Správa analýzy provozu pomocí Azure Policy
Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém. Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Další informace o službě Azure Policy najdete v tématech Co je Azure Policy? a Rychlý start: Vytvoření přiřazení zásad k identifikaci prostředků, které nedodržují předpisy.
V tomto článku se dozvíte, jak pomocí tří předdefinovaných zásad dostupných pro Azure Network Watcher analýzy provozu spravovat nastavení.
Auditovat protokoly toku pomocí předdefinovaných zásad
Protokoly toků Network Watcher by měly mít povolenou analýzu provozu a auditují všechny existující protokoly toků auditováním objektů Azure Resource Manager typu Microsoft.Network/networkWatchers/flowLogs
a kontrolou, jestli je povolená analýza provozu prostřednictvím networkWatcherFlowAnalyticsConfiguration.enabled
vlastnosti prostředku protokolů toků. Tato zásada pak označí příznakem prostředek protokolů toku, který má vlastnost nastavenou na false.
Audit protokolů toku pomocí předdefinovaných zásad:
Přihlaste se k webu Azure Portal.
Do vyhledávacího pole v horní části portálu zadejte zásady. Ve výsledcích hledání vyberte Zásady .
Vyberte Přiřazení a pak vyberte Přiřadit zásadu.
Vyberte tři tečky ... vedle rozsahu a zvolte předplatné Azure s protokoly toků, které chcete auditovat. Můžete také zvolit skupinu prostředků, která obsahuje protokoly toků. Po výběru vyberte tlačítko Vybrat .
Vyberte tři tečky ... vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte analýzu provozu a vyberte Předdefinovaný filtr. Ve výsledcích hledání vyberte, Network Watcher protokoly toku by měly mít povolenou analýzu provozu, a pak vyberte Přidat.
Zadejte jméno do pole Název přiřazení a do pole Přiřazeno. Tato zásada nevyžaduje žádné parametry.
Vyberte Zkontrolovat a vytvořit a pak Vytvořit.
Poznámka
Tato zásada nevyžaduje žádné parametry. Neobsahuje také žádné definice rolí, takže na kartě Náprava nemusíte vytvářet přiřazení rolí pro spravovanou identitu.
Vyberte Dodržování předpisů. Vyhledejte název zadání a vyberte ho.
Seznam dodržování předpisů prostředkem obsahuje všechny nekompatibilní protokoly toků.
Nasazení a konfigurace analýzy provozu pomocí zásad deployIfNotExists
Pro konfiguraci protokolů toku NSG jsou k dispozici dvě zásady deployIfNotExists :
Konfigurace skupin zabezpečení sítě tak, aby používaly konkrétní pracovní prostor, účet úložiště a zásady uchovávání protokolů toků pro analýzu provozu: Tato zásada označí skupinu zabezpečení sítě, která nemá povolenou analýzu provozu. U skupiny zabezpečení sítě s příznakem buď neexistuje odpovídající prostředek protokolů toku NSG, nebo existuje prostředek protokolů toku NSG, ale není u něj povolená analýza provozu. Pokud chcete, aby zásady ovlivnily existující prostředky, můžete vytvořit úlohu nápravy .
Nápravu je možné přiřadit při přiřazování zásad nebo po přiřazení a vyhodnocení zásady. Náprava umožňuje analýzu provozu u všech prostředků s příznakem se zadanými parametry. Pokud už má skupina zabezpečení sítě povolené protokoly toků do určitého ID úložiště, ale nemá povolenou analýzu provozu, pak náprava povolí analýzu provozu v této skupině zabezpečení sítě se zadanými parametry. Pokud se ID úložiště zadané v parametrech liší od ID povoleného pro protokoly toku, pak se id úložiště zadané v úloze nápravy přepíše. Pokud nechcete přepsat, pomocí konfigurace skupin zabezpečení sítě povolte zásady analýzy provozu .
Konfigurace skupin zabezpečení sítě pro povolení analýzy provozu: Tato zásada se podobá předchozí zásadě s tím rozdílem, že během nápravy nepřepíše nastavení protokolů toku u skupin zabezpečení sítě s příznakem, které mají povolené protokoly toků, ale analýzu provozu jsou zakázané s parametrem zadaným v přiřazení zásady.
Poznámka
Network Watcher je regionální služba, takže dvě zásady deployIfNotExists se budou vztahovat na skupiny zabezpečení sítě, které existují v konkrétní oblasti. Pro skupiny zabezpečení sítě v jiné oblasti vytvořte v této oblasti další přiřazení zásad.
