مشاركة عبر

إدارة سجلات تدفق NSG باستخدام نهج Azure

  • مقالة

يساعدك نهج Azure على فرض المعايير التنظيمية وتقييم التوافق على نطاق واسع. تتضمن حالات الاستخدام الشائعة لـ Azure Policy تطبيق التحكم لاتساق الموارد والتوافق التنظيمي والأمان والتكلفة والإدارة. لمعرفة المزيد حول نهج Azure، راجع ما هو نهج Azure؟ والبدء السريع: إنشاء تعيين نهج لتحديد الموارد غير المتوافقة.

في هذه المقالة، ستتعلم كيفية استخدام نهجين مضمنين لإدارة إعداد سجلات تدفق مجموعة أمان الشبكة (NSG). يشير النهج الأول إلى أي مجموعة أمان شبكة لا تحتوي على سجلات تدفق ممكنة. ينشر النهج الثاني تلقائيا سجلات تدفق NSG التي لا تحتوي على سجلات تدفق ممكنة.

تدقيق مجموعات أمان الشبكة باستخدام نهج مضمن

يجب تكوين سجلات التدفق لكل نهج مجموعة أمان شبكة يدقق جميع مجموعات أمان الشبكة الموجودة في نطاق عن طريق التحقق من جميع كائنات Azure Resource Manager من النوع Microsoft.Network/networkSecurityGroups. ثم يتحقق هذا النهج من سجلات التدفق المرتبطة عبر خاصية سجلات التدفق لمجموعة أمان الشبكة، ويعلم أي مجموعة أمان شبكة لا تحتوي على سجلات تدفق ممكنة.

لتدقيق سجلات التدفق باستخدام النهج المضمن، اتبع الخطوات التالية:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مربع البحث أعلى المدخل، أدخل policy. حدد Policy في نتائج البحث.

    لقطة شاشة للبحث عن نهج Azure في مدخل Microsoft Azure.

  3. حدد التعيينات، ثم حدد تعيين نهج.

    لقطة شاشة لتحديد الزر لتعيين نهج في مدخل Microsoft Azure.

  4. حدد علامة الحذف (...) بجوار Scope لاختيار اشتراك Azure الذي يحتوي على مجموعات أمان الشبكة التي تريد أن يدققها النهج. يمكنك أيضا اختيار مجموعة الموارد التي تحتوي على مجموعات أمان الشبكة. بعد إجراء التحديدات، اختر الزر تحديد .

    لقطة شاشة لتحديد نطاق النهج في مدخل Microsoft Azure.

  5. حدد علامة الحذف (...) بجوار تعريف النهج لاختيار النهج المضمن الذي تريد تعيينه. أدخل سجل التدفق في مربع البحث، ثم حدد عامل التصفية المضمن . من نتائج البحث، حدد سجلات التدفق التي يجب تكوينها لكل مجموعة أمان شبكة، ثم حدد إضافة.

    لقطة شاشة لتحديد نهج التدقيق في مدخل Microsoft Azure.

  6. أدخل اسما في اسم الواجب، وأدخل اسمك في تعيين بواسطة.

    لا يتطلب هذا النهج أي معلمات. كما أنه لا يحتوي على أي تعريفات أدوار، لذلك لا تحتاج إلى إنشاء تعيينات أدوار للهوية المدارة في علامة التبويب المعالجة .

  7. حدد مراجعة + إنشاء، ثم حدد إنشاء.

    لقطة شاشة لعلامة التبويب Basics لتعيين نهج تدقيق في مدخل Microsoft Azure.

  8. حدد الامتثال . ابحث عن اسم واجبك، ثم حدده.

    لقطة شاشة لصفحة التوافق التي تعرض الموارد غير المتوافقة استنادا إلى نهج التدقيق.

  9. حدد Resource compliance للحصول على قائمة بجميع مجموعات أمان الشبكة غير المتوافقة.

    لقطة شاشة لصفحة التوافق مع النهج التي تعرض الموارد غير المتوافقة استنادا إلى نهج التدقيق.

نشر وتكوين سجلات تدفق NSG باستخدام نهج مضمن

يتحقق نهج نشر سجل تدفق مع مجموعة أمان الشبكة المستهدفة من جميع مجموعات أمان الشبكة الموجودة في نطاق عن طريق التحقق من جميع كائنات Azure Resource Manager من النوع Microsoft.Network/networkSecurityGroups. ثم يتحقق من سجلات التدفق المرتبطة عبر خاصية سجلات التدفق لمجموعة أمان الشبكة. إذا لم تكن الخاصية موجودة، ينشر النهج سجل تدفق.

