Аудит и развертывание журналов потоков виртуальной сети с помощью Политики Azure

Политика Azure помогает применять стандарты организации и оценивать соответствие в масштабе. Политика Azure широко применяется для реализации средств контроля за согласованностью ресурсов, соответствием нормативным требованиям, безопасностью, расходами и управлением. Дополнительные сведения о политике Azure см. в статьях Что такое Политика Azure? и Краткое руководство: создание назначения политики для выявления несоответствующих ресурсов.

Из этой статьи вы узнаете, как использовать две встроенные политики для управления настройкой журналов потоков виртуальной сети. Первая политика помечает любую виртуальную сеть, в которой не включено ведение журнала потоков. Вторая политика автоматически развертывает журналы потоков виртуальной сети в виртуальных сетях, в которых не включено ведение журнала потоков.

Предпосылки

Аудитирование конфигурации журналов трафика виртуальных сетей с использованием встроенной политики

Конфигурация журналов потоков аудита для каждой виртуальной сети проверяет все существующие виртуальные сети в указанной области, проверяя все объекты Microsoft.Network/virtualNetworks типа Azure Resource Manager на наличие связанных журналов потоков через свойство журнала потоков виртуальной сети. Затем он помечает любую виртуальную сеть, в которой не включено ведение журнала потоков.

Чтобы проверить журналы потоков с помощью встроенной политики, выполните следующие действия.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите политику. Выберите политику из результатов поиска.

    Скриншот, показывающий, как искать политику Azure в портале Azure.

  3. Выберите Задачи, затем выберите Назначить политику.

    Снимок экрана, на котором показано, как назначить политику на портале Azure.

  4. Нажмите кнопку с многоточием (...) рядом с полем Область , чтобы выбрать подписку Azure, содержащую виртуальные сети, которые вы хотите проверить с помощью политики. Вы также можете выбрать группу ресурсов, содержащую виртуальные сети. После того как вы сделаете выбор, нажмите кнопку « Выбрать ».

    Снимок экрана, на котором показано, как определить область действия политики на портале Azure.

  5. Выберите многоточие (...) рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите журнал потока в поле поиска, а затем выберите Встроенный фильтр. В результатах поиска выберите Конфигурация журналов потока аудита для каждой виртуальной сети, а затем нажмите кнопку Добавить.

    Снимок экрана, на котором показано, как выбрать политику аудита на портале Azure.

  6. Введите имя в поле Имя назначения или используйте имя по умолчанию, а затем введите свое имя в поле Кем назначено.

    Эта политика не требует каких-либо параметров. Он также не содержит определений ролей, поэтому вам не нужно создавать назначения ролей для идентифицированного управления на вкладке "Исправление".

  7. Выберите Проверить и создать, а затем выберите Создать.

    Снимок экрана, на котором показана вкладка Основные сведения о назначении политики аудита на портале Azure.

  8. Выберите Соответствие и измените фильтр состояния Соответствие на Не соответствует, чтобы отобразить все несоответствующие политики. Найдите имя созданной политики аудита и выберите его.

    Снимок экрана со страницей Соответствие требованиям, на которой перечислены несоответствующие политики, включая политику аудита.

  9. На странице соответствия политике измените фильтр состояния соответствия на Несоответствующие , чтобы отобразить все несоответствующие виртуальные сети. В этом примере есть три несоответствующие виртуальные сети из четырех.

    Снимок экрана, на котором показаны несоответствующие виртуальные сети на основе политики аудита.

Развертывание и настройка журналов потоков виртуальной сети с помощью встроенной политики

Политика развертывания ресурса журнала потоков с целевой виртуальной сетью проверяет все существующие виртуальные сети в области применения, путем проверки всех объектов Azure Resource Manager типа . Затем он проверяет наличие связанных журналов потоков с помощью свойства журнала потоков виртуальной сети. Если свойство не существует, политика развертывает журнал потоков.

Это важно

Мы рекомендуем отключить журналы потоков группы безопасности сети перед включением журналов потоков виртуальной сети на тех же базовых рабочих нагрузках, чтобы избежать дублирования записи трафика и дополнительных затрат. Например, если включить журналы потоков группы безопасности сети в группе безопасности сети подсети, а затем включить журналы потоков виртуальной сети в той же подсети или родительской виртуальной сети, можно получить дублирующиеся журналы (как журналы потоков группы безопасности сети, так и журналы потоков виртуальной сети, созданные для всех поддерживаемых рабочих нагрузок в этой конкретной подсети).

