Använd Azures brand Väggs princip för att definiera en regelmallUse Azure Firewall policy to define a rule hierarchy

Säkerhets administratörer behöver hantera brand väggar och säkerställa efterlevnad för lokala och molnbaserade distributioner.Security administrators need to manage firewalls and ensure compliance across on-premise and cloud deployments. En viktig komponent är möjligheten att tillhandahålla program team med flexibilitet för att implementera CI/CD-pipeliner för att skapa brand Väggs regler på ett automatiserat sätt.A key component is the ability to provide application teams with flexibility to implement CI/CD pipelines to create firewall rules in an automated way.

Med Azure Firewall-principen kan du definiera en regelmall och genomdriva efterlevnad:Azure Firewall policy allows you to define a rule hierarchy and enforce compliance:

  • Innehåller en hierarkisk struktur för att täcka en central bas princip ovanpå en underordnad program grupp princip.Provides a hierarchical structure to overlay a central base policy on top of a child application team policy. Bas principen har högre prioritet och körs före den underordnade principen.The base policy has a higher priority and runs before the child policy.
  • Använd en anpassad roll definition i Azure för att förhindra oavsiktlig grund policy borttagning och ge selektiv åtkomst till regel samlings grupper i en prenumeration eller resurs grupp.Use an Azure custom role definition to prevent inadvertent base policy removal and provide selective access to rule collection groups within a subscription or resource group.

LösningsöversiktSolution overview

De övergripande stegen för det här exemplet är:The high-level steps for this example are:

  1. Skapa en grundläggande brand Väggs princip i resurs gruppen säkerhets team.Create a base firewall policy in the security team resource group.
  2. Definiera säkerhetsrelaterade regler i bas principen.Define IT security-specific rules in the base policy. Detta lägger till en gemensam uppsättning regler som tillåter/nekar trafik.This adds a common set of rules to allow/deny traffic.
  3. Skapa grup principer för program som ärver bas principen.Create application team policies that inherit the base policy.
  4. Definiera program team-specifika regler i principen.Define application team-specific rules in the policy. Du kan också migrera regler från befintliga brand väggar.You can also migrate rules from pre-existing firewalls.
  5. Skapa Azure Active Directory anpassade roller för att ge detaljerad åtkomst till regel samlings gruppen och Lägg till roller i en brand Väggs princip omfattning.Create Azure Active Directory custom roles to provide fine grained access to rule collection group and add roles at a Firewall Policy scope. I följande exempel kan Sälj grupp medlemmar redigera regel samlings grupper för brand Väggs principen för försäljnings team.In the following example, Sales team members can edit rule collection groups for the Sales teams Firewall Policy. Samma sak gäller för databas-och teknik team.The same applies to the Database and Engineering teams.
  6. Koppla principen till motsvarande brand vägg.Associate the policy to the corresponding firewall. En Azure-brandvägg kan bara ha en tilldelad princip.An Azure firewall can have only one assigned policy. Detta kräver att varje program team har sin egen brand vägg.This requires each application team to have their own firewall.

Team och krav

Skapa brand Väggs principerCreate the firewall policies

  • En grundläggande brand Väggs princip.A base firewall policy.

Skapa principer för var och en av program teamen:Create policies for each of the application teams:

  • En princip för försäljnings brand vägg.A Sales firewall policy. Principen för försäljnings brand väggen ärver den grundläggande brand Väggs principen.The Sales firewall policy inherits the base firewall policy.
  • En princip för brand vägg för databas.A Database firewall policy. Principen för databas brand väggen ärver bas brand Väggs principen.The Database firewall policy inherits base firewall policy.
  • En ingenjörs brand Väggs princip.An Engineering firewall policy. Den tekniska brand Väggs principen ärver också den grundläggande brand Väggs principen.The Engineering firewall policy also inherits the base firewall policy.

Principmall

Skapa anpassade roller för att få åtkomst till regel samlings grupperCreate custom roles to access the rule collection groups

Anpassade roller definieras för varje program grupp.Custom roles are defined for each application team. Rollen definierar åtgärder och omfattning.The role defines operations and scope. Program teamen kan redigera regel samlings grupper för sina respektive program.The application teams are allowed to edit rule collection groups for their respective applications.

Använd följande övergripande procedur för att definiera anpassade roller:Use the following high-level procedure to define custom roles:

  1. Hämta prenumerationen:Get the subscription:

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Kör följande kommando:Run the following command:

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Använd kommandot Get-AzRoleDefinition för att mata ut rollen läsare i JSON-format.Use the Get-AzRoleDefinition command to output the Reader role in JSON format.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Öppna ReaderSupportRole.jsfilen i ett redigerings program.Open the ReaderSupportRole.json file in an editor.

    Följande visar JSON-utdata.The following shows the JSON output. Information om de olika egenskaperna finns i Azure-anpassade roller.For information about the different properties, see Azure custom roles.

