Bagikan melalui

Menggunakan kebijakan Azure Firewall untuk menentukan hierarki aturan

  • Artikel

Administrator Keamanan perlu mengelola firewall serta memastikan kepatuhan di seluruh penyebaran lokal dan cloud. Komponen utamanya adalah kemampuan untuk memberi tim aplikasi fleksibilitas untuk mengimplementasikan pipeline CI/CD untuk membuat aturan firewall dengan cara otomatis.

Kebijakan Azure Firewall memungkinkan Anda menentukan hierarki aturan dan memberlakukan kepatuhan:

  • Menyediakan struktur hierarkis untuk melapisi kebijakan dasar pusat di atas kebijakan tim aplikasi turunan. Kebijakan dasar memiliki prioritas yang lebih tinggi dan berjalan sebelum kebijakan turunan.
  • Gunakan definisi peran kustom Azure untuk mencegah penghapusan kebijakan dasar yang tidak disengaja dan menyediakan akses selektif ke grup pengumpulan aturan dalam grup langganan atau sumber daya.

Ikhtisar solusi

Langkah-langkah tingkat tinggi untuk contoh ini adalah:

  1. Buat kebijakan firewall dasar di grup sumber daya tim keamanan.
  2. Tentukan aturan khusus keamanan TI dalam kebijakan dasar. Ini menambahkan set aturan umum untuk mengizinkan/menolak lalu lintas.
  3. Buat kebijakan tim aplikasi yang mewarisi kebijakan dasar.
  4. Tentukan aturan khusus tim aplikasi dalam kebijakan. Anda juga dapat memigrasikan aturan dari firewall yang sudah ada sebelumnya.
  5. Buat peran kustom Microsoft Entra untuk menyediakan akses terperinci ke grup kumpulan aturan dan tambahkan peran di cakupan Kebijakan Firewall. Dalam contoh berikut, anggota tim Penjualan dapat mengedit grup kumpulan aturan untuk Kebijakan Firewall tim penjualan. Hal yang sama berlaku untuk tim Database dan Teknik.
  6. Kaitkan kebijakan ke firewall yang sesuai. Firewall Azure hanya dapat memiliki satu kebijakan yang ditetapkan. Ini mengharuskan setiap tim aplikasi untuk memiliki firewall mereka sendiri.

Teams and requirements

Membuat kebijakan firewall

  • Kebijakan firewall dasar.

Buat kebijakan untuk setiap tim aplikasi:

  • Kebijakan firewall Penjualan. Kebijakan firewall Penjualan mewarisi kebijakan firewall dasar.
  • Kebijakan firewall Database. Kebijakan firewall Database mewarisi kebijakan firewall dasar.
  • Kebijakan firewall Teknik. Kebijakan firewall Teknik juga mewarisi kebijakan firewall dasar.

Policy hierarchy

Membuat peran kustom untuk mengakses grup kumpulan aturan

Peran kustom didefinisikan untuk setiap tim aplikasi. Peran mendefinisikan operasi dan cakupan. Tim aplikasi diizinkan untuk mengedit grup kumpulan aturan untuk aplikasi mereka masing-masing.

Gunakan prosedur tingkat tinggi berikut untuk menentukan peran kustom:

  1. Dapatkan langganan.

    Select-AzSubscription -SubscriptionId xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

  2. Jalankan perintah berikut.

    Get-AzProviderOperation "Microsoft.Support/*" | FT Operation, Description -AutoSize

  3. Gunakan perintah Get-AzRoleDefinition untuk menghasilkan peran Pembaca dalam format JSON.

    Get-AzRoleDefinition -Name "Reader" | ConvertTo-Json | Out-File C:\CustomRoles\ReaderSupportRole.json

  4. Buka file ReaderSupportRole.json di editor.

    Berikut adalah output JSON. Untuk informasi tentang properti yang berbeda, lihatPeran kustom Microsoft Azure.

