Проблема - поэтому я хочу заблокировать людей, создающих группы безопасности сети, которые открывают доступ в Интернет к некоторым портам (22, 3389 и т. Д.). Я могу создать политику для блокировки определенного порта, например,
{
"allOf": [{
"field": "Microsoft.Network/networkSecurityGroups/securityRules/access",
"equals": "Allow"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules/direction",
"equals": "Inbound"
},
{
"anyOf": [{
"field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRange",
"equals": "22"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRange",
"equals": "3389"
}
]
}
]
Это заблокирует создание групп безопасности сети, если в правилах безопасности используется конкретный порт. Но его можно обойти, если кто-то создаст правила NSG, разрешающие диапазоны портов (например, 3300-3400).
Интересно, как политика работает с диапазонами портов и что лучше всего в этом случае.
Я попробовал массив destinationPortRanges [*], но он не работает.
{
"not": {
"field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRanges[*]",
"Equals": "22"
}
}
правило по-прежнему разрешает создание групп безопасности сети, если для параметра destinationPortRanges указано значение «20-25».