Verwalten von NSG-Datenflussprotokollen mit Azure Policy

  • Artikel

Azure Policy unterstützt Sie bei der Durchsetzung von Organisationsstandards und der Bewertung der Compliance im großen Stil. Häufige Anwendungsfälle für Azure Policy sind die Implementierung von Governance für Ressourcenkonsistenz, Einhaltung gesetzlicher Bestimmungen, Sicherheit, Kosten und Verwaltung. Weitere Informationen zu Azure Policy finden Sie unter Was ist Azure Policy? und Schnellstart: Erstellen Sie eine Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen.

In diesem Artikel erfahren Sie, wie Sie Ihre Einrichtung von NSG-Datenflussprotokollen mithilfe von zwei integrierten Richtlinien verwalten. Die erste Richtlinie kennzeichnet alle Netzwerksicherheitsgruppen, für die keine Datenflussprotokolle aktiviert sind. Die zweite Richtlinie stellt automatisch NSG-Datenflussprotokolle für Netzwerksicherheitsgruppen bereit, für die keine Datenflussprotokolle aktiviert sind.

Überwachen von Netzwerksicherheitsgruppen mit einer integrierten Richtlinie

Flussprotokolle sollten für jede Netzwerksicherheitsgruppenrichtlinie konfiguriert werden, die alle vorhandenen Netzwerksicherheitsgruppen in einem Bereich überwacht, indem sie alle Azure Resource Manager-Objekte vom Typ Microsoft.Network/networkSecurityGroups überprüft. Diese Richtlinie sucht dann anhand der Eigenschaft „Datenflussprotokolle“ der Netzwerksicherheitsgruppe nach verknüpften Datenflussprotokollen und kennzeichnet alle Netzwerksicherheitsgruppen, für die keine Datenflussprotokolle aktiviert sind.

So überwachen Sie Ihre Datenflussprotokolle mithilfe der integrierten Richtlinie:

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie in das Suchfeld oben im Portal Richtlinie ein. Wählen Sie in den Suchergebnissen den Eintrag Richtlinie aus.

    Screenshot: Suche nach Azure Policy im Microsoft Azure-Portal

  3. Wählen Sie Zuweisungen und dann Richtlinie zuweisen aus.

    Screenshot: Auswählen der Schaltfläche zum Zuweisen einer Richtlinie im Microsoft Azure-Portal.

  4. Wählen Sie die Auslassungspunkte (...) neben Bereich aus, um Ihr Azure-Abonnement mit den Netzwerksicherheitsgruppen auszuwählen, die von der Richtlinie überwacht werden sollen. Sie können auch die Ressourcengruppe auswählen, die die Netzwerksicherheitsgruppen enthält. Wählen Sie die Schaltfläche Auswählen aus, wenn Sie Ihre Auswahl getroffen haben.

    Screenshot: Auswählen des Bereichs der Richtlinie im Azure-Portal.

  5. Wählen Sie die Auslassungspunkte (...) neben der Richtliniendefinition aus, um die integrierte Richtlinie auszuwählen, die Sie zuweisen möchten. Geben Sie Datenflussprotokoll in das Suchfeld ein, und wählen Sie dann den Filter Integriert aus. Wählen Sie in den Suchergebnissen die Option Für jede Netzwerksicherheitsgruppe müssen Datenflussprotokolle konfiguriert sein und anschließend Hinzufügen aus.

    Screenshot: Auswählen der Überwachungsrichtlinie im Azure-Portal.

  6. Geben Sie in Zuweisungsname einen Namen und in Zugewiesen von Ihren Namen ein.

    Diese Richtlinie erfordert keine Parameter. Es enthält auch keine Rollendefinitionen, was bedeutet, dass Sie keine Rollenzuweisungen für die verwaltete Identität auf der Registerkarte Wartung erstellen müssen.

  7. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

    Screenshot: Registerkarte „Grundlagen“ zum Zuweisen einer Überwachungsrichtlinie im Microsoft Azure-Portal.

  8. Wählen Sie Compliance aus. Suchen Sie den Namen Ihrer Zuweisung, und wählen Sie ihn aus.

    Screenshot: Seite „Compliance“ mit den Ressourcen, die nicht mit der Überwachungsrichtlinie konform sind.

  9. Wählen Sie Ressourcenkonformität aus, um eine Liste aller nicht konformen Netzwerksicherheitsgruppen zu erhalten.

    Screenshot: Seite zur Richtlinienkonformität mit den Ressourcen, die nicht mit der Überwachungsrichtlinie konform sind.

Bereitstellen und Konfigurieren von NSG-Datenflussprotokollen mithilfe einer integrierten Richtlinie

Die Richtlinie Ressource für Datenflussprotokolle mit Netzwerksicherheitsgruppe für Ziel bereitstellen überprüft alle vorhandenen Netzwerksicherheitsgruppen in einem Bereich, indem sie alle Azure Resource Manager-Objekte vom Typ Microsoft.Network/networkSecurityGroups überprüft. Anschließend wird über die Eigenschaft „Datenflussprotokolle“ der Netzwerksicherheitsgruppe nach verknüpften Datenflussprotokollen gesucht. Wenn die Eigenschaft nicht vorhanden ist, stellt die Richtlinie ein Datenflussprotokoll bereit.

