Microsoft.Network/virtualNetworks/subnets/join/action 的 Azure Policy 触发器

Azure Policy trigger for Microsoft.Network/virtualNetworks/subnets/join/action

提问人:Aniruddha Chourasia 提问时间:11/3/2023 最后编辑:James ZAniruddha Chourasia 更新时间:11/3/2023 访问量:37

问:

我有一个用例,除了一些允许的资源外,我不希望任何资源连接到我的 VNET。 我们正在为客户设计一个安全的容器化环境,并具有非常严格的访问控制策略。但是,我们没有看到为网络加入操作触发的策略。

出于测试目的,我使用以下策略来捕获和拒绝虚拟网络上的所有操作,并将此策略分配给我的 VNET 所在的资源组范围:

{
  "mode": "All",
  "policyRule": {
    "if": {
      "field": "type",
      "equals": "Microsoft.Network/virtualNetworks"
    },
    "then": {
      "effect": "deny"
    }
  }
}

将此策略分配给我的资源组后,我无法在资源组中创建 VNET,但是,我仍然可以加入此资源组中的现有 VNET。 看起来策略甚至没有针对网络加入操作进行评估/触发。我们怎么能否认这个行动?

azure-policy

评论

0赞 Venkat V 11/6/2023
上述策略仅阻止 VNet 创建,但不会拒绝现有 VNet 加入。
0赞 Aniruddha Chourasia 11/8/2023
是的。我确实理解这一点。感谢您@VenkatV回复。但是,我正在寻找一种方法来拒绝虚拟网络上的网络加入操作。我的理解是,每当任何资源请求加入 VNet 时,它都应该调用对 VNet 资源的更新,并且根据以下文档更新资源时,应触发 Azure Policy 评估:learn.microsoft.com/en-us/azure/governance/policy/...
0赞 Venkat V 11/8/2023
遗憾的是,无法使用 Azure Policy 拒绝网络加入操作,但可以使用 Azure 网络安全组规则来限制进出 VNet 的网络流量。使用 NSG,可以控制发往 VNet 中网络接口、虚拟机和其他资源的入站和出站流量。

答:

0赞 Venkat V 11/30/2023 #1

Microsoft.Network/virtualNetworks/subnets/join/action 的 Azure Policy 触发器

网络联接操作通常涉及资源连接或与 关联,这可能不会以您期望的方式直接控制。相反,网络加入通常属于网络安全控制领域,你可以使用 Azure 防火墙或其他与网络相关的服务等功能。virtual networkAzure PolicyNetwork Security Groups

网络安全组 (NSG)::在子网上配置 NSG 以控制入站和出站流量。

enter image description here

从 IP 地址到指定地址的所有流量都将被阻止。这样,您可以将资源限制为 并仅允许应加入网络的特定 IP 地址范围10.0.1.0VNetVNet

enter image description here

评论

0赞 Aniruddha Chourasia 12/5/2023
连接到此 Vnet 的资源列表是动态的。我们只是通过资源组为客户提供一个安全且包含的环境,他们可以在此资源组中创建自己的资源。使用建议的方法,攻击者可以创建另一个满足 NSG 条件(如 IP 地址、范围等)的资源,并连接到我们的 VNet 并执行恶意功能。因此,我们需要将 vnet 联接限制为仅属于我们为客户创建的资源组(受严格的访问策略约束)的资源。