Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Prisma 云计算:使用自定义网络资源(自定义子网 ID 和安全组)在 Azure 中进行无代理扫描 - Knowledge Base - Palo Alto Networks

Prisma 云计算:使用自定义网络资源(自定义子网 ID 和安全组)在 Azure 中进行无代理扫描

7483
Created On 11/13/23 08:21 AM - Last Modified 12/19/23 05:21 AM


Objective


  • 本文介绍在 Azure 中使用自定义网络资源(自定义子网 ID 和安全组)进行无代理扫描以及所需的权限。

Environment


  • 普里斯马云计算版
    • SaaS
    • 自托管
    • 蔚蓝

Procedure


在 Prisma 中为 Azure 配置无代理扫描时,可以为扫描过程指定特定子网或安全组 (SG)。 扫描程序将采用指定子网/SG 的配置设置。 但是,它由名为“prismacloud-scan-XXXXXXXXXXX”的资源标识。  

配置过程:
  • 在 Azure 环境中,提供的自定义网络资源不直接用于无代理扫描。
  • 这是由于当前限制仅支持子网/安全组的单个标识符,并且 Azure 禁止在同一资源组中使用相同的子网/安全组名称。
  • 因此,不能假定指定的子网/安全组将存在于每个区域中。
  • 为了解决此问题,使用与 Prisma Agentless 资源组下提供的资源相同的配置创建网络资源,并标识为“prismacloud-scan-XXXXXXXXXX”。

创建网络资源:
  • Prisma 会主动创建新的子网和安全组,即使通过 Prisma UI 选择自定义网络配置也是如此。
  • 这种方法可确保一致性并遵守所需的配置。
  • 新创建的网络资源镜像提供的资源,其 Prisma Cloud Agentless 标识符为“prismacloud-scan-XXXXXXXXXX”。

权限要求:
  • 尽管通过 Prisma UI 选择了自定义网络资源,但请务必注意,要在 Azure 中使用自定义网络资源成功执行无代理扫描,仍需要 Azure 无代理权限文档中概述的非强制性权限
权限
目的
Microsoft.Network/networkInterfaces/write创建扫描程序实例网络接口
Microsoft.Network/networkInterfaces/delete删除扫描程序实例网络接口
微软. 网络安全创建扫描程序实例安全组
Microsoft.Network/networkSecurityGroups/delete删除扫描程序实例安全组
Microsoft.Network/virtualNetworks/write创建扫描程序实例网络
Microsoft.Network/virtualNetworks/delete删除扫描程序实例网络

Additional Information


下面是使用自定义安全组和子网 ID 进行 Azure 无代理扫描的示例

  • 为了演示使用 Azure 的自定义安全组和子网 ID 进行 Azure 无代理扫描的过程,我们将在 PCCAgentlessScanResourceGroup 中使用自定义安全组和子网 ID。 这是 Prisma Agentless 扫描的默认资源组。 请注意,在实际场景中,客户可能在不同的资源组中拥有自定义安全组和子网 ID。
image.png
  • Azure Subnet ID to be used for Agentless:
image.png
  • 用于无代理的 Azure 安全组是:
image.png

Prisma 配置:
  • 使用提供的子网 ID 和安全组,通过“网络资源”部分在 Prisma 中配置 Azure 无代理扫描。
  • 扫描模式:
    • 同一帐户:每个帐户都需要网络基础结构。 如果您使用自定义网络资源,则需要在每个账户的每个区域中创建网络基础设施
    • 中心帐户 :只有中心帐户才需要网络基础结构。 如果您使用自定义网络资源,则只需在中心账户的所有区域中创建网络基础设施。

image.png

无代理扫描执行:
  • 启动无代理扫描后,Prisma 会在名为“PCCAgentlessScanResourceGroup”的资源组下创建所有资源
  • 监视此 Azure 资源组会显示为 Azure 上的无代理创建的所有资源及其各自的状态。
  • 尽管在 Azure 中创建了自定义资源,但 Prisma 仍会为网络安全组和虚拟网络生成新资源,而不是直接利用现有资源,如 Prisma UI 中为无代理扫描配置的那样。 但是,使用名称“prismacloud-scan-XXXXXXXXXXX”创建的资源使用已配置的自定义子网/SG 的设置建立配置。
image.png


Prisma Agentless 创建的资源:
  • 虚拟网络(名为 prismacloud-scan-XXXXXXXXXXX)的配置与子网为 10.0.0.0/24 的自定义虚拟网络相同:
    • 自定义子网 ID 的子网 10.0.0.0/24 在 Prisma Agentless 资源下用于扫描。
image.png
 
  • 为无代理创建的网络安全组具有与自定义安全组相同的配置:
image.png



 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,580
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008Vq3CAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language