Управление журналами потоков NSG с помощью Политика Azure

  • Статья

Политика Azure помогает применять стандарты организации и оценивать соответствие в масштабе. Политика Azure широко применяется для реализации средств контроля за согласованностью ресурсов, соответствием нормативным требованиям, безопасностью, расходами и управлением. Дополнительные сведения о политике Azure см. в статье "Что такое Политика Azure?" И краткое руководство. Создание назначения политики для выявления несоответствующих ресурсов.

В этой статье вы узнаете, как использовать две встроенные политики для управления настройкой журналов потоков группы безопасности сети (NSG). Первая политика помечает любую группу безопасности сети, включающую журналы потоков. Вторая политика автоматически развертывает журналы потоков NSG, у которых нет включенных журналов потоков.

Аудит групп безопасности сети с помощью встроенной политики

Журналы потоков должны быть настроены для каждой групповой политики безопасности сети проверяет все существующие группы безопасности сети в область путем проверка всех объектов Azure Resource Manager типаMicrosoft.Network/networkSecurityGroups. Затем эта политика проверка для связанных журналов потоков через свойство журналов потоков группы безопасности сети, и она помечает любую группу безопасности сети, которая не включает журналы потоков.

Для аудита журналов потоков с помощью встроенной политики выполните следующие действия.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите политику. Выберите политику в результатах поиска.

    Снимок экрана: поиск Политика Azure в портал Azure.

  3. Выберите "Назначения" и выберите " Назначить политику".

    Снимок экрана: выбор кнопки для назначения политики в портал Azure.

  4. Выберите многоточие (...) рядом с областью , чтобы выбрать подписку Azure с группами безопасности сети, которые требуется выполнить аудит политики. Вы также можете выбрать группу ресурсов с группами безопасности сети. После выбора нажмите кнопку "Выбрать ".

    Снимок экрана: выбор область политики в портал Azure.

  5. Выберите многоточие (...) рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите журнал потока в поле поиска и выберите встроенный фильтр. В результатах поиска выберите журналы потока должны быть настроены для каждой группы безопасности сети, а затем нажмите кнопку "Добавить".

    Снимок экрана: выбор политики аудита в портал Azure.

  6. Введите имя в имени назначения и введите имя в поле "Назначено".

    Эта политика не требует каких-либо параметров. Он также не содержит определений ролей, поэтому вам не нужно создавать назначения ролей для управляемого удостоверения на вкладке "Исправление ".

  7. Выберите Проверить и создать, а затем выберите Создать.

    Снимок экрана: вкладка

  8. Выберите Соответствие. Найдите имя назначения и выберите его.

    Снимок экрана: страница соответствия требованиям, в котором показаны несоответствующие ресурсы на основе политики аудита.

  9. Выберите соответствие ресурсам, чтобы получить список всех несоответствующих групп безопасности сети.

    Снимок экрана: страница соответствия политике, на котором показаны несоответствующие ресурсы на основе политики аудита.

Развертывание и настройка журналов потоков NSG с помощью встроенной политики

Развертывание ресурса журнала потоков с целевой групповой политикой безопасности сети проверка всех существующих групп безопасности сети в область путем проверка всех объектов Azure Resource Manager типаMicrosoft.Network/networkSecurityGroups. Затем он проверка для журналов связанных потоков через свойство журналов потоков группы безопасности сети. Если свойство не существует, политика развертывает журнал потоков.

Чтобы назначить политику deployIfNotExists , выполните следующие действия.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите политику. Выберите политику в результатах поиска.

    Снимок экрана: поиск Политика Azure в портал Azure.

  3. Выберите "Назначения" и выберите " Назначить политику".

    Снимок экрана: выбор кнопки для назначения политики в портал Azure.

  4. Выберите многоточие (...) рядом с областью , чтобы выбрать подписку Azure с группами безопасности сети, которые требуется выполнить аудит политики. Вы также можете выбрать группу ресурсов с группами безопасности сети. После выбора нажмите кнопку "Выбрать ".

    Снимок экрана: выбор область политики в портал Azure.

  5. Выберите многоточие (...) рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите журнал потока в поле поиска и выберите встроенный фильтр. В результатах поиска выберите "Развернуть ресурс журнала потоков" с целевой группой безопасности сети, а затем нажмите кнопку "Добавить".

    Снимок экрана: выбор политики развертывания в портал Azure.

  6. Введите имя в имени назначения и введите имя в поле "Назначено".

    Снимок экрана: вкладка

  7. Дважды нажмите кнопку "Далее " или перейдите на вкладку "Параметры ". Затем введите или выберите следующие значения:

    Параметр Значение
    Регион NSG Выберите регион группы безопасности сети, на которую вы нацелены с помощью политики.
    идентификатор служба хранилища Введите полный идентификатор ресурса учетной записи хранения. Учетная запись хранения должна находиться в том же регионе, что и группа безопасности сети. Формат идентификатора ресурса хранилища ./subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>
    Наблюдатель за сетями RG Выберите группу ресурсов экземпляра Azure Наблюдатель за сетями.
    имя Наблюдатель за сетями Введите имя экземпляра Наблюдатель за сетями.

    Снимок экрана: вкладка

  8. Нажмите кнопку "Далее" или "Исправление". Введите или выберите следующие значения:

    Параметр Значение
    Создание задачи исправления Выберите проверка box, если вы хотите, чтобы политика повлияла на существующие ресурсы.
    Создание управляемого удостоверения Установите флажок.
    Тип управляемого удостоверения Выберите тип управляемого удостоверения, который требуется использовать.
    Расположение назначаемого системой удостоверения Выберите регион назначенного системой удостоверения.
    Область применения Выберите область удостоверения, назначаемого пользователем.
    Существующие удостоверения, назначенные пользователем Выберите удостоверение, назначаемое пользователем.

    Примечание.

    Для использования этой политики требуется разрешение участника или владельца .

    Снимок экрана: вкладка

  9. Выберите Проверить и создать, а затем выберите Создать.

  10. Выберите Соответствие. Найдите имя назначения и выберите его.

    Снимок экрана: страница соответствия требованиям, в котором показаны несоответствующие ресурсы на основе политики развертывания.

  11. Выберите соответствие ресурсам, чтобы получить список всех несоответствующих групп безопасности сети.

    Снимок экрана: страница соответствия политике, на котором показаны несоответствующие ресурсы.

  12. Оставьте политику для оценки и развертывания журналов потоков для всех несоответствующих групп безопасности сети. Затем снова выберите соответствие ресурсов, чтобы проверка состояние групп безопасности сети (если политика завершила ее исправление, не отображаются несоответствующие группы безопасности сети).

    Снимок экрана: страница соответствия политике, на котором показаны все ресурсы, соответствующие требованиям.

Следующие шаги