网络安全组规则审核 (Azure)

Question

我想知道是否有人找到了一种方法来审核 Azure 中的网络安全组，而不是在 Azure UI 中对它们进行全面搜索。 我已经设法将信息提取为 json，但它仍然不是很容易破译，因为它嵌套得很深。 我正在寻找具有默认任何/任何规则和其他应用不佳的规则的 NSG。

我们有数百个网络安全组（提供上下文）。

任何人有任何意见如何最好地 go 关于这个？

Answer 1

根据您希望在 NSG 安全规则中审核的内容，Azure 资源图可能比导出 JSON 和解析更友好。 它可以通过 REST API（例如从逻辑应用程序）调用，以进行定期审计。

下面是对具有允许流量到端口 22 的安全规则的 NSG 的简单查询：

az graph query -q "where type == 'microsoft.network/networksecuritygroups' | extend rules = properties.securityRules | mv-expand rules | where rules.properties.destinationPortRanges contains '22' | summarize count() by id" 

要考虑的另一种方法是使用 Azure 策略来审核特定异常的安全规则。

最后，如果您对监视对 NSG 所做的更改比对特定例外更感兴趣，那么您可能正在寻找资源更改历史记录功能。 您可以针对特定资源并查看一段时间内的更改 window。 这样做需要您进行一些自动化，调用 Rest API 等。请参阅： https/docs.microsoft.com/ en-graphs/how-to-to