Gerenciar a análise de tráfego usando o Azure Policy
A Política do Azure ajuda você a impor padrões organizacionais e avaliar a conformidade em escala. Casos de uso comuns do Azure Policy incluem implementar a governança para consistência de recursos, conformidade regulatória, segurança, custo e gerenciamento. Para saber mais sobre o Azure Policy, consulte O que é Azure Policy? e Início Rápido: Criar uma atribuição de política para identificar recursos fora de conformidade.
Neste artigo, você aprende a usar três políticas internas disponíveis para Análise de tráfego do Observador de Rede do Azure para gerenciar sua configuração.
Auditoria de logs de fluxo usando uma política integrada
Os logs de fluxo do Observador de Rede devem ter a análise de tráfego habilitada para políticas de auditorias de todos os objetos do Azure Resource Manager existentes do tipo Microsoft.Network/networkWatchers/flowLogs e verifica se a análise de tráfego está habilitada através da propriedade networkWatcherFlowAnalyticsConfiguration.enabled do recurso de logs de fluxo. Ele sinaliza o recurso de logs de fluxo que tem a propriedade definida como falso.
Para auditar os logs de fluxo usando a política interna:
Entre no portal do Azure.
Na caixa de pesquisa na parte superior do portal, insira política. Selecione Política nos resultados da pesquisa.
Selecione Atribuições, depois selecione em Atribuir Política.
Selecione as reticências ... ao lado de Escopo para escolher sua assinatura do Azure que tem os logs de fluxo que você deseja que a política seja auditada. Você também pode escolher o grupo de recursos que tem os logs de fluxo. Após você fazer suas seleções, selecione o botão Selecionar.
Selecione as reticências ... ao lado de Definição de política para escolher a política integrada que você deseja atribuir. Insira análise de tráfego na caixa de pesquisa, e selecione filtro Integrado. Nos resultados da pesquisa, selecione Logs de fluxo do Observador de Rede logs devem ter a análise de tráfego habilitada e depois selecione Adicionar.
Insira um nome em Atribuição de nome e seu nome em Atribuído por. Esta política não requer qualquer parâmetro.
Selecione Examinar + criar e depois Criar.
Observação
Esta política não requer qualquer parâmetro. Ela também não contém definições de função então você não precisa de criar atribuições de função para a identidade gerenciada na guia Correção.
Selecione Conformidade. Pesquise pelo nome da sua atribuição e selecione-o.
A conformidade de recursos lista todos os registros de fluxo não sem conformidade.
Implantar e configurar a análise de tráfego usando as políticas de deployIfNotExists
Há duas políticas em deployIfNotExists disponíveis para configurar os logs de fluxo do NSG:
Configurar grupos de segurança de rede para usar o espaço de trabalho específico, a conta de armazenamento e a política de retenção de log de fluxo para análise de tráfego: Esta política sinaliza o grupo de segurança de rede que não tem a análise de tráfego habilitada. Para um grupo de segurança de rede sinalizado, o recurso de logs de fluxo NSG correspondente não existe ou o recurso de logs de fluxo NSG existe, mas a análise de tráfego não está habilitada nele. Você pode criar uma tarefa de correção se você quiser que a política afete os recursos existentes.
A correção poderá ser atribuída durante a atribuição de política ou depois que a política for atribuída e avaliada. A correção habilita a análise de tráfego em todos os recursos sinalizados com os parâmetros fornecidos. Se um grupo de segurança de rede já tiver logs de fluxo habilitados dentro de uma ID de armazenamento específica mas não tiver a análise de tráfego habilitada, então a correção habilita a análise de tráfego neste grupo de segurança de rede com os parâmetros fornecidos. Se a ID de armazenamento fornecida nos parâmetros for diferente daquela habilitada para os logs de fluxo, então a última será substituída pela ID de armazenamento fornecida na tarefa de correção. Se você não quiser substituir, use a política Configurar grupos de segurança de rede para habilitar a análise de tráfego.
Configurar grupos de segurança de rede para habilitar a análise de tráfego: Esta política é semelhante à política anterior, exceto que durante a correção, ela não substitui as configurações de logs de fluxo nos grupos de segurança de rede sinalizados que têm logs de fluxo habilitados, mas a análise de tráfego desabilitada com o parâmetro fornecido na atribuição de política.
Observação
O Observador de Rede é um serviço regional portanto, as duas políticas do deployIfNotExists serão aplicadas a grupos de segurança de rede que existem em uma região específica. Para grupos de segurança de rede em uma região diferente, crie outra atribuição de política nessa região.
