Share via

Správa analýzy provozu pomocí Azure Policy

  • Článek

Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém. Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Další informace o službě Azure Policy najdete v tématech Co je Azure Policy? a Rychlý start: Vytvoření přiřazení zásad k identifikaci prostředků, které nedodržují předpisy.

V tomto článku se dozvíte, jak pomocí tří předdefinovaných zásad dostupných pro Azure Network Watcher analýzy provozu spravovat nastavení.

Auditovat protokoly toku pomocí předdefinovaných zásad

Protokoly toků Network Watcher by měly mít povolenou analýzu provozu a auditují všechny existující protokoly toků auditováním objektů Azure Resource Manager typu Microsoft.Network/networkWatchers/flowLogs a kontrolou, jestli je povolená analýza provozu prostřednictvím networkWatcherFlowAnalyticsConfiguration.enabled vlastnosti prostředku protokolů toků. Tato zásada pak označí příznakem prostředek protokolů toku, který má vlastnost nastavenou na false.

Audit protokolů toku pomocí předdefinovaných zásad:

  1. Přihlaste se k webu Azure Portal.

  2. Do vyhledávacího pole v horní části portálu zadejte zásady. Ve výsledcích hledání vyberte Zásady .

    Snímek obrazovky s hledáním zásad v Azure Portal

  3. Vyberte Přiřazení a pak vyberte Přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka Přiřadit zásadu v Azure Portal

  4. Vyberte tři tečky ... vedle rozsahu a zvolte předplatné Azure s protokoly toků, které chcete auditovat. Můžete také zvolit skupinu prostředků, která obsahuje protokoly toků. Po výběru vyberte tlačítko Vybrat .

    Snímek obrazovky s výběrem oboru zásady v Azure Portal

  5. Vyberte tři tečky ... vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte analýzu provozu a vyberte Předdefinovaný filtr. Ve výsledcích hledání vyberte, Network Watcher protokoly toku by měly mít povolenou analýzu provozu, a pak vyberte Přidat.

    Snímek obrazovky s výběrem zásady auditu v Azure Portal

  6. Zadejte jméno do pole Název přiřazení a do pole Přiřazeno. Tato zásada nevyžaduje žádné parametry.

  7. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

    Snímek obrazovky s kartou Základy pro přiřazení zásad auditu v Azure Portal

    Poznámka

    Tato zásada nevyžaduje žádné parametry. Neobsahuje také žádné definice rolí, takže na kartě Náprava nemusíte vytvářet přiřazení rolí pro spravovanou identitu.

  8. Vyberte Dodržování předpisů. Vyhledejte název zadání a vyberte ho.

    Snímek obrazovky se stránkou Dodržování předpisů zobrazující zásady auditu v Azure Portal

  9. Seznam dodržování předpisů prostředkem obsahuje všechny nekompatibilní protokoly toků.

    Snímek obrazovky s podrobnostmi o zásadách auditu v Azure Portal

Nasazení a konfigurace analýzy provozu pomocí zásad deployIfNotExists

Pro konfiguraci protokolů toku NSG jsou k dispozici dvě zásady deployIfNotExists :

  • Konfigurace skupin zabezpečení sítě tak, aby používaly konkrétní pracovní prostor, účet úložiště a zásady uchovávání protokolů toků pro analýzu provozu: Tato zásada označí skupinu zabezpečení sítě, která nemá povolenou analýzu provozu. U skupiny zabezpečení sítě s příznakem buď neexistuje odpovídající prostředek protokolů toku NSG, nebo existuje prostředek protokolů toku NSG, ale není u něj povolená analýza provozu. Pokud chcete, aby zásady ovlivnily existující prostředky, můžete vytvořit úlohu nápravy .

    Nápravu je možné přiřadit při přiřazování zásad nebo po přiřazení a vyhodnocení zásady. Náprava umožňuje analýzu provozu u všech prostředků s příznakem se zadanými parametry. Pokud už má skupina zabezpečení sítě povolené protokoly toků do určitého ID úložiště, ale nemá povolenou analýzu provozu, pak náprava povolí analýzu provozu v této skupině zabezpečení sítě se zadanými parametry. Pokud se ID úložiště zadané v parametrech liší od ID povoleného pro protokoly toku, pak se id úložiště zadané v úloze nápravy přepíše. Pokud nechcete přepsat, pomocí konfigurace skupin zabezpečení sítě povolte zásady analýzy provozu .

  • Konfigurace skupin zabezpečení sítě pro povolení analýzy provozu: Tato zásada se podobá předchozí zásadě s tím rozdílem, že během nápravy nepřepíše nastavení protokolů toku u skupin zabezpečení sítě s příznakem, které mají povolené protokoly toků, ale analýzu provozu jsou zakázané s parametrem zadaným v přiřazení zásady.

Poznámka

Network Watcher je regionální služba, takže dvě zásady deployIfNotExists se budou vztahovat na skupiny zabezpečení sítě, které existují v konkrétní oblasti. Pro skupiny zabezpečení sítě v jiné oblasti vytvořte v této oblasti další přiřazení zásad.

