網絡安全組規則審核 (Azure)

Question

我想知道是否有人找到了一種方法來審核 Azure 中的網絡安全組，而不是在 Azure UI 中對它們進行全面搜索。 我已經設法將信息提取為 json，但它仍然不是很容易破譯，因為它嵌套得很深。 我正在尋找具有默認任何/任何規則和其他應用不佳的規則的 NSG。

我們有數百個網絡安全組（提供上下文）。

任何人有任何意見如何最好地 go 關於這個？

Answer 1

根據您希望在 NSG 安全規則中審核的內容，Azure 資源圖可能比導出 JSON 和解析更友好。 它可以通過 REST API（例如從邏輯應用程序）調用，以進行定期審計。

下面是對具有允許流量到端口 22 的安全規則的 NSG 的簡單查詢：

az graph query -q "where type == 'microsoft.network/networksecuritygroups' | extend rules = properties.securityRules | mv-expand rules | where rules.properties.destinationPortRanges contains '22' | summarize count() by id" 

要考慮的另一種方法是使用 Azure 策略來審核特定異常的安全規則。

最后，如果您對監視對 NSG 所做的更改比對特定例外更感興趣，那么您可能正在尋找資源更改歷史記錄功能。 您可以針對特定資源並查看一段時間內的更改 window。 這樣做需要您進行一些自動化，調用 Rest API 等。請參閱： https/docs.microsoft.com/ en-graphs/how-to-to