Definiowanie hierarchii reguł przy użyciu zasad usługi Azure Firewall

  • Artykuł

Administratorzy zabezpieczeń muszą zarządzać zaporami i zapewnić zgodność we wdrożeniach lokalnych i w chmurze. Kluczowym składnikiem jest możliwość zapewnienia zespołom aplikacji elastyczności implementowania potoków ciągłej integracji/ciągłego wdrażania w celu automatycznego tworzenia reguł zapory.

Zasady usługi Azure Firewall umożliwiają definiowanie hierarchii reguł i wymuszanie zgodności:

  • Zapewnia hierarchiczną strukturę nakładania centralnych zasad bazowych na zasady podrzędnego zespołu aplikacji. Zasady podstawowe mają wyższy priorytet i są uruchamiane przed zasadami podrzędnym.
  • Użyj niestandardowej definicji roli platformy Azure, aby zapobiec niezamierzonemu usunięciu zasad podstawowych i zapewnić selektywny dostęp do grup kolekcji reguł w ramach subskrypcji lub grupy zasobów.

Omówienie rozwiązania

Ogólne kroki dla tego przykładu to:

  1. Utwórz podstawowe zasady zapory w grupie zasobów zespołu zabezpieczeń.
  2. Zdefiniuj reguły specyficzne dla zabezpieczeń IT w zasadach podstawowych. Spowoduje to dodanie wspólnego zestawu reguł zezwalania na ruch i odmawiania go.
  3. Utwórz zasady zespołu aplikacji, które dziedziczą podstawowe zasady.
  4. Zdefiniuj reguły specyficzne dla zespołu aplikacji w zasadach. Reguły można również migrować ze wstępnie istniejących zapór.
  5. Utwórz role niestandardowe firmy Microsoft Entra, aby zapewnić precyzyjny dostęp do grupy kolekcji reguł i dodać role w zakresie zasad zapory. W poniższym przykładzie członkowie zespołu ds. sprzedaży mogą edytować grupy kolekcji reguł dla zasad zapory zespołów sprzedaży. Dotyczy to również zespołów ds. baz danych i inżynierów.
  6. Skojarz zasady z odpowiednią zaporą. Zapora platformy Azure może mieć tylko jedno przypisane zasady. Wymaga to, aby każdy zespół aplikacji miał własną zaporę.

Teams and requirements

Tworzenie zasad zapory

  • Podstawowe zasady zapory.

Utwórz zasady dla każdego z zespołów aplikacji:

  • Zasady zapory Sales. Zasady zapory Sales dziedziczą podstawowe zasady zapory.
  • Zasady zapory bazy danych. Zasady zapory bazy danych dziedziczą podstawowe zasady zapory.
  • Zasady zapory inżynieryjnej. Zasady zapory inżynieryjnej dziedziczą również podstawowe zasady zapory.

Policy hierarchy

Tworzenie ról niestandardowych w celu uzyskania dostępu do grup kolekcji reguł

Role niestandardowe są definiowane dla każdego zespołu aplikacji. Rola definiuje operacje i zakres. Zespoły aplikacji mogą edytować grupy kolekcji reguł dla odpowiednich aplikacji.

Aby zdefiniować role niestandardowe, użyj następującej procedury wysokiego poziomu:

  1. Pobierz subskrypcję.

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Uruchom następujące polecenie:

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Użyj polecenia Get-AzRoleDefinition w celu wygenerowania roli Czytelnik w formacie JSON.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Otwórz plik ReaderSupportRole.json w edytorze.

    Oto dane wyjściowe JSON. Aby uzyskać informacje o różnych właściwościach, zobacz Role niestandardowe platformy Azure.

   {
     "Name": "Reader",
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
     "IsCustom": false,
     "Description": "Lets you view everything, but not make any changes.",
     "Actions": [
      "*/read"
     ],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/"
     ]
   }

  1. Edytuj plik JSON, aby dodać plik

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    operacja do właściwości Actions . Pamiętaj o dodaniu przecinka po operacji odczytu. Ta akcja umożliwia użytkownikowi tworzenie i aktualizowanie grup kolekcji reguł.

  2. W obszarze AssignableScopes dodaj swój identyfikator subskrypcji z następującym formatem. 

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    Musisz dodać jawne identyfikatory subskrypcji. W przeciwnym razie nie możesz zaimportować roli do subskrypcji.

  3. Usuń wiersz właściwości Id i zmień właściwość IsCustom na true.

  4. Zmień właściwości Name and Description na AZFM Rule Collection Group Author (Autor grupy kolekcji reguł programu AZFM) i Users (Użytkownicy) w tej roli mogą edytować grupy kolekcji reguł zapory

Plik JSON powinien wyglądać podobnie do poniższego przykładu:

{

    "Name":  "AZFM Rule Collection Group Author",
    "IsCustom":  true,
    "Description":  "Users in this role can edit Firewall Policy rule collection groups",
    "Actions":  [
                    "*/read",
                    "Microsoft.Network/*/read",
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write"
                ],
    "NotActions":  [
                   ],
    "DataActions":  [
                    ],
    "NotDataActions":  [
                       ],
    "AssignableScopes":  [
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"]
}

  1. Aby utworzyć nową rolę niestandardową, użyj polecenia New-AzRoleDefinition i określ plik definicji roli JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Wyświetlanie ról niestandardowych

Aby wyświetlić listę wszystkich ról niestandardowych, możesz użyć polecenia Get-AzRoleDefinition:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Role niestandardowe można również wyświetlić w witrynie Azure Portal. Przejdź do subskrypcji, wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) i Role.

SalesAppPolicy

SalesAppPolicy read permission

Aby uzyskać więcej informacji, zobacz Samouczek: tworzenie roli niestandardowej platformy Azure przy użyciu programu Azure PowerShell.

Dodawanie użytkowników do roli niestandardowej

W portalu można dodawać użytkowników do roli Autorów grup kolekcji reguł programu AZFM i zapewniać dostęp do zasad zapory.

  1. W portalu wybierz zasady zapory zespołu aplikacji (na przykład SalesAppPolicy).
  2. Wybierz pozycję Kontrola dostępu.
  3. Wybierz pozycję Dodaj przypisanie roli.
  4. Dodaj użytkowników/grupy użytkowników (na przykład zespół ds. sprzedaży) do roli.

Powtórz tę procedurę dla innych zasad zapory.

Podsumowanie

Zasady zapory z rolami niestandardowymi zapewniają teraz selektywny dostęp do grup kolekcji reguł zasad zapory.

Użytkownicy nie mają uprawnień do:

  • Usuń zasady usługi Azure Firewall lub zapory.
  • Zaktualizuj hierarchię zasad zapory lub ustawienia DNS lub analizę zagrożeń.
  • Zaktualizuj zasady zapory, w których nie są członkami grupy autorów grupy kolekcji reguł azFM.

Administratorzy zabezpieczeń mogą używać zasad podstawowych do wymuszania barier zabezpieczających i blokowania niektórych typów ruchu (na przykład ICMP) zgodnie z wymaganiami przedsiębiorstwa.

Następne kroki