Sdílet prostřednictvím

Auditování a nasazení protokolů toku virtuální sítě