   {
     "Name": "Reader",
     "Id": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
     "IsCustom": false,
     "Description": "Lets you view everything, but not make any changes.",
     "Actions": [
      "*/read"
     ],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": [
       "/"
     ]
   }

  1. Edit file JSON untuk menambahkan

    */read", "Microsoft.Network/*/read", "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write

    operasi ke properti Tindakan. Pastikan untuk menyertakan koma setelah operasi baca. Tindakan ini memungkinkan pengguna untuk membuat dan memperbarui grup kumpulan aturan.

  2. Di AssignableScopes, tambahkan ID langganan Anda dengan format berikut. 

    /subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx

    Anda harus menambahkan ID langganan eksplisit. Jika tidak, Anda tidak diizinkan untuk mengimpor peran ke dalam langganan Anda.

  3. Hapus baris properti Id dan ubah properti IsCustom menjadi true.

  4. Ubah properti Nama dan Deskripsi menjadi Pembuat Grup Kumpulan Aturan AZFM dan Pengguna dengan peran ini dapat mengedit grup kumpulan aturan Kebijakan Firewall

File JSON Anda akan terlihat seperti contoh berikut:

{

    "Name":  "AZFM Rule Collection Group Author",
    "IsCustom":  true,
    "Description":  "Users in this role can edit Firewall Policy rule collection groups",
    "Actions":  [
                    "*/read",
                    "Microsoft.Network/*/read",
                     "Microsoft.Network/firewallPolicies/ruleCollectionGroups/write"
                ],
    "NotActions":  [
                   ],
    "DataActions":  [
                    ],
    "NotDataActions":  [
                       ],
    "AssignableScopes":  [
                             "/subscriptions/xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"]
}

  1. Untuk membuat peran kustom baru, gunakan perintah New-AzRoleDefinition dan tentukan file definisi peran JSON.

    New-AzRoleDefinition -InputFile "C:\CustomRoles\RuleCollectionGroupRole.json

Mencantumkan peran kustom

Untuk mencantumkan semua peran kustom, Anda dapat menggunakan perintah Get-AzRoleDefinition:

Get-AzRoleDefinition | ? {$_.IsCustom -eq $true} | FT Name, IsCustom

Anda juga dapat melihat peran kustom di portal Microsoft Azure. Buka langganan Anda, pilih Kontrol akses (IAM), Peran.

SalesAppPolicy

SalesAppPolicy read permission

Untuk informasi selengkapnya, lihat Tutorial: Membuat peran kustom Azure menggunakan Azure PowerShell.

Menambahkan pengguna ke peran kustom

Di portal, Anda dapat menambahkan pengguna ke peran Pembuat Grup Kumpulan Aturan AZFM dan menyediakan akses ke kebijakan firewall.

  1. Dari portal, pilih kebijakan firewall tim Aplikasi (misalnya, SalesAppPolicy).
  2. Pilih Access Control.
  3. Pilih Tambahkan penetapan peran.
  4. Tambahkan pengguna/grup pengguna (misalnya, tim Penjualan) ke peran tersebut.

Ulangi prosedur ini untuk kebijakan firewall lainnya.

Ringkasan

Kebijakan Firewall dengan peran kustom sekarang menyediakan akses selektif ke grup kumpulan aturan kebijakan firewall.

Pengguna tidak memiliki izin untuk:

  • Hapus kebijakan Azure Firewall atau firewall.
  • Perbarui hierarki kebijakan firewall atau pengaturan DNS atau inteligensi ancaman.
  • Perbarui kebijakan firewall di mana mereka bukan anggota grup Penulis Grup Kumpulan Aturan AZFM.

Administrator keamanan dapat menggunakan kebijakan dasar untuk memberlakukan pagar pembatas dan memblokir jenis lalu lintas tertentu (misalnya ICMP), sebagaimana diwajibkan oleh perusahaan mereka.

Langkah berikutnya