问题标签 [azure-security]

我正在尝试创建拒绝策略来拒绝磁盘解密（通过 Azure 磁盘加密进行加密），但拒绝没有生效。我确实看到磁盘不合规。

以下是政策：

我认为它不合规，但拒绝没有生效。我仍然可以运行“az vm 加密禁用”。Lock 是通往这里的路吗？在 VM 操作系统和数据磁盘上使用锁定的任何意外问题。

我在 Azure 中运行了两个应用程序服务，一个是 Web 门户（受 JWT 登录保护的 CRM 类型的管理系统），另一个是用于控制对包含 Web 门户数据的数据库的访问的 API（因此，用户登录进入门户，门户查询API以便与数据库交互）。

由于数据库中保存了个人详细信息，我希望该系统尽可能安全。我正在使用 Azure 顾问和安全中心来帮助解决这个问题。

目前在我的面向公众的 Web 门户上标记的一个安全问题是，我需要限制对 Web 服务的访问，以符合各种安全协议，但最值得注意的是 ISO27001。我想遵守这一点，但我应该如何限制对公共网站的访问？已经存在用户必须登录的限制，我不能通过 IP 地址进行限制，因为我显然不知道哪个 IP 地址将发送登录凭据。

我错过了什么吗？

我们有一个 Azure Web 应用程序和 Azure VPN，我们已经锁定了 Web 应用程序，因此只能通过 IP 地址授予/限制访问权限（通过访问限制页面）在内部对其进行访问。但是，通过我们的 VPN 的用户无法访问网络应用程序 - 当他们通过 VPN 连接时，用户的外部 IP 地址不是来自我们的内部网络。我们不想将每个人的 IP 地址列入白名单。

如果我们有 Web 应用程序的内部 IP 地址，我们可以尝试一些选项，但我们假设这对我们不可用。

我们如何允许用户通过 VPN 访问 Web 应用程序？
这是 API 管理可以解决的问题吗？

组织设置 -> 用户 -> 组规则 -> （添加组规则）

“Azure DevOps Groups”列表从哪里填充，有没有办法将其他组添加到列表中？

有什么方法可以自动关闭 Azure 安全中心警报？就像通过 PowerShell 脚本之类的？

我们正在来自安全中心的新哨兵 siem 中创建警报，我们想要关闭哨兵和安全中心的案例。

对于哨兵案例，您可以通过逻辑应用自动关闭，但是 Azure 安全中心不存在逻辑应用上的相同功能。

问候，凯利

我在日志中看到我的 VM 尝试访问此存储帐户eusaaomssa.blob.core.windows.net。这个是来做什么的？我在文档中的任何地方都找不到它，甚至谷歌也无法在任何地方找到它。

我有一些 azure 资源，如 AKS、redis、cosmos、APIM 等。为了保护资源免受 DDOS 等攻击，我们将它们全部放在私有 vnet 中，并使其只能通过 APIM 访问。这是正确的方法吗？在这种情况下，我们只需要担心 APIM 的安全性。然而，与 vnet 相关的成本很高，我们正在评估其他选项。我看到的一件事是保护整个 RG 的 DDOS 保护计划。所以另一种方法是移除 VNET 并使用 DDOS 保护计划保护 RG。但是，即使有 DDOS 保护计划，还有其他可能的攻击吗？解决它们的最佳方法是什么？任何线索都会非常有帮助

有没有办法通过 PowerShell、Cli、C#、Python 等编程方法或通过 API 关闭 Azure 安全中心警报？

非常感谢您的帮助。

网上也查了stackoverflow，没找到答案

如何停用特定资源的 Azure 安全策略？策略仍应适用于资源组/订阅中的其他资源。

如何防止用户创建其他 Azure Active Directory 租户/目录？现在可以如此处所述https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-access-create-new-tenant。我们想锁定此功能。谢谢你。