Bir kural hiyerarşisi tanımlamak için Azure Güvenlik Duvarı ilkesini kullanma

Güvenlik yöneticilerinin güvenlik duvarlarını yönetmesi ve şirket içi ve bulut dağıtımları arasında uyumluluk sağlamak gerekir. Anahtar bileşen, uygulama ekiplerini otomatik bir şekilde güvenlik duvarı kuralları oluşturmak için CI/CD işlem hatları uygulamak için esneklik sağlama olanağıdır.

Azure Güvenlik duvarı ilkesi, bir kural hiyerarşisi tanımlamanızı ve uyumluluğu zorlamanıza izin verir:

  • Bir alt uygulama takım ilkesinin üst kısmında merkezi bir temel ilkenin kaplaması için hiyerarşik bir yapı sağlar. Temel ilkenin önceliği daha yüksektir ve alt ilkeden önce çalışır.
  • Yanlışlıkla temel ilke kaldırmayı engellemek ve bir abonelik veya kaynak grubu içindeki kural koleksiyonu gruplarına seçmeli erişim sağlamak için bir Azure özel rol tanımı kullanın.

Çözüme genel bakış

Bu örnek için üst düzey adımlar şunlardır:

  1. Güvenlik ekibi kaynak grubunda bir temel güvenlik duvarı ilkesi oluşturun.
  2. Temel ilkede BT güvenliğine özgü kuralları tanımlayın. Bu, trafiğe izin verme/reddetme için ortak bir kurallar kümesi ekler.
  3. Temel ilkeyi devralacak uygulama takım ilkeleri oluşturun.
  4. İlkede uygulamaya özgü kuralları tanımlayın. Ayrıca, kuralları önceden varolan güvenlik duvarlarından geçirebilirsiniz.
  5. Kural koleksiyonu grubuna ayrıntılı erişim sağlamak ve güvenlik duvarı Ilke kapsamındaki roller eklemek için Azure Active Directory özel roller oluşturun. Aşağıdaki örnekte, Sales ekibi üyeleri, Sales ekipleri güvenlik duvarı Ilkesi için kural koleksiyonu gruplarını düzenleyebilir. Aynı veritabanı ve mühendislik takımları için de geçerlidir.
  6. İlkeyi ilgili güvenlik duvarıyla ilişkilendirin. Azure Güvenlik duvarında yalnızca bir atanmış ilke olabilir. Bu, her bir uygulama takımının kendi güvenlik duvarı olmasını gerektirir.

Takımlar ve gereksinimler

Güvenlik Duvarı ilkelerini oluşturma

  • Temel güvenlik duvarı ilkesi.

Uygulama takımlarının her biri için ilkeler oluşturun:

  • Bir satış güvenlik duvarı ilkesi. Satış güvenlik duvarı ilkesi, temel güvenlik duvarı ilkesini devralır.
  • Bir veritabanı güvenlik duvarı ilkesi. Veritabanı güvenlik duvarı ilkesi temel güvenlik duvarı ilkesini devralır.
  • Mühendislik güvenlik duvarı ilkesi. Mühendislik güvenlik duvarı ilkesi de temel güvenlik duvarı ilkesini devralır.

İlke hiyerarşisi

Kural koleksiyonu gruplarına erişmek için özel roller oluşturma

Özel roller her bir uygulama takımı için tanımlanır. Rol, işlemleri ve kapsamı tanımlar. Uygulama ekiplerinin ilgili uygulamaları için kural koleksiyonu gruplarını düzenlemesine izin verilir.

Özel rolleri tanımlamak için aşağıdaki üst düzey prosedürü kullanın:

  1. Aboneliği al:

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Şu komutu çalıştırın:

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Okuyucu rolünü JSON biçiminde çıkarmak için Get-AzRoleDefinition komutunu kullanın.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Dosyada ReaderSupportRole.jsbir düzenleyicide açın.

    Aşağıdaki JSON çıktısı gösterilir. Farklı özellikler hakkında daha fazla bilgi için bkz. Azure özel rolleri.

