提问人:Aniruddha Chourasia 提问时间:11/3/2023 最后编辑:James ZAniruddha Chourasia 更新时间:11/3/2023 访问量:37
Microsoft.Network/virtualNetworks/subnets/join/action 的 Azure Policy 触发器
Azure Policy trigger for Microsoft.Network/virtualNetworks/subnets/join/action
问:
我有一个用例,除了一些允许的资源外,我不希望任何资源连接到我的 VNET。 我们正在为客户设计一个安全的容器化环境,并具有非常严格的访问控制策略。但是,我们没有看到为网络加入操作触发的策略。
出于测试目的,我使用以下策略来捕获和拒绝虚拟网络上的所有操作,并将此策略分配给我的 VNET 所在的资源组范围:
{
"mode": "All",
"policyRule": {
"if": {
"field": "type",
"equals": "Microsoft.Network/virtualNetworks"
},
"then": {
"effect": "deny"
}
}
}
将此策略分配给我的资源组后,我无法在资源组中创建 VNET,但是,我仍然可以加入此资源组中的现有 VNET。 看起来策略甚至没有针对网络加入操作进行评估/触发。我们怎么能否认这个行动?
答:
0赞
Venkat V
11/30/2023
#1
Microsoft.Network/virtualNetworks/subnets/join/action 的 Azure Policy 触发器
网络联接操作通常涉及资源连接或与 关联,这可能不会以您期望的方式直接控制。相反,网络加入通常属于网络安全控制领域,你可以使用 Azure 防火墙或其他与网络相关的服务等功能。virtual network
Azure Policy
Network Security Groups
网络安全组 (NSG)::在子网上配置 NSG 以控制入站和出站流量。
从 IP 地址到指定地址的所有流量都将被阻止。这样,您可以将资源限制为 并仅允许应加入网络的特定 IP 地址范围10.0.1.0
VNet
VNet
评论
0赞
Aniruddha Chourasia
12/5/2023
连接到此 Vnet 的资源列表是动态的。我们只是通过资源组为客户提供一个安全且包含的环境,他们可以在此资源组中创建自己的资源。使用建议的方法,攻击者可以创建另一个满足 NSG 条件(如 IP 地址、范围等)的资源,并连接到我们的 VNet 并执行恶意功能。因此,我们需要将 vnet 联接限制为仅属于我们为客户创建的资源组(受严格的访问策略约束)的资源。
评论