strukturę hierarchiczną do nakładania centralnych zasad podstawowych na nadrzędne zasady zespołu aplikacji.Provides a hierarchical structure to overlay a central base policy on top of a child application team policy. Zasady podstawowe mają wyższy priorytet i są uruchamiane przed zasadami podrzędnymi.The base policy has a higher priority and runs before the child policy.
  • Użyj definicji roli niestandardowej platformy Azure, aby zapobiec przypadkowemu usuwaniu zasad podstawowych i zapewnić selektywny dostęp do grup kolekcji reguł w ramach subskrypcji lub grupy zasobów.Use an Azure custom role definition to prevent inadvertent base policy removal and provide selective access to rule collection groups within a subscription or resource group.

Omówienie rozwiązaniaSolution overview

Poniżej przedstawiono ogólne kroki, które są następujące:The high-level steps for this example are:

  1. Utwórz podstawowe zasady zapory w grupie zasobów zespołu zabezpieczeń.Create a base firewall policy in the security team resource group.
  2. Zdefiniuj reguły specyficzne dla zabezpieczeń IT w zasadach podstawowych.Define IT security-specific rules in the base policy. Spowoduje to dodanie wspólnego zestawu reguł, aby zezwalać na ruch/odmawiać go.This adds a common set of rules to allow/deny traffic.
  3. Utwórz zasady zespołu aplikacji, które dziedziczą zasady podstawowe.Create application team policies that inherit the base policy.
  4. Zdefiniuj reguły specyficzne dla zespołu aplikacji w zasadach.Define application team-specific rules in the policy. Można również migrować reguły z istniejących wcześniej zapór.You can also migrate rules from pre-existing firewalls.
  5. Utwórz niestandardowe role Azure Active Directory, aby zapewnić szczegółowy dostęp do grupy kolekcji reguł i dodać role w zakresie zasad zapory.Create Azure Active Directory custom roles to provide fine grained access to rule collection group and add roles at a Firewall Policy scope. W poniższym przykładzie członkowie zespołu ds. sprzedaży mogą edytować grupy kolekcji reguł dla zasad zapory dla zespołów ds. sprzedaży.In the following example, Sales team members can edit rule collection groups for the Sales teams Firewall Policy. To samo dotyczy zespołów baz danych i inżynierów.The same applies to the Database and Engineering teams.
  6. Skojarz zasady z odpowiednią zaporą.Associate the policy to the corresponding firewall. Zapora platformy Azure może mieć tylko jedną przypisaną zasadę.An Azure firewall can have only one assigned policy. Wymaga to, aby każdy zespół aplikacji miał własną zaporę.This requires each application team to have their own firewall.

Zespoły i wymagania

Tworzenie zasad zaporyCreate the firewall policies

  • Podstawowe zasady zapory.A base firewall policy.

Utwórz zasady dla każdego zespołu aplikacji:Create policies for each of the application teams:

  • Zasady dotyczące zapory sprzedaży.A Sales firewall policy. Zasady zapory sprzedaży dziedziczą podstawowe zasady zapory.The Sales firewall policy inherits the base firewall policy.
  • Zasady zapory bazy danych.A Database firewall policy. Zasady zapory bazy danych dziedziczą podstawowe zasady zapory.The Database firewall policy inherits base firewall policy.
  • Zasady zapory inżynieryjnej.An Engineering firewall policy. Zasady zapory inżynieryjnej również dziedziczą podstawowe zasady zapory.The Engineering firewall policy also inherits the base firewall policy.

Hierarchia zasad

Tworzenie ról niestandardowych w celu uzyskania dostępu do grup kolekcji regułCreate custom roles to access the rule collection groups

Role niestandardowe są definiowane dla każdego zespołu aplikacji.Custom roles are defined for each application team. Rola definiuje operacje i zakres.The role defines operations and scope. Zespoły aplikacji mogą edytować grupy kolekcji reguł dla odpowiednich aplikacji.The application teams are allowed to edit rule collection groups for their respective applications.

Użyj poniższej procedury wysokiego poziomu, aby zdefiniować role niestandardowe:Use the following high-level procedure to define custom roles:

  1. Pobierz subskrypcję:Get the subscription:

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Uruchom następujące polecenie:Run the following command:

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Użyj polecenia Get-AzRoleDefinition, aby wyprowadzić rolę czytnika w formacie JSON.Use the Get-AzRoleDefinition command to output the Reader role in JSON format.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Otwórz ReaderSupportRole.jsw pliku w edytorze.Open the ReaderSupportRole.json file in an editor.

    Poniżej przedstawiono dane wyjściowe w formacie JSON.The following shows the JSON output. Aby uzyskać informacje o różnych właściwościach, zobacz role niestandardowe platformy Azure.For information about the different properties, see Azure custom roles.

