Kural hiyerarşisi tanımlamak için Azure Güvenlik Duvarı ilkesi kullanma

  • Makale

Güvenlik yöneticilerinin güvenlik duvarlarını yönetmesi ve şirket içi ve bulut dağıtımlarında uyumluluğu sağlaması gerekir. Önemli bir bileşen, uygulama ekiplerine otomatik bir şekilde güvenlik duvarı kuralları oluşturmak için CI/CD işlem hatlarını uygulama esnekliği sağlamaktır.

Azure Güvenlik Duvarı ilkesi bir kural hiyerarşisi tanımlamanıza ve uyumluluğu zorlamanıza olanak tanır:

  • Bir alt uygulama ekibi ilkesinin üzerine merkezi bir temel ilkeyi katmanlayan hiyerarşik bir yapı sağlar. Temel ilke daha yüksek önceliğe sahiptir ve alt ilkeden önce çalışır.
  • Yanlışlıkla temel ilke kaldırmayı önlemek ve bir abonelik veya kaynak grubu içindeki kural koleksiyonu gruplarına seçmeli erişim sağlamak için bir Azure özel rol tanımı kullanın.

Çözüme genel bakış

Bu örneğin üst düzey adımları şunlardır:

  1. Güvenlik ekibi kaynak grubunda bir temel güvenlik duvarı ilkesi oluşturun.
  2. Temel ilkede BT güvenliğine özgü kurallar tanımlayın. Bu, trafiğe izin vermek/trafiği reddetmek için ortak bir kural kümesi ekler.
  3. Temel ilkeyi devralan uygulama ekibi ilkeleri oluşturun.
  4. İlkede uygulama ekibine özgü kurallar tanımlayın. Önceden var olan güvenlik duvarlarından da kuralları geçirebilirsiniz.
  5. Kural koleksiyonu grubuna ayrıntılı erişim sağlamak ve Güvenlik Duvarı İlkesi kapsamında roller eklemek için Microsoft Entra özel rolleri oluşturun. Aşağıdaki örnekte Satış ekibi üyeleri, Satış ekipleri Güvenlik Duvarı İlkesi için kural toplama gruplarını düzenleyebilir. Aynı durum Veritabanı ve Mühendislik ekipleri için de geçerlidir.
  6. İlkeyi ilgili güvenlik duvarıyla ilişkilendirin. Azure güvenlik duvarında yalnızca bir atanmış ilke olabilir. Bu, her uygulama ekibinin kendi güvenlik duvarına sahip olmasını gerektirir.

Teams and requirements

Güvenlik duvarı ilkelerini oluşturma

  • Temel güvenlik duvarı ilkesi.

Uygulama ekiplerinin her biri için ilkeler oluşturun:

  • Satış güvenlik duvarı ilkesi. Satış güvenlik duvarı ilkesi temel güvenlik duvarı ilkesini devralır.
  • Veritabanı güvenlik duvarı ilkesi. Veritabanı güvenlik duvarı ilkesi temel güvenlik duvarı ilkesini devralır.
  • Mühendislik güvenlik duvarı ilkesi. Mühendislik güvenlik duvarı ilkesi, temel güvenlik duvarı ilkesini de devralır.

Policy hierarchy

Kural koleksiyonu gruplarına erişmek için özel roller oluşturma

Her uygulama ekibi için özel roller tanımlanır. Rol, işlemleri ve kapsamı tanımlar. Uygulama ekiplerinin ilgili uygulamaları için kural toplama gruplarını düzenlemesine izin verilir.

Özel rolleri tanımlamak için aşağıdaki üst düzey yordamı kullanın:

  1. Aboneliği alın.

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Aşağıdaki komutu çalıştırın.

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Okuyucu rolünü JSON biçiminde çıkarmak için Get-AzRoleDefinition komutunu kullanın.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. ReaderSupportRole.json dosyasını bir düzenleyicide açın.