Pokud chcete přiřadit některou ze dvou zásad deployIfNotExists , postupujte takto:

  1. Přihlaste se k webu Azure Portal.

  2. Do vyhledávacího pole v horní části portálu zadejte zásady. Ve výsledcích hledání vyberte Zásady .

    Snímek obrazovky s hledáním zásad v Azure Portal

  3. Vyberte Přiřazení a pak vyberte Přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka Přiřadit zásadu v Azure Portal

  4. Vyberte tři tečky ... vedle rozsahu a zvolte předplatné Azure s protokoly toků, které chcete auditovat. Můžete také zvolit skupinu prostředků, která obsahuje protokoly toků. Po provedení výběru zvolte tlačítko Vybrat .

    Snímek obrazovky s výběrem oboru zásady v Azure Portal

  5. Vyberte tři tečky ... vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte analýzu provozu a vyberte předdefinovaný filtr. Ve výsledcích hledání vyberte Konfigurovat skupiny zabezpečení sítě tak, aby používaly konkrétní pracovní prostor, účet úložiště a zásady uchovávání protokolů toků pro analýzu provozu , a pak vyberte Přidat.

    Snímek obrazovky s výběrem zásady deployIfNotExists v Azure Portal

  6. Zadejte jméno do pole Název přiřazení a do pole Přiřazeno.

    Snímek obrazovky s kartou Základy přiřazování zásad nasazení v Azure Portal

  7. Dvakrát vyberte tlačítko Další nebo vyberte kartu Parametry . Pak zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Účinek Vyberte DeployIfNotExists.
    Oblast skupiny zabezpečení sítě Vyberte oblast skupiny zabezpečení sítě, na kterou cílíte zásadu.
    ID prostředku úložiště Zadejte úplné ID prostředku účtu úložiště. Účet úložiště musí být ve stejné oblasti jako skupina zabezpečení sítě. Formát ID prostředku úložiště je: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Interval zpracování analýzy provozu v minutách Vyberte frekvenci odesílání zpracovaných protokolů do pracovního prostoru. Aktuálně dostupné hodnoty jsou 10 a 60 minut. Výchozí hodnota je 60 minut.
    ID prostředku pracovního prostoru Zadejte úplné ID prostředku pracovního prostoru, ve kterém musí být povolena analýza provozu. Formát ID prostředku pracovního prostoru je: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    Oblast pracovního prostoru Vyberte oblast pracovního prostoru analýzy provozu.
    ID pracovního prostoru Zadejte ID pracovního prostoru analýzy provozu.
    Network Watcher skupiny prostředků Vyberte skupinu prostředků vašeho Network Watcher.
    název Network Watcher Zadejte název Network Watcher.
    Počet dnů uchovávání protokolů toků Zadejte počet dnů, po které chcete uchovávat data protokolů toků v účtu úložiště. Pokud chcete data uchovávat navždy, zadejte 0.

    Poznámka

    Oblast pracovního prostoru analýzy provozu nemusí být stejná jako oblast cílové skupiny zabezpečení sítě.

    Snímek obrazovky s kartou Parametry přiřazování zásad nasazení v Azure Portal

  8. Vyberte kartu Další nebo Náprava . Zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Vytvořit úlohu nápravy Zaškrtněte toto políčko, pokud chcete, aby zásady ovlivnily existující prostředky.
    Vytvoření spravované identity Zaškrtněte políčko.
    Typ spravované identity Vyberte typ spravované identity, kterou chcete použít.
    Umístění identity přiřazené systémem Vyberte oblast identity přiřazené systémem.
    Obor Vyberte obor identity přiřazené uživatelem.
    Existující identity přiřazené uživatelem Vyberte identitu přiřazenou uživatelem.

    Poznámka

    K použití této zásady potřebujete oprávnění přispěvatele nebo vlastníka .

    Snímek obrazovky s kartou Náprava s přiřazením zásad nasazení v Azure Portal

  9. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

  10. Vyberte Dodržování předpisů. Vyhledejte název zadání a pak ho vyberte.

    Snímek obrazovky se stránkou Dodržování předpisů zobrazující zásady nasazení v Azure Portal

  11. Výběrem možnosti Dodržování předpisů prostředků získáte seznam všech protokolů toků, které nedodržují předpisy.

    Snímek obrazovky s podrobnostmi o zásadách nasazení v Azure Portal

Řešení potíží

Úloha nápravy selže s kódem PolicyAuthorizationFailed chyby: Ukázkový příklad chyby Identita prostředku přiřazení /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ zásad nemá potřebná oprávnění k vytvoření nasazení.

V takovém případě musí být spravované identitě udělen přístup ručně. Přejděte do příslušného předplatného nebo skupiny prostředků (obsahující prostředky uvedené v parametrech zásad) a udělte přispěvateli přístup ke spravované identitě vytvořené zásadou.

Další kroky