Policy for blocking ssh with source any

%3CLINGO-SUB%20id%3D%22lingo-sub-1595538%22%20slang%3D%22en-US%22%3EPolicy%20for%20blocking%20ssh%20with%20source%20any%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-1595538%22%20slang%3D%22en-US%22%3E%3CP%3EI%20am%20trying%20to%26nbsp%3B%20create%20a%20policy%20which%20does%20not%20allow%20security%20inbound%20rules%20for%20destination%20port%2022%20and%20source%20any.%20Policy%20definition%20is%20saved%20and%20assigned%2C%20but%20I%20can%20still%20create%20an%20inbound%20rule%20for%20destination%20port%2022%20with%20source%20any.%3CBR%20%2F%3E%3CBR%20%2F%3E%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-json%22%3E%3CCODE%3E%22policyRule%22%3A%20%7B%0A%20%20%20%20%20%20%22if%22%3A%20%7B%0A%20%20%20%20%20%20%20%20%22allOf%22%3A%20%5B%0A%20%20%20%20%20%20%20%20%20%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%22field%22%3A%20%22type%22%2C%0A%20%20%20%20%20%20%20%20%20%20%20%20%22equals%22%3A%20%22Microsoft.Network%2FnetworkSecurityGroups%2FsecurityRules%22%0A%20%20%20%20%20%20%20%20%20%20%7D%2C%0A%20%20%20%20%20%20%20%20%20%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%22field%22%3A%20%22Microsoft.Network%2FnetworkSecurityGroups%2FsecurityRules%2FdestinationPortRange%22%2C%0A%20%20%20%20%20%20%20%20%20%20%20%20%22equals%22%3A%20%2222%22%0A%20%20%20%20%20%20%20%20%20%20%7D%2C%0A%20%20%20%20%20%20%20%20%20%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%22field%22%3A%20%22Microsoft.Network%2FnetworkSecurityGroups%2FsecurityRules%2FsourceAddressPrefix%22%2C%0A%20%20%20%20%20%20%20%20%20%20%20%20%22equals%22%3A%20%22*%22%0A%20%20%20%20%20%20%20%20%20%20%7D%2C%0A%20%20%20%20%20%20%20%20%20%20%7B%0A%20%20%20%20%20%20%20%20%20%20%20%20%22field%22%3A%20%22Microsoft.Network%2FnetworkSecurityGroups%2FsecurityRules%2Fdirection%22%2C%0A%20%20%20%20%20%20%20%20%20%20%20%20%22equals%22%3A%20%22Inbound%22%0A%20%20%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%20%20%5D%0A%20%20%20%20%20%20%7D%2C%0A%20%20%20%20%20%20%22then%22%3A%20%7B%0A%20%20%20%20%20%20%20%20%22effect%22%3A%20%22deny%22%0A%20%20%20%20%20%20%7D%0A%20%20%20%20%7D%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%3CBR%20%2F%3EAny%20idea%20what%20I%3C%2FP%3E%3C%2FLINGO-BODY%3E%3CLINGO-LABS%20id%3D%22lingo-labs-1595538%22%20slang%3D%22en-US%22%3E%3CLINGO-LABEL%3EAzure%20Policy%3C%2FLINGO-LABEL%3E%3C%2FLINGO-LABS%3E%3CLINGO-SUB%20id%3D%22lingo-sub-1595920%22%20slang%3D%22en-US%22%3ERe%3A%20Policy%20for%20blocking%20ssh%20with%20source%20any%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-1595920%22%20slang%3D%22en-US%22%3E%3CP%3Enever%20mind%2C%20I%20was%20to%20impatient.%20it%20takes%20some%20time%20before%20the%20policy%20is%20active%2Feffective.%3C%2FP%3E%3C%2FLINGO-BODY%3E
New Contributor

I am trying to  create a policy which does not allow security inbound rules for destination port 22 and source any. Policy definition is saved and assigned, but I can still create an inbound rule for destination port 22 with source any.

 

 

"policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.Network/networkSecurityGroups/securityRules"
          },
          {
            "field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRange",
            "equals": "22"
          },
          {
            "field": "Microsoft.Network/networkSecurityGroups/securityRules/sourceAddressPrefix",
            "equals": "*"
          },
          {
            "field": "Microsoft.Network/networkSecurityGroups/securityRules/direction",
            "equals": "Inbound"
          }
        ]
      },
      "then": {
        "effect": "deny"
      }
    }

 

 


Any idea what I

1 Reply

never mind, I was to impatient. it takes some time before the policy is active/effective.