    JSON çıktısı aşağıdadır. Farklı özellikler hakkında bilgi için bkz . Azure özel rolleri.

   {
     "Name": "Reader",
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
     "IsCustom": false,
     "Description": "Lets you view everything, but not make any changes.",
     "Actions": [
      "*/read"
     ],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/"
     ]
   }

  1. JSON dosyasını düzenleyerek

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    eylemini seçin . Okuma işleminden sonra virgül eklemeyi unutmayın. Bu eylem, kullanıcının kural koleksiyonu grupları oluşturmasına ve güncelleştirmesine olanak tanır.

  2. AssignableScopes'ta abonelik kimliğinizi aşağıdaki biçimde ekleyin. 

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    Açık abonelik kimlikleri eklemeniz gerekir. Aksi takdirde, rolü aboneliğinize aktarmanıza izin verilmez.

  3. Kimlik özellik satırını silin ve IsCustom özelliğini true olarak değiştirin.

  4. Ad ve Açıklama özelliklerini AZFM Kural Koleksiyonu Grup Yazarı olarak değiştirin ve Bu roldeki kullanıcılar Güvenlik Duvarı İlkesi kural koleksiyonu gruplarını düzenleyebilir

JSON dosyanız aşağıdaki örneğe benzer görünmelidir:

{

    "Name":  "AZFM Rule Collection Group Author",
    "IsCustom":  true,
    "Description":  "Users in this role can edit Firewall Policy rule collection groups",
    "Actions":  [
                    "*/read",
                    "Microsoft.Network/*/read",
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write"
                ],
    "NotActions":  [
                   ],
    "DataActions":  [
                    ],
    "NotDataActions":  [
                       ],
    "AssignableScopes":  [
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"]
}

  1. Yeni özel rolü oluşturmak için New-AzRoleDefinition komutunu kullanın ve JSON rol tanımı dosyasını belirtin.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Özel rolleri listeleme

Tüm özel rolleri listelemek için Get-AzRoleDefinition komutunu kullanabilirsiniz:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Özel rolleri Azure portalında da görebilirsiniz. Aboneliğinize gidin, Erişim denetimi (IAM), Roller'i seçin.

SalesAppPolicy

SalesAppPolicy read permission

Daha fazla bilgi için bkz . Öğretici: Azure PowerShell kullanarak Azure özel rolü oluşturma.

Özel role kullanıcı ekleme

Portalda, AZFM Kural Koleksiyonu Grubu Yazarları rolüne kullanıcı ekleyebilir ve güvenlik duvarı ilkelerine erişim sağlayabilirsiniz.

  1. Portaldan Uygulama ekibi güvenlik duvarı ilkesini (örneğin, SalesAppPolicy) seçin.
  2. Erişim Denetimi'ni seçin.
  3. Rol ataması ekle’yi seçin.
  4. Role kullanıcı/kullanıcı grupları (örneğin, Satış ekibi) ekleyin.

Diğer güvenlik duvarı ilkeleri için bu yordamı yineleyin.

Özet

Özel rollere sahip Güvenlik Duvarı İlkesi artık güvenlik duvarı ilkesi kuralı koleksiyon gruplarına seçmeli erişim sağlar.

Kullanıcıların şu izinlere sahip değildir:

  • Azure Güvenlik Duvarı veya güvenlik duvarı ilkesini silin.
  • Güvenlik duvarı ilkesi hiyerarşisini, DNS ayarlarını veya tehdit bilgilerini güncelleştirin.
  • Güvenlik duvarı ilkesini, AZFM Kural Koleksiyonu Grubu Yazar grubunun üyesi olmadığı durumlarda güncelleştirin.

Güvenlik yöneticileri temel ilkeyi kullanarak korumaları zorunlu kılabilir ve kuruluşlarının gerektirdiği belirli trafik türlerini (örneğin ICMP) engelleyebilir.

Sonraki adımlar