我想知道是否有人找到了一种方法来审核 Azure 中的网络安全组,而不是在 Azure UI 中全部浏览它们。我已经设法将信息提取为 json,但仍然不是很容易破译,因为它嵌套得很深。我正在寻找具有默认任何/任何规则和其他应用不当的规则的 NSG。
我们有数百个网络安全组(提供上下文)。
有人对如何最好地解决这个问题有任何看法吗?
答案 0 :(得分:0)
根据您希望在 NSG 安全规则中审核的内容,Azure Resource Graph 可能比导出 JSON 和解析更友好。可以通过 REST API 调用它,例如从逻辑应用中调用,以进行定期审核。
具有安全规则的 NSG 的简单查询允许端口 22 的流量如下:
az graph query -q "where type == 'microsoft.network/networksecuritygroups' | extend rules = properties.securityRules | mv-expand rules | where rules.properties.destinationPortRanges contains '22' | summarize count() by id"
要考虑的另一种方法是使用 Azure Policy 来审核特定异常的安全规则。
最后,如果您对监控对 NSG 所做的更改比对特定异常更感兴趣,那么资源更改历史记录功能可能正是您所需要的。您可以针对特定资源并查看时间范围内的更改。这样做需要您进行一些自动化操作,调用 Rest API 等。请参阅:https://docs.microsoft.com/en-us/azure/governance/resource-graph/how-to/get-resource-changes