Pokud chcete přiřadit některou ze dvou zásad deployIfNotExists , postupujte takto:
Přihlaste se k webu Azure Portal.
Do vyhledávacího pole v horní části portálu zadejte zásady. Ve výsledcích hledání vyberte Zásady .
Vyberte Přiřazení a pak vyberte Přiřadit zásadu.
Vyberte tři tečky ... vedle rozsahu a zvolte předplatné Azure s protokoly toků, které chcete auditovat. Můžete také zvolit skupinu prostředků, která obsahuje protokoly toků. Po provedení výběru zvolte tlačítko Vybrat .
Vyberte tři tečky ... vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte analýzu provozu a vyberte předdefinovaný filtr. Ve výsledcích hledání vyberte Konfigurovat skupiny zabezpečení sítě tak, aby používaly konkrétní pracovní prostor, účet úložiště a zásady uchovávání protokolů toků pro analýzu provozu , a pak vyberte Přidat.
Zadejte jméno do pole Název přiřazení a do pole Přiřazeno.
Dvakrát vyberte tlačítko Další nebo vyberte kartu Parametry . Pak zadejte nebo vyberte následující hodnoty:
Nastavení Hodnota Účinek Vyberte DeployIfNotExists. Oblast skupiny zabezpečení sítě Vyberte oblast skupiny zabezpečení sítě, na kterou cílíte zásadu. ID prostředku úložiště Zadejte úplné ID prostředku účtu úložiště. Účet úložiště musí být ve stejné oblasti jako skupina zabezpečení sítě. Formát ID prostředku úložiště je: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>
.Interval zpracování analýzy provozu v minutách Vyberte frekvenci odesílání zpracovaných protokolů do pracovního prostoru. Aktuálně dostupné hodnoty jsou 10 a 60 minut. Výchozí hodnota je 60 minut. ID prostředku pracovního prostoru Zadejte úplné ID prostředku pracovního prostoru, ve kterém musí být povolena analýza provozu. Formát ID prostředku pracovního prostoru je: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>
.Oblast pracovního prostoru Vyberte oblast pracovního prostoru analýzy provozu. ID pracovního prostoru Zadejte ID pracovního prostoru analýzy provozu. Network Watcher skupiny prostředků Vyberte skupinu prostředků vašeho Network Watcher. název Network Watcher Zadejte název Network Watcher. Počet dnů uchovávání protokolů toků Zadejte počet dnů, po které chcete uchovávat data protokolů toků v účtu úložiště. Pokud chcete data uchovávat navždy, zadejte 0. Poznámka
Oblast pracovního prostoru analýzy provozu nemusí být stejná jako oblast cílové skupiny zabezpečení sítě.
Vyberte kartu Další nebo Náprava . Zadejte nebo vyberte následující hodnoty:
Nastavení Hodnota Vytvořit úlohu nápravy Zaškrtněte toto políčko, pokud chcete, aby zásady ovlivnily existující prostředky. Vytvoření spravované identity Zaškrtněte políčko. Typ spravované identity Vyberte typ spravované identity, kterou chcete použít. Umístění identity přiřazené systémem Vyberte oblast identity přiřazené systémem. Obor Vyberte obor identity přiřazené uživatelem. Existující identity přiřazené uživatelem Vyberte identitu přiřazenou uživatelem. Poznámka
K použití této zásady potřebujete oprávnění přispěvatele nebo vlastníka .
Vyberte Zkontrolovat a vytvořit a pak Vytvořit.
Vyberte Dodržování předpisů. Vyhledejte název zadání a pak ho vyberte.
Výběrem možnosti Dodržování předpisů prostředků získáte seznam všech protokolů toků, které nedodržují předpisy.
Řešení potíží
Úloha nápravy selže s kódem PolicyAuthorizationFailed
chyby: Ukázkový příklad chyby Identita prostředku přiřazení /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/
zásad nemá potřebná oprávnění k vytvoření nasazení.
V takovém případě musí být spravované identitě udělen přístup ručně. Přejděte do příslušného předplatného nebo skupiny prostředků (obsahující prostředky uvedené v parametrech zásad) a udělte přispěvateli přístup ke spravované identitě vytvořené zásadou.
Další kroky
- Přečtěte si o integrovaných zásadách toku NSG.
- Přečtěte si další informace o analýze provozu.
- Informace o použití šablony Azure Resource Manager (ARM) k nasazení protokolů toku a analýzy provozu najdete v tématu Konfigurace protokolů toku NSG pomocí šablony Azure Resource Manager.