我们管理由多个国家/地区运营的 Azure 订阅。他们每个人都非常独立地可以做(创建/编辑/删除资源(。已向他们发送了良好做法指南,但我们(安全团队(希望确保为每个创建的新子网/vnet 系统地应用一组 NSG。
看看 Azure 触发器,我不确定子网创建是否属于可审核事件。我还被告知要查看 Azure 策略,但我再次不确定这是否符合我们的期望:对于每个新的 VNet/子网,自动应用一组预定义的 NSG。
您对满足我们需求的解决方案有任何想法吗?
我过去做过这样的工作(不是这个确切的问题(,我解决它的方式是使用 Azure 函数遍历订阅并查找此类问题。可以让代码作为托管标识运行,该标识对订阅具有"读取者"权限以报告问题,或作为参与者运行以更新设置。下面是一些代码,演示如何使用 PowerShell https://github.com/Azure/azure-policy/tree/master/samples/Network/enforce-nsg-on-subnet
执行此操作可以考虑使用具有 DeployIfNotExists 操作的策略来部署包含 NSG 所有数据的 ARM 模板。 https://learn.microsoft.com/en-us/azure/governance/policy/samples/pattern-deploy-resources
可以通过创建 NSG 并获取模板来获取 ARM 模板: GettingNSGTemplate
另请注意,创建子网是经过审核的,可以在 VNet 的活动日志中看到它。请参阅屏幕截图。
添加ASubnet