So weisen Sie die deployIfNotExists-Richtlinie zu:

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie in das Suchfeld oben im Portal Richtlinie ein. Wählen Sie in den Suchergebnissen den Eintrag Richtlinie aus.

    Screenshot: Suche nach Azure Policy im Microsoft Azure-Portal

  3. Wählen Sie Zuweisungen und dann Richtlinie zuweisen aus.

    Screenshot: Auswählen der Schaltfläche zum Zuweisen einer Richtlinie im Microsoft Azure-Portal.

  4. Wählen Sie die Auslassungspunkte (...) neben Bereich aus, um Ihr Azure-Abonnement mit den Netzwerksicherheitsgruppen auszuwählen, die von der Richtlinie überwacht werden sollen. Sie können auch die Ressourcengruppe auswählen, die die Netzwerksicherheitsgruppen enthält. Wählen Sie die Schaltfläche Auswählen aus, wenn Sie Ihre Auswahl getroffen haben.

    Screenshot: Auswählen des Bereichs der Richtlinie im Azure-Portal.

  5. Wählen Sie die Auslassungspunkte (...) neben der Richtliniendefinition aus, um die integrierte Richtlinie auszuwählen, die Sie zuweisen möchten. Geben Sie Datenflussprotokoll in das Suchfeld ein, und wählen Sie dann den Filter Integriert aus. Wählen Sie in den Suchergebnissen die Option Ressource für Datenflussprotokolle mit Netzwerksicherheitsgruppe für Ziel bereitstellen und anschließend Hinzufügen aus.

    Screenshot: Auswählen der Bereitstellungsrichtlinie im Microsoft Azure-Portal.

  6. Geben Sie in Zuweisungsname einen Namen und in Zugewiesen von Ihren Namen ein.

    Screenshot: Registerkarte „Grundlagen“ zum Zuweisen einer Bereitstellungsrichtlinie im Microsoft Azure-Portal.

  7. Wählen Sie zweimal die Schaltfläche Weiter oder die Registerkarte Parameter aus. Geben Sie dann die folgenden Werte ein, oder wählen Sie sie aus:

    Einstellung Wert
    NSG-Region Wählen Sie die Region Ihrer Netzwerksicherheitsgruppe aus, auf die Sie mit der Richtlinie abzielen.
    Speicher-ID Geben Sie die vollständige Ressourcen-ID des Speicherkontos ein. Das Speicherkonto muss sich in derselben Region wie die Netzwerksicherheitsgruppe befinden. Die Speicherressourcen-ID weist das folgende Format auf: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Network Watcher-Ressourcengruppe Wählen Sie die Ressourcengruppe Ihrer Azure Network Watcher-Instanz aus.
    Network Watcher-Name Geben Sie den Namen Ihrer Network Watcher-Instanz ein.

    Screenshot: Registerkarte „Parameter“ zum Zuweisen einer Bereitstellungsrichtlinie im Azure-Portal.

  8. Wählen Sie Weiter oder die Registerkarte Wartung aus. Geben Sie die folgenden Werte ein, oder wählen Sie sie aus:

    Einstellung Wert
    Erstellen eines Wartungstask Aktivieren Sie das Kontrollkästchen, wenn sich die Richtlinie auf vorhandene Ressourcen auswirken soll.
    Erstellen einer verwalteten Identität Aktivieren Sie das Kontrollkästchen.
    Typ der verwalteten Identität Wählen Sie den Typ der verwalteten Identität aus, die Sie verwenden möchten.
    Systemseitig zugewiesener Identitätsspeicherort Wählen Sie die Region Ihrer systemseitig zugewiesenen Identität aus.
    Bereich Wählen Sie den Bereich Ihrer benutzerseitig zugewiesenen Identität aus.
    Vorhandene benutzerseitig zugewiesene Identitäten Wählen Sie Ihre benutzerseitig zugewiesenen Identität aus.

    Hinweis

    Sie benötigen Berechtigungen als Mitwirkender oder Besitzer, um diese Richtlinie verwenden zu können.

    Screenshot: Registerkarte „Wartung“ zum Zuweisen einer Bereitstellungsrichtlinie im Azure-Portal.

  9. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

  10. Wählen Sie Compliance aus. Suchen Sie den Namen Ihrer Zuweisung, und wählen Sie ihn aus.

    Screenshot: Seite „Compliance“ mit den Ressourcen, die nicht mit der Bereitstellungsrichtlinie konform sind.

  11. Wählen Sie Ressourcenkonformität aus, um eine Liste aller nicht konformen Netzwerksicherheitsgruppen zu erhalten.

    Screenshot: Seite zur Richtlinienkonformität mit den Ressourcen, die nicht konform sind.

  12. Belassen Sie die Richtlinienausführungen, um Datenflussprotokolle für alle nicht konformen Netzwerksicherheitsgruppen auszuwerten und bereitzustellen. Wählen Sie dann erneut Ressourcenkonformität aus, um die Status von Netzwerksicherheitsgruppen zu überprüfen (es werden keine nicht konformen Netzwerksicherheitsgruppen angezeigt, wenn die Richtlinie die Wartung abgeschlossen hat).

    Screenshot: Seite zur Richtlinienkonformität, die anzeigt, dass alle Ressourcen konform sind.

Nächste Schritte