我们管理由多个国家/地区运营的 Azure 订阅。他们每个人都非常独立于他们可以做的事情(创建/编辑/删除资源)。良好实践指南已发送给他们,但我们(安全团队)希望确保系统地将一组 NSG 应用于创建的每个新子网/虚拟网络。
查看 Azure 触发器,我不确定子网创建属于可审核事件。我还被告知要查看 Azure 策略,但我再次不确定这是否符合我们的预期:对于每个新的 vnet/子网,自动应用一组预定义的 NSG。
您对满足我们需求的解决方案有什么想法吗?
最佳答案
我过去做过这样的工作(不是这个确切的问题),我解决它的方法是使用 Azure Function 来遍历订阅并查找此类问题。您可以让代码作为具有订阅读者权限的托管身份运行以报告问题,或作为贡献者来更新设置。以下代码展示了如何使用 PowerShell https://github.com/Azure/azure-policy/tree/master/samples/Network/enforce-nsg-on-subnet 执行此操作
您可以考虑使用具有 DeployIfNotExists 操作的策略来部署包含 NSG 的所有数据的 ARM 模板。 https://learn.microsoft.com/en-us/azure/governance/policy/samples/pattern-deploy-resources
您可以通过创建 NSG 并获取模板来获取 ARM 模板: GettingNSGTemplate
另请注意,创建子网会经过审核,您可以在 VNet 的事件日志中看到它。请参阅屏幕截图。
关于azure - 默认情况下在新子网 (Azure) 上应用 NSG/ASG,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62173440/