问题标签 [azure-security]

我的任务是找出市场上可用的云安全工具，以保护我们在云上的应用程序。我们的主要重点是 AWS 和 Azure 云服务

我必须寻找我将尝试与 docker 集成的开源工具。

我尝试了许多应用程序。下面列出了一些：-

• 警报逻辑
• 内苏斯
• AWS 检查员

但是除了 AWS Inspector 之外，它们都是有偿的，每个区域都有限制。我正在寻找任何开源工具，但没有获得任何经过身份验证的源，这些文章引导我使用这些工具或应用程序。

如果有人使用任何此类工具，请分享他们的链接、教程和参考资料。请分享您的建议，这可以帮助我完成我的任务它真的很有帮助

我使用 c# 在 Azure Portal 中编写了 5 个 Azure 函数。

以下是安装我的应用程序的步骤：-

• 将部署脚本复制到集群的 Edge 节点
• 执行以下操作的部署脚本
  • 调用 Azure 函数从 WASB 获取我的应用程序构建。
  • 在 Edge 节点上安装我的应用程序
  • 调用 Azure 函数进行一些更新。

上述流程将在 Customer Edge 节点上执行。

此处描述的使用“<a href="https://docs.microsoft.com/en-us/azure/azure-functions/functions-bindings-http-webhook#keys" rel="noreferrer">keys”的授权是只是为了提供另一层 API 密钥授权，当我的脚本需要由公共客户端（如边缘节点）调用时不适用，因为它可以在那里发现。

在我的场景中保护 Azure Functions 的最佳方法是什么？

要在 Azure 中运行应用程序，我需要在 Azure AD 中创建一个应用程序和一个相应的服务主体。然后我的应用程序针对这个 App/Principal 对进行身份验证。要进行身份验证，我可以在应用注册中创建一个应用程序密钥，或者我可以在服务主体中创建一个密码（以及其他选项）。从实践的角度来看有什么区别？

例如，无论 $key 是应用程序的密钥还是服务主体的密码，这段代码的运行方式完全相同（从外部）：

何时应针对应用进行身份验证，何时应使用服务主体？

我想使用 Visual Studio 远程调试 Azure App Service。我将在我的防火墙上允许端口 4022,4023。

但是这些端口上的通信是否加密？有什么证据吗？

我正在尝试将对虚拟机上端点的访问限制为特定的外部 IP 地址。经过调查，我发现 Azure 上的网络安全组可能是合适的。我创建了一个网络安全组并将其附加到我的虚拟网络的子网中。

然后我创建了这两条规则，我认为它们只允许通过一个指定的 IP 地址进行访问：

规则如下：

但是，当我尝试从指定的 IP 地址访问端点时，我似乎被阻止了。有谁知道我是否忘记了一步或做错了什么。NSG 阻止访问，但我似乎无法让白名单工作。

我检查了 NSG 日志，但不幸的是我无法检查源 IP 地址是什么。也许源 IP 地址可能在管道中的某个地方发生了变化，并且在它达到 NSG 规则之前就发生了变化。

我在 Azure 中创建了一个网络安全组，以阻止与某些端点的外部连接。我添加了几条规则来执行此操作。

目前，规则允许一个列入白名单的 IP 访问所有端口，而另一个列入白名单的端口仅访问两个特定端口。我的规则如下：

• 来源：IP 地址
• 源IP地址范围：XX.XXX.XXX.XX
• 源端口范围：*
• 目的地： *
• 目的端口范围：*
• 协议：任何
• 动作允许
• 优先级：1000

• 名称：允许所有

  ---

• 来源：IP 地址

• 源IP地址范围：YY.YYY.YY.YY
• 源端口范围：*
• 目的地： *
• 目的端口范围：1234
• 协议：任何
• 动作允许
• 优先级：200

• 名称：Allow-Cus1-1234

  ---

• 来源：IP 地址

• 源IP地址范围：YY.YYY.YY.YY
• 源端口范围：*
• 目的地： *
• 目的端口范围：4321
• 协议：任何
• 动作允许
• 优先级：199
• 名称：Allow-Cus1-4321

  ---

这按预期工作，我们能够访问我们所有的端点，并且另一个 IP 的用户能够访问他们有权访问的两个端口（1234 和 4321）。但是，当我想将这两个端口打开到其他其他 IP 地址时，就会出现问题。我添加了另外两个规则，如下所示：

• 来源：IP 地址
• 源IP地址范围：ZZ.ZZZ.ZZ.ZZ
• 源端口范围：*
• 目的地： *
• 目的端口范围：1234
• 协议：任何
• 动作允许
• 优先级：198

• 名称：Allow-Cus2-1234

  ---

• 来源：IP 地址

• 源IP地址范围：ZZ.ZZZ.ZZ.ZZ
• 源端口范围：*
• 目的地： *
• 目的端口范围：4321
• 协议：任何
• 动作允许
• 优先级：197
• 名称：Allow-Cus2-4321

  ---

我认为这会奏效，但似乎不行。那么有谁知道我是否错过了一步或忘记在规则中添加任何重要信息？我的理论是，类似的规则在某种程度上是相互冲突的。

有谁知道是否可以将多个 IP 添加到网络安全组中的同一入站规则？

我有大约 100 个使用 Azure PowerShell 和 CLI 创建的 Azure Web 应用程序和 Azure 函数，现在我需要将这些 Web 应用程序的所有者访问权限分配给用户（每个 Web 应用程序的单独用户）

我找不到任何示例，大多数示例都指向分配资源组级别访问权限，而不是特定资源。

该任务可在 Azure 门户中实现，只需 PowerShell 或 CLI 命令为用户分配这些特定资源的所有者或贡献者权限。

如果可能，请提供示例命令

使用 Azure 安全中心，我的大多数 VM 都显示有关其系统更新的信息警告。当我进入它们时，它们没有任何最新数据。有 OS Vulnerability 列的最新数据，所以我知道连接正常，但未显示此数据。

用于扫描这些更新的机制是什么？我是否需要启动 Windows 更新服务并自动启动，或类似的东西？我所有的虚拟机都是 Windows 2012 或 2012R2，包括少数看起来工作正常的虚拟机。

我有一些想通过 RBAC 控制访问的 Azure 资源。这适用于同一租户中的用户，但我还想通过 RBAC 授予另一个租户中的用户对我的某些资源的读取权限？

做这个的最好方式是什么？我需要先通过 B2B 邀请来宾用户，然后将 RBAC 添加到来宾用户吗？

有没有办法为来宾租户中的 Azure 组执行此操作——（即通过 B2B 邀请 Azure 组，然后将 RBAC 分配给整个组）？

我正在编写一个官方的 Azure 在线教程，要求我按照 Azure 门户中的以下步骤进行操作。但如下图所示Prevention Policy，刀片上没有链接。问题：我可能在这里缺少什么？注意：我正在使用免费试用订阅。