【Azure Policy】在Azure Policy的规则中实现数组对数组的规则校验

问题描述

在之前的博文 “ 【Azure Policy】添加策略用于审计Azure 网络安全组(NSG)规则 -- 只能特定的IP地址允许3389/22端口访问 ” 中，介绍了对固定IP地址，端口的审计规则。

只是在实际使用中，发现端口和IP都可以输入多个值，并且以“,”号分割，最终在Azure的NSG资源中，显示为数组格式值，如下：

为了实现数组队对应数组的验证，需要重新编写Policy Rule， 如何来实现如下 两个要求呢？

要求一：输入的IP地址只能是 192.168.1.1 和167.220.0.0/16， 可以是其中的一个，但是不能有这两个值之外的其它值。

要求二：端口输入中，只要包含了22，3389的输入，都需要进行判断

 

问题解答

要求一 ： “输入的IP地址只能是 192.168.1.1 和167.220.0.0/16， 可以是其中的一个，但是不能有这两个值之外的其它值。”

根据要求，做出了下表中的示例：

 所以，最开始考虑的是使用  In 或者是  notIn  来进行判断，根据Copilot的回答：

问：Azure Policy中的，如果policy rule中field是array ， 同另一个array 进行notin 判断， 它在什么情况下是true， 什么情况下是false呢？

答：在Azure Policy中，如果policy rule中的field是一个array，并且需要与另一个array进行notIn判断，以下是判断条件为true或false的情况：

True：当field中的所有元素都不在另一个array中时，notIn判断为true。例如，如果field是["A", "B", "C"]，而另一个array是["D", "E", "F"]，则判断为true，因为field中的所有元素都不在另一个array中。

False：当field中的任何一个元素存在于另一个array中时，notIn判断为false。例如，如果field是["A", "B", "C"]，而另一个array是["B", "E", "F"]，则判断为false，因为field中的元素B存在于另一个array中。

继续追问：

问：Azure Policy中的，如果policy rule中field是array ， 同另一个array 进行in 判断， 它在什么情况下是true， 什么情况下是false呢？

答：在Azure Policy中，如果policy rule中的field是一个array，并且需要与另一个array进行in判断，以下是判断条件为true或false的情况：

True：当field中的任何一个元素存在于另一个array中时，in判断为true。例如，如果field是["A", "B", "C"]，而另一个array是["B", "E", "F"]，则判断为true，因为field中的元素B存在于另一个array中[1][2].

False：当field中的所有元素都不在另一个array中时，in判断为false。例如，如果field是["A", "B", "C"]，而另一个array是["D", "E", "F"]，则判断为false，因为field中的所有元素都不在另一个array中[1][2].

希望这个解释对你有帮助！如果你有其他问题，欢迎随时提问。

References

[1] Details of the policy definition structure policy rules - Azure Policy | Microsoft Learn

[2] Details of Azure Policy definition structure basics - Azure Policy | Microsoft Learn

但是在实际的多次验证后，发现使用 In / notIn 在 Policy Deny的策略中，并没有达到理想的效果。最后，在 in的基础上进行了count操作，才能正常判断输入2个及2个以上的值是否满足条件：

 

而关于条件二，则要简单一些，因为输入的值，只要包含 22， 3389 ，则这条语句就返回 True， 当值只有一个时，使用equals，当有多个时，用not + notIn来进行判断。 

PS:  notIn 的判断规则时，只要全部输入值都不包含22，3389的时候，才返回True，  然后通过Not 反转为 False，表示只要输入值没有22，3389，就不用审计。

          {
            "anyOf": [
              {
                "field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRange",
                "equals": "3389"
              },
              {
                "field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRange",
                "equals": "22"
              },
              {
                "not": {
                  "field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRanges[*]",
                  "notIn": [
                    "3389",
                    "22"
                  ]
                }
              }
            ]
          }

以上两个条件的执行效果如下：

完整的Policy参考如下：

{
  "mode": "All",
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.Network/networkSecurityGroups/securityRules"
        },
        {
          "field": "Microsoft.Network/networkSecurityGroups/securityRules/direction",
          "equals": "Inbound"
        },
        {
          "anyOf": [
            {
              "field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRange",
              "equals": "3389"
            },
            {
              "field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRange",
              "equals": "22"
            },
            {
              "not": {
                "field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRanges[*]",
                "notIn": [
                  "3389",
                  "22"
                ]
              }
            }
          ]
        },
        {
          "anyOf": [
            {
              "allOf": [
                {
                  "count": {
                    "field": "Microsoft.Network/networkSecurityGroups/securityRules/sourceAddressPrefixes[*]"
                  },
                  "greater": 1
                },
                {
                  "not": {
                    "allOf": [
                      {
                        "count": {
                          "field": "Microsoft.Network/networkSecurityGroups/securityRules/sourceAddressPrefixes[*]",
                          "where": {
                            "field": "Microsoft.Network/networkSecurityGroups/securityRules/sourceAddressPrefixes[*]",
                            "In": "[parameters('allowedIPs')]"
                          }
                        },
                        "equals": 2
                      },
                      {
                        "count": {
                          "field": "Microsoft.Network/networkSecurityGroups/securityRules/sourceAddressPrefixes[*]"
                        },
                        "equals": 2
                      }
                    ]
                  }
                }
              ]
            },
            {
              "allOf": [
                {
                  "count": {
                    "field": "Microsoft.Network/networkSecurityGroups/securityRules/sourceAddressPrefixes[*]"
                  },
                  "equals": 0
                },
                {
                  "field": "Microsoft.Network/networkSecurityGroups/securityRules/sourceAddressPrefix",
                  "notIn": "[parameters('allowedIPs')]"
                }
              ]
            }
          ]
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {
    "allowedIPs": {
      "type": "Array",
      "metadata": {
        "displayName": "Allowed IPs",
        "description": "The list of allowed IPs for resources."
      },
      "defaultValue": [
        "192.168.1.1"
      ]
    }
  }
}

 

 

[END]