keit-devsecops/azure-network-segmentation-validator

GitHub: keit-devsecops/azure-network-segmentation-validator

一款移动优先的 Azure 网络分段验证演示工具,通过模拟 IP Flow Verify 能力帮助用户直观检查 NSG 规则是否真正实现了子网隔离。

Stars: 0 | Forks: 0

# SegmentCheck — Azure 网络分段验证器 **由 Systems IT 架构师负责人 Tory Keit 设计与构建** 一款交互式、移动优先的工具,旨在回答一个看似简单实则复杂的问题:*你的网络分段真的有效吗?* 只需轻点即可验证一个本不该存在的隔离边界是否被悄悄打开——并准确查出导致该问题的具体规则。 **在线演示:** https://wonderful-pond-04427e40f.7.azurestaticapps.net ## 存在的问题 网络分段是 Zero Trust、PCI-DSS、NIST 和 FedRAMP 中的核心控制手段。但分段会悄无声息地失效:一条为了深夜调试而添加的“临时”规则、一个在工单关闭后依然存在的例外、一条范围界定过于宽泛的 jumpbox 规则。架构图看起来依然正确,但某条路径却被悄悄打开了——而且直到发生安全事件才有人知晓。手动验证意味着需要在整个环境中仔细梳理层层叠加的 NSG 规则、优先级以及允许/拒绝的重叠情况。 ## 创新的 Azure 能力 **Azure Network Watcher — IP Flow Verify。** Azure 无需手动审计 NSG 规则,而是会评估*有效的*规则集,并对任何源、目的地、端口和方向返回明确的 **Allowed / Denied**(允许 / 拒绝)判定结果——同时指出做出该决定的具体规则。这样可以持续且自动地验证分段,在攻击者之前发现敞开的路径。 ## 核心功能 - 构建分层 Azure 网络模型(Web / App / Data 层,外加一个 Management jumpbox)。 - 轻触一下,即可对一个本应关闭的边界执行类似 IP Flow Verify 的检查。 - 以动画形式展示违规路径:数据包从源传输到 Data 层,各层级发出红色警报,醒目的 **ALLOWED**(允许)判定结果会指出导致违规的规则。 - **修复并重新验证**(Remediate & Re-verify)功能可移除违规规则,并将判定结果更改为 **DENIED**(拒绝)——网络分段得以恢复。 - 包含两种场景:一条明目张胆的“临时”RDP 规则,以及一个看似合法实则绕过分层的、更为隐蔽的 jumpbox 越权访问。 ## 诚实声明 这是一个用于说明的模拟场景——并未连接到实际的在线租户。虽然环境是模拟的,但其所展示的能力(IP Flow Verify)与工作流都是真实的。 ## 架构 - 纯客户端(HTML/CSS/原生 JS),无后端,无外部库。 - Azure Static Web App,免费层级——零基础设施成本。 - **移动优先**:适配各种手机尺寸的流式布局,支持纵向和横向模式(旋转设备可获得更宽的并排视图),采用触控优先的控件。 ## 作品集系列的一部分 与 PathFinder(身份可达性)搭配,作为其网络可达性部分的对应补充;并与 Secure Landing Zone(正在验证的分段网络)相结合。 *说明性的模拟场景。真实的 Azure 能力。移动优先。基于 Azure 免费层级运行。*
标签:Azure, NSG规则, PE 加载器, 后端开发, 多模态安全, 插件系统, 数据可视化, 移动端, 网络安全, 网络隔离验证, 隐私保护