   { 
     "Name": "Reader", 
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7", 
     "IsCustom": false, 
     "Description": "Lets you view everything, but not make any changes.", 
     "Actions": [ 
      "*/read" 
     ], 
     "NotActions": [], 
     "DataActions": [], 
     "NotDataActions": [], 
     "AssignableScopes": [ 
       "/" 
     ] 
   } 
  1. Edytuj plik JSON, aby dodaćEdit the JSON file to add the

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    Operacja do właściwości Actions   .operation to the Actions property. Pamiętaj o dodaniu przecinka po operacji odczytu.Be sure to include a comma after the read operation. Ta akcja umożliwia użytkownikowi tworzenie i aktualizowanie grup kolekcji reguł.This action allows the user to create and update rule collection groups.

  2. W programie AssignableScopes Dodaj swój identyfikator subskrypcji o następującym formacie:In AssignableScopes, add your subscription ID with the following format:

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    Musisz jawnie dodać identyfikatory subskrypcji, ponieważ w przeciwnym razie nie będzie można zaimportować roli do subskrypcji.You must add explicit subscription IDs, otherwise you won't be allowed to import the role into your subscription.

  3. Usuń ****   wiersz właściwości ID i zmień właściwość IsCustom   na wartość true.Delete the Id property line and change the IsCustom property to true.

  4. Zmień właściwości  nazwy   i  opisu   na autora grupy kolekcji reguł AZFM , a Użytkownicy w tej roli mogą edytować grupy kolekcji reguł zasad zaporyChange the  Name and  Description properties to AZFM Rule Collection Group Author and Users in this role can edit Firewall Policy rule collection groups

Plik JSON powinien wyglądać podobnie do poniższego przykładu:Your JSON file should look similar to the following example:

{ 

    "Name":  "AZFM Rule Collection Group Author", 
    "IsCustom":  true, 
    "Description":  "Users in this role can edit Firewall Policy rule collection groups", 
    "Actions":  [ 
                    "*/read", 
                    "Microsoft.Network/*/read", 
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write" 
                ], 
    "NotActions":  [ 
                   ], 
    "DataActions":  [ 
                    ], 
    "NotDataActions":  [ 
                       ], 
    "AssignableScopes":  [ 
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"] 
} 
  1. Aby utworzyć nową rolę niestandardową, użyj polecenia New-AzRoleDefinition i określ plik definicji roli JSON.To create the new custom role, use the New-AzRoleDefinition command and specify the JSON role definition file.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Wyświetlanie ról niestandardowychList custom roles

Aby wyświetlić listę wszystkich ról niestandardowych, można użyć Get-AzRoleDefinition polecenie:To list all the custom roles, you can use the Get-AzRoleDefinition command:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Role niestandardowe można także wyświetlić w Azure Portal.You can also see the custom roles in the Azure portal. Przejdź do subskrypcji, wybierz pozycję Kontrola dostępu (IAM), role.Go to your subscription, select Access control (IAM), Roles.

SalesAppPolicy

Uprawnienie do odczytu SalesAppPolicy

Aby uzyskać więcej informacji, zobacz Samouczek: tworzenie roli niestandardowej platformy Azure przy użyciu Azure PowerShell.For more information, see Tutorial: Create an Azure custom role using Azure PowerShell.

Dodawanie użytkowników do roli niestandardowejAdd users to the custom role

W portalu możesz dodać użytkowników do roli autorów grup kolekcji reguł AZFM i zapewnić dostęp do zasad zapory.On the portal, you can add users to the AZFM Rule Collection Group Authors role and provide access to the firewall policies.

  1. W portalu wybierz zasady zapory zespołu aplikacji (na przykład SalesAppPolicy).From the portal, select the Application team firewall policy (for example, SalesAppPolicy).
  2. Wybierz Access Control.Select Access Control.
  3. Wybierz pozycję Dodaj przypisanie roli.Select Add role assignment.
  4. Dodaj użytkowników/grupy użytkowników (na przykład zespół sprzedaży) do roli.Add users/user groups (for example, the Sales team) to the role.

Powtórz tę procedurę dla innych zasad zapory.Repeat this procedure for the other firewall policies.

PodsumowanieSummary

Zasady zapory z rolami niestandardowymi oferują teraz selektywny dostęp do grup kolekcji reguł zasad zapory.Firewall Policy with custom roles now provides selective access to firewall policy rule collection groups.

Użytkownicy nie mają uprawnień do:Users don’t have permissions to:

  • Usuń zaporę lub zasady zapory platformy Azure.Delete the Azure Firewall or firewall policy.
  • Aktualizowanie hierarchii zasad zapory lub ustawień DNS lub analizy zagrożeń.Update firewall policy hierarchy or DNS settings or threat intelligence.
  • Zaktualizuj zasady zapory, gdy nie są członkami grupy autora kolekcji reguł AZFM.Update firewall policy where they are not members of AZFM Rule Collection Group Author group.

Administratorzy zabezpieczeń mogą używać zasad podstawowych w celu wymuszania guardrails i blokowania niektórych typów ruchu (na przykład ICMP) zgodnie z wymaganiami przedsiębiorstwa.Security administrators can use base policy to enforce guardrails and block certain types of traffic (for example ICMP) as required by their enterprise.

Następne krokiNext steps

Dowiedz się więcej o zasadach zapory platformy Azure.Learn more about Azure Firewall policy.