azure - 默认情况下在新子网上应用 NSG/ASG (Azure)
问题描述
我们管理由多个国家/地区运营的 Azure 订阅。他们每个人都非常独立于他们可以做的事情(创建/编辑/删除资源)。已向他们发送了良好实践指南,但我们(安全团队)希望确保为每个创建的新子网/vnet 系统地应用一组 NSG。
看看 Azure 触发器,我不确定子网创建是否属于可审计事件。我还被告知要查看 Azure 策略,但我再次不确定这是否符合我们的期望:对于每个新的 vnet/子网,自动应用一组预定义的 NSG。
您对我们需要的解决方案有任何想法吗?
解决方案
我过去做过这样的工作(不是这个确切的问题),我解决它的方法是使用 Azure 函数遍历订阅并查找此类问题。您可以将代码作为具有订阅者权限的托管标识运行以报告问题,或作为贡献者运行以更新设置。这是一些代码,展示了如何使用 PowerShell https://github.com/Azure/azure-policy/tree/master/samples/Network/enforce-nsg-on-subnet
您可以考虑使用具有 DeployIfNotExists 操作的策略来部署包含 NSG 的所有数据的 ARM 模板。https://docs.microsoft.com/en-us/azure/governance/policy/samples/pattern-deploy-resources
您可以通过创建 NSG 并获取模板来获取 ARM 模板: GettingNSGTemplate
另请注意,创建子网是经过审核的,您可以在 VNet 的活动日志中看到它。请参阅屏幕截图。
推荐阅读
- flutter - 带有线条而不是点颤动的轮播滑块
- c++ - 避免在 C++ 中破坏对象
- excel - Why does this Union Range in VBA select unwanted cells in Excel?
- firebase - 使用下拉过滤器在 ListView 中颤振 FireStore
- python-3.x - 获取有关如何从模块/类路径调用方法的信息
- .net - 在 .NetFramework 项目中的 xml 配置文件上禁用 IntelliSense 警告
- docker - Solr Cloud (Solr 8.7.0) 无法与外部 Zookeeper Ensemble (Zookeeper v3.6.2) 交谈
- javascript - 如何对从 useEffect 获取的数据进行批处理多个 setStates 的反应?
- salesforce - 无法在 apex 中查看用户记录
- sql - 具有层次结构的 Oracle 复杂查询