Чтобы назначить политику deployIfNotExists , выполните следующие действия.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите политику. Выберите политику из результатов поиска.

    Скриншот, показывающий, как искать политику Azure в портале Azure.

  3. Выберите Задачи, затем выберите Назначить политику.

    Снимок экрана, на котором показано, как назначить политику на портале Azure.

  4. Нажмите кнопку с многоточием (...) рядом с полем Область , чтобы выбрать подписку Azure, содержащую виртуальные сети, которые вы хотите проверить с помощью политики. Вы также можете выбрать группу ресурсов, содержащую виртуальные сети. После того как вы сделаете выбор, нажмите кнопку « Выбрать ».

    Снимок экрана, на котором показано, как определить область действия политики на портале Azure.

  5. Выберите многоточие (...) рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите журнал потока в поле поиска, а затем выберите Встроенный фильтр. В результатах поиска выберите пункт Настроить ресурс записи потоков для целевой виртуальной сети, а затем нажмите Добавить.

    Снимок экрана, на котором показано, как выбрать политику развертывания на портале Azure.

    Замечание

    Для использования этой политики требуется разрешение участника или владельца .

  6. Введите имя в поле Имя назначения или используйте имя по умолчанию, а затем введите свое имя в поле Кем назначено.

    Снимок экрана, на котором показана вкладка

  7. Дважды нажмите кнопку «Далее » или перейдите на вкладку «Параметры ». Затем выберите следующие значения:

    Настройки Ценность
    Действие Выберите DeployIfNotExists , чтобы включить выполнение политики. Другой доступный вариант: Отключено.
    Регион виртуальной сети Выберите регион виртуальной сети, на который вы ориентируетесь с помощью политики.
    Учетная запись хранения Выберите учетную запись хранилища. Учетная запись хранения должна находиться в том же регионе, что и виртуальная сеть.
    Наблюдатель за сетями RG Выберите группу ресурсов экземпляра Наблюдателя за сетями. Журналы потоков, созданные политикой, сохраняются в этой группе ресурсов.
    Наблюдатель за сетями Выберите Наблюдателя за сетями для выбранного региона.
    Количество дней для хранения журналов потоков Выберите количество дней, в течение которых данные журналов потоков будут храниться в учетной записи хранения. Значение по умолчанию — 30 дней. Если вы не хотите применять политику хранения, введите 0.

    Снимок экрана, на котором показана вкладка

  8. Выберите Далее или вкладку Исправление.

  9. Установите флажок Создать задачу исправления .

    Снимок экрана, на котором показана вкладка Исправление при назначении политики развертывания на портале Azure.

  10. Выберите Проверить и создать, а затем выберите Создать.

  11. Выберите Соответствие и измените фильтр состояния Соответствие на Не соответствует, чтобы отобразить все несоответствующие политики. Найдите имя созданной политики развертывания, а затем выберите его.

    Снимок экрана со страницей

  12. На странице соответствия политике измените фильтр состояния соответствия на Несоответствующие , чтобы отобразить все несоответствующие виртуальные сети. В этом примере есть три несоответствующие виртуальные сети из четырех.

    Снимок экрана, на котором показаны несоответствующие виртуальные сети в соответствии с политикой развертывания.

    Замечание

    Политика требует некоторого времени для оценки виртуальных сетей в указанной области и развертывания журналов потоков для несоответствующих виртуальных сетей.

  13. Перейдите в раздел Журналы потоков в разделе Журналы в Наблюдателе за сетями , чтобы просмотреть журналы потоков, развернутые политикой.

    Снимок экрана, на котором показан список журналов потока в Наблюдателе за сетями.

  14. На странице соответствия политике убедитесь, что все виртуальные сети в указанной области соответствуют требованиям.

    Снимок экрана, показывающий, что нет несоответствующих виртуальных сетей после того, как политика развертывания развернула журналы потоков в определенной области.

    Замечание

    Обновление состояния соответствия ресурсов на странице соответствия Политике Azure может занять до 24 часов. Дополнительные сведения см. в разделе Общие сведения о результатах оценки.