Para atribuir qualquer uma das duas políticas deployIfNotExists , siga estas etapas:
Entre no portal do Azure.
Na caixa de pesquisa na parte superior do portal, insira política. Selecione Política nos resultados da pesquisa.
Selecione Atribuições, e, em seguida, selecione Atribuir política.
Selecione as reticências ... ao lado de Escopo para escolher sua assinatura do Azure que tem os logs de fluxo que você deseja que a política seja auditada. Você também pode escolher o grupo de recursos que tem os logs de fluxo. Depois de fazer suas seleções, escolha o botão Selecionar.
Selecione as reticências ... ao lado de Definição de política para escolher a política integrada que você deseja atribuir. Insira análise de tráfego na caixa de pesquisa, e selecione filtro Integrado. Nos resultados da pesquisa, selecione Configurar grupos de segurança de rede para usar o espaço de trabalho especificado, a conta de armazenamento e a política de retenção de log de fluxo para a análise de tráfego e, em seguida, selecione Adicionar.
Insira um nome em Atribuição de nome e seu nome em Atribuído por.
Selecione o botão Avançar duas vezes ou selecione a guia Parâmetros. Em seguida, insira ou selecione os seguintes valores:
Configuração Valor Efeito Selecione DeployIfNotExists. Região do grupo de segurança de rede Selecione a região do seu grupo de segurança de rede que você está destinando a política. ID do recurso de armazenamento Insira a ID do recurso completa da conta de armazenamento. A conta de armazenamento deve estar na mesma região do grupo de segurança de rede. O formato da ID do recurso de armazenamento é: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.Intervalo de processamento de análise de tráfego em minutos Selecione a frequência na qual os logs processados são enviados através de push para o espaço de trabalho. Os valores atualmente disponíveis são 10 e 60 minutos. O valor padrão é 60 minutos. ID do recurso do espaço de trabalho Insira a ID do recurso do espaço de trabalho onde a análise de tráfego precisa ser habilitada. O formato da ID do recurso do espaço de trabalho é: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.Região do workspace Selecione a região do seu espaço de trabalho de análise de tráfego. ID do workspace Insira a ID do seu espaço de trabalho da análise de tráfego. Grupo de recursos do Observador de Rede Selecione o grupo de recursos do seu Observador de Rede. Nome do Observador de Rede Insira o nome do seu Observador de Rede. Número de dias de retenção de logs de fluxo Insira o número de dias durante os quais você deseja reter os dados dos logs de fluxo na conta de armazenamento. Se quiser reter dados para sempre, insira 0. Observação
A região do espaço de trabalho da análise de tráfego não precisa ser a mesma que a região do grupo de segurança de rede de destino.
Selecione a guia Avançar ou Correção. Insira ou selecione os seguintes valores:
Configuração Valor Criar tarefa de Correção Marque a caixa se você quiser que a política afete os recursos existentes. Criar uma Identidade Gerenciada Marque a caixa. Tipo de Identidade Gerenciada Selecione o tipo de identidade gerenciada que você deseja usar. Local de identidade atribuído ao sistema Selecione a região da sua identidade atribuída pelo sistema. Escopo Selecione o escopo da sua identidade atribuída pelo usuário. Identidades existentes atribuídas pelo usuário Selecione sua identidade atribuída pelo usuário. Observação
Você precisa da permissão de Colaborador ou Proprietário para usar essa política.
Selecione Examinar + criar e depois Criar.
Selecione Conformidade. Pesquise pelo nome da sua atribuição e selecione-o.
Selecione Conformidade de recursos para obter uma lista de todos os grupos de segurança de rede não compatíveis.
Solução de problemas
A tarefa de correção falha com o código de erro PolicyAuthorizationFailed: Amostra de erro de exemplo. A identidade do recurso de atribuição de política/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ não tem as permissões necessárias para criar a implantação.
Em tais cenários, a identidade gerenciada deve ter o acesso concedido manualmente. Acesse a assinatura/grupo de recursos apropriado (contendo os recursos fornecidos nos parâmetros da política) e conceda ao colaborador acesso à identidade gerenciada criada pela política.
Próximas etapas
- Saiba mais sobre as Políticas internas dos logs de fluxo do NSG.
- Saiba mais sobre a análise de tráfego.
- Para saber como usar um modelo do Azure Resource Manager (ARM) para implantar logs de fluxo e análise de tráfego, confira Configurar os logs de fluxo do NSG por meio do um modelo do Azure Resource Manager.