لتعيين نهج deployIfNotExists :

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مربع البحث أعلى المدخل، أدخل policy. حدد Policy في نتائج البحث.

    لقطة شاشة للبحث عن نهج Azure في مدخل Microsoft Azure.

  3. حدد التعيينات، ثم حدد تعيين نهج.

    لقطة شاشة لتحديد الزر لتعيين نهج في مدخل Microsoft Azure.

  4. حدد علامة الحذف (...) بجوار Scope لاختيار اشتراك Azure الذي يحتوي على مجموعات أمان الشبكة التي تريد أن يدققها النهج. يمكنك أيضا اختيار مجموعة الموارد التي تحتوي على مجموعات أمان الشبكة. بعد إجراء التحديدات، اختر الزر تحديد .

    لقطة شاشة لتحديد نطاق النهج في مدخل Microsoft Azure.

  5. حدد علامة الحذف (...) بجوار تعريف النهج لاختيار النهج المضمن الذي تريد تعيينه. أدخل سجل التدفق في مربع البحث، ثم حدد عامل التصفية المضمن . من نتائج البحث، حدد Deploy a flow log resource with target network security group، ثم حدد Add.

    لقطة شاشة لتحديد نهج النشر في مدخل Microsoft Azure.

  6. أدخل اسما في اسم الواجب، وأدخل اسمك في تعيين بواسطة.

    لقطة شاشة لعلامة تبويب الأساسيات لتعيين نهج توزيع في مدخل Microsoft Azure.

  7. حدد الزر التالي مرتين، أو حدد علامة التبويب معلمات . ثم أدخل القيم التالية أو حددها:

    الإعداد القيمة‬
    منطقة NSG حدد منطقة مجموعة أمان الشبكة التي تستهدفها باستخدام النهج.
    معرف التخزين أدخل معرف المورد الكامل لحساب التخزين. يجب أن يكون حساب التخزين في نفس المنطقة مثل مجموعة أمان الشبكة. تنسيق معرف مورد التخزين هو /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Network Watchers RG حدد مجموعة الموارد لمثيل Azure Network Watcher.
    اسم Network Watcher أدخل اسم مثيل Network Watcher.

    لقطة شاشة لعلامة تبويب المعلمات لتعيين نهج توزيع في مدخل Microsoft Azure.

  8. حدد التالي أو علامة التبويب معالجة . أدخل القيم التالية أو حددها:

    الإعداد القيمة‬
    إنشاء مهمة معالجة حدد خانة الاختيار إذا كنت تريد أن يؤثر النهج على الموارد الموجودة.
    إنشاء هوية مدارة حدد خانة الاختيار.
    نوع الهوية المدارة حدد نوع الهوية المدارة التي تريد استخدامها.
    موقع الهوية المعين من قبل النظام حدد منطقة الهوية المعينة للنظام.
    النطاق حدد نطاق الهوية المعينة من قبل المستخدم.
    الهويات المعينة للمستخدم الحالي حدد الهوية المعينة من قبل المستخدم.

    إشعار

    تحتاج إلى إذن المساهم أو المالك لاستخدام هذا النهج.

    لقطة شاشة لعلامة تبويب المعالجة لتعيين نهج توزيع في مدخل Microsoft Azure.

  9. حدد مراجعة + إنشاء، ثم حدد إنشاء.

  10. حدد الامتثال . ابحث عن اسم واجبك، ثم حدده.

    لقطة شاشة لصفحة التوافق التي تعرض الموارد غير المتوافقة استنادا إلى نهج التوزيع.

  11. حدد Resource compliance للحصول على قائمة بجميع مجموعات أمان الشبكة غير المتوافقة.

    لقطة شاشة لصفحة توافق النهج التي تعرض الموارد غير المتوافقة.

  12. اترك النهج يعمل لتقييم ونشر سجلات التدفق لجميع مجموعات أمان الشبكة غير المتوافقة. ثم حدد Resource compliance مرة أخرى للتحقق من حالة مجموعات أمان الشبكة (لا ترى مجموعات أمان الشبكة غير المتوافقة إذا أكمل النهج المعالجة الخاصة به).

    لقطة شاشة لصفحة التوافق مع النهج التي تظهر أن جميع الموارد متوافقة.

المحتوى ذو الصلة