   { 
     "Name": "Reader", 
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7", 
     "IsCustom": false, 
     "Description": "Lets you view everything, but not make any changes.", 
     "Actions": [ 
      "*/read" 
     ], 
     "NotActions": [], 
     "DataActions": [], 
     "NotDataActions": [], 
     "AssignableScopes": [ 
       "/" 
     ] 
   } 
  1. Redigera JSON-filen för att lägga tillEdit the JSON file to add the

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    åtgärd till egenskapen åtgärder   .operation to the Actions property. Se till att inkludera ett kommatecken efter läsåtgärden.Be sure to include a comma after the read operation. Med den här åtgärden kan användaren skapa och uppdatera regel samlings grupper.This action allows the user to create and update rule collection groups.

  2. I AssignableScopes lägger du till ditt PRENUMERATIONS-ID med följande format:In AssignableScopes, add your subscription ID with the following format:

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    Du måste lägga till explicita prenumerations-ID:n; annars tillåts du inte importera rollen i din prenumeration.You must add explicit subscription IDs, otherwise you won't be allowed to import the role into your subscription.

  3. Ta bort ****   egenskaps raden för ID och ändra egenskapen IsCustom   till true.Delete the Id property line and change the IsCustom property to true.

  4. Ändra  ****   egenskaperna för namn och  Beskrivning   till AZFM för regel samlings grupp och användare med den här rollen kan redigera regel samlings grupper för brand Väggs principerChange the  Name and  Description properties to AZFM Rule Collection Group Author and Users in this role can edit Firewall Policy rule collection groups

Din JSON-fil bör se ut ungefär som i följande exempel:Your JSON file should look similar to the following example:

{ 

    "Name":  "AZFM Rule Collection Group Author", 
    "IsCustom":  true, 
    "Description":  "Users in this role can edit Firewall Policy rule collection groups", 
    "Actions":  [ 
                    "*/read", 
                    "Microsoft.Network/*/read", 
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write" 
                ], 
    "NotActions":  [ 
                   ], 
    "DataActions":  [ 
                    ], 
    "NotDataActions":  [ 
                       ], 
    "AssignableScopes":  [ 
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"] 
} 
  1. Om du vill skapa den nya anpassade rollen använder du kommandot New-AzRoleDefinition och anger definitions filen för JSON-rollen.To create the new custom role, use the New-AzRoleDefinition command and specify the JSON role definition file.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Lista anpassade rollerList custom roles

Om du vill visa en lista över alla anpassade roller kan du använda kommandot Get-AzRoleDefinition:To list all the custom roles, you can use the Get-AzRoleDefinition command:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Du kan också se de anpassade rollerna i Azure Portal.You can also see the custom roles in the Azure portal. Gå till din prenumeration, Välj åtkomst kontroll (IAM), roller.Go to your subscription, select Access control (IAM), Roles.

SalesAppPolicy

Läs behörighet för SalesAppPolicy

Mer information finns i Självstudier: skapa en anpassad Azure-roll med hjälp av Azure PowerShell.For more information, see Tutorial: Create an Azure custom role using Azure PowerShell.

Lägg till användare i den anpassade rollenAdd users to the custom role

På portalen kan du lägga till användare i rollen AZFM för regel samlings grupp och ge åtkomst till brand Väggs principerna.On the portal, you can add users to the AZFM Rule Collection Group Authors role and provide access to the firewall policies.

  1. Välj program teamets brand Väggs princip (till exempel SalesAppPolicy) från portalen.From the portal, select the Application team firewall policy (for example, SalesAppPolicy).
  2. Välj Access Control.Select Access Control.
  3. Välj Lägg till rolltilldelning.Select Add role assignment.
  4. Lägg till användare/användar grupper (till exempel Sälj teamet) till rollen.Add users/user groups (for example, the Sales team) to the role.

Upprepa proceduren för de andra brand Väggs principerna.Repeat this procedure for the other firewall policies.

SammanfattningSummary

Brand Väggs principen med anpassade roller ger nu selektiv åtkomst till samlings grupper för brand Väggs principer.Firewall Policy with custom roles now provides selective access to firewall policy rule collection groups.

Användare har inte behörighet att:Users don’t have permissions to:

  • Ta bort Azure Firewall eller brand Väggs principen.Delete the Azure Firewall or firewall policy.
  • Uppdatera brand Väggs principens hierarki eller DNS-inställningar eller hot information.Update firewall policy hierarchy or DNS settings or threat intelligence.
  • Uppdatera brand Väggs principen där de inte är medlemmar i gruppen AZFM Rule Collection Group.Update firewall policy where they are not members of AZFM Rule Collection Group Author group.

Säkerhets administratörer kan använda bas principen för att genomdriva guardrails och blockera vissa typer av trafik (till exempel ICMP) som krävs av företaget.Security administrators can use base policy to enforce guardrails and block certain types of traffic (for example ICMP) as required by their enterprise.

Nästa stegNext steps

Läs mer om Azure Firewall-principen.Learn more about Azure Firewall policy.