   { 
     "Name": "Reader", 
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7", 
     "IsCustom": false, 
     "Description": "Lets you view everything, but not make any changes.", 
     "Actions": [ 
      "*/read" 
     ], 
     "NotActions": [], 
     "DataActions": [], 
     "NotDataActions": [], 
     "AssignableScopes": [ 
       "/" 
     ] 
   } 
  1. Şunu eklemek için JSON dosyasını düzenleyin 

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    Eylemler   özelliği için işlem. Okuma işleminden sonra virgül eklemeyi unutmayın. Bu eylem, kullanıcının kural koleksiyonu grupları oluşturmasına ve güncelleştirmesine izin verir.

  2. Astifblescopes, abonelik kimliğinizi şu biçimle ekleyin: 

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    Açık abonelik kimliklerini girmeniz gerekir, aksi halde rolü aboneliğinize aktaramazsınız.

  3. ID   özellik satırını silin ve IsCustom   özelliğini true olarak değiştirin.

  4. Ad   ve  Açıklama   özelliklerini azfm kural koleksiyonu grubu yazarı olarak değiştirme ve Bu roldeki kullanıcılar güvenlik duvarı ilke kuralı koleksiyon gruplarını düzenleyebilir

JSON dosyanız aşağıdaki örneğe benzer şekilde görünmelidir:

{ 

    "Name":  "AZFM Rule Collection Group Author", 
    "IsCustom":  true, 
    "Description":  "Users in this role can edit Firewall Policy rule collection groups", 
    "Actions":  [ 
                    "*/read", 
                    "Microsoft.Network/*/read", 
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write" 
                ], 
    "NotActions":  [ 
                   ], 
    "DataActions":  [ 
                    ], 
    "NotDataActions":  [ 
                       ], 
    "AssignableScopes":  [ 
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"] 
} 
  1. Yeni özel rolü oluşturmak için, New-AzRoleDefinition komutunu kullanın ve JSON rol tanımı dosyasını belirtin.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Özel rolleri listeleme

Tüm özel rolleri listelemek için Get-AzRoleDefinition komutunu kullanabilirsiniz:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Ayrıca, Azure portal özel rolleri de görebilirsiniz. Aboneliğinize gidin, erişim denetimi (IAM), Roller' i seçin.

SalesAppPolicy

SalesAppPolicy okuma izni

Daha fazla bilgi için bkz. öğretici: Azure PowerShell kullanarak Azure özel rolü oluşturma.

Özel Role Kullanıcı ekleme

Portalda, AZFM kuralı koleksiyon grubu yazarları rolüne kullanıcı ekleyebilir ve güvenlik duvarı ilkelerine erişim sağlayabilirsiniz.

  1. Portalda, uygulama ekibi güvenlik duvarı ilkesini seçin (örneğin, SalesAppPolicy).
  2. Access Control seçin.
  3. Rol ataması ekle’yi seçin.
  4. Role Kullanıcı/Kullanıcı grupları (örneğin, satış ekibi) ekleyin.

Diğer güvenlik duvarı ilkeleri için bu yordamı tekrarlayın.

Özet

Özel rollere sahip güvenlik duvarı Ilkesi artık güvenlik duvarı ilke kuralı koleksiyon gruplarına seçmeli erişim sağlar.

Kullanıcıların şunları yapmak için izinleri yoktur:

  • Azure Güvenlik duvarını veya güvenlik duvarı ilkesini silin.
  • Güvenlik duvarı ilkesi hiyerarşisini veya DNS ayarlarını ya da tehdit bilgilerini güncelleştirin.
  • Güvenlik Duvarı ilkesini AZFM kural koleksiyonu grubu yazar grubunun üyesi olmadıkları yerde güncelleştirin.

Güvenlik yöneticileri, temel ilkeyi kullanarak kuruluş için gerekli olan belirli trafik türlerini (örneğin, ıCMP) uygulayabilir.

Sonraki adımlar

Azure Güvenlik duvarı ilkesihakkında daha fazla bilgi edinin.