De beveiliging van uw virtuele machine analyseren met de weergave Beveiligingsgroep met behulp van Azure CLI
Notitie
De WEERGAVE-API voor beveiligingsgroepen wordt niet meer onderhouden en wordt binnenkort afgeschaft. Gebruik de functie Effectieve beveiligingsregels die dezelfde functionaliteit biedt.
De weergave Beveiligingsgroep retourneert geconfigureerde en effectieve netwerkbeveiligingsregels die worden toegepast op een virtuele machine. Deze mogelijkheid is handig voor het controleren en diagnosticeren van netwerkbeveiliging Groepen en regels die zijn geconfigureerd op een VIRTUELE machine om ervoor te zorgen dat verkeer correct wordt toegestaan of geweigerd. In dit artikel laten we zien hoe u de geconfigureerde en effectieve beveiligingsregels op een virtuele machine kunt ophalen met behulp van Azure CLI
Als u de stappen in dit artikel wilt uitvoeren, moet u de Azure CLI voor Windows, Linux of macOS installeren.
Voordat u begint
In dit scenario wordt ervan uitgegaan dat u de stappen in Creatie een Network Watcher al hebt gevolgd om een Network Watcher te maken.
Scenario
In het scenario dat in dit artikel wordt behandeld, worden de geconfigureerde en effectieve beveiligingsregels voor een bepaalde virtuele machine opgehaald.
Een VM ophalen
Er is een virtuele machine vereist om de vm list
cmdlet uit te voeren. Met de volgende opdracht worden de virtuele machines in een resourcegroep weergegeven:
az vm list -resource-group resourceGroupName
Zodra u de virtuele machine kent, kunt u de cmdlet gebruiken om de vm show
resource-id op te halen:
az vm show -resource-group resourceGroupName -name virtualMachineName
Weergave beveiligingsgroep ophalen
De volgende stap is het ophalen van het resultaat van de weergave van de beveiligingsgroep.
az network watcher show-security-group-view --resource-group resourceGroupName --vm vmName
De resultaten weergeven
Het volgende voorbeeld is een verkort antwoord van de geretourneerde resultaten. De resultaten tonen alle effectieve en toegepaste beveiligingsregels op de virtuele machine, onderverdeeld in groepen van NetworkInterfaceSecurityRules, DefaultSecurityRules en EffectiveSecurityRules.
{
"networkInterfaces": [
{
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkInterfaces/{nicName}",
"resourceGroup": "{resourceGroupName}",
"securityRuleAssociations": {
"defaultSecurityRules": [
{
"access": "Allow",
"description": "Allow inbound traffic from all VMs in VNET",
"destinationAddressPrefix": "VirtualNetwork",
"destinationPortRange": "*",
"direction": "Inbound",
"etag": null,
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups//providers/Microsoft.Network/networkSecurityGroups/{nsgName}/defaultSecurityRules/AllowVnetInBound",
"name": "AllowVnetInBound",
"priority": 65000,
"protocol": "*",
"provisioningState": "Succeeded",
"resourceGroup": "",
"sourceAddressPrefix": "VirtualNetwork",
"sourcePortRange": "*"
}...
],
"effectiveSecurityRules": [
{
"access": "Deny",
"destinationAddressPrefix": "*",
"destinationPortRange": "0-65535",
"direction": "Outbound",
"expandedDestinationAddressPrefix": null,
"expandedSourceAddressPrefix": null,
"name": "DefaultOutboundDenyAll",
"priority": 65500,
"protocol": "All",
"sourceAddressPrefix": "*",
"sourcePortRange": "0-65535"
},
{
"access": "Allow",
"destinationAddressPrefix": "VirtualNetwork",
"destinationPortRange": "0-65535",
"direction": "Outbound",
"expandedDestinationAddressPrefix": [
"10.1.0.0/24",
"168.63.129.16/32"
],
"expandedSourceAddressPrefix": [
"10.1.0.0/24",
"168.63.129.16/32"
],
"name": "DefaultRule_AllowVnetOutBound",
"priority": 65000,
"protocol": "All",
"sourceAddressPrefix": "VirtualNetwork",
"sourcePortRange": "0-65535"
},...
],
"networkInterfaceAssociation": {
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkInterfaces/{nicName}",
"resourceGroup": "{resourceGroupName}",
"securityRules": [
{
"access": "Allow",
"description": null,
"destinationAddressPrefix": "*",
"destinationPortRange": "3389",
"direction": "Inbound",
"etag": "W/\"efb606c1-2d54-475a-ab20-da3f80393577\"",
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkSecurityGroups/{nsgName}/securityRules/default-allow-rdp",
"name": "default-allow-rdp",
"priority": 1000,
"protocol": "TCP",
"provisioningState": "Succeeded",
"resourceGroup": "{resourceGroupName}",
"sourceAddressPrefix": "*",
"sourcePortRange": "*"
}
]
},
"subnetAssociation": null
}
}
]
}
Volgende stappen
Ga naar NSG (Network Security Groepen) controleren met Network Watcher voor meer informatie over het automatiseren van validatie van netwerkbeveiligings-Groepen.
Meer informatie over de beveiligingsregels die worden toegepast op uw netwerkresources vindt u in Overzicht van de weergave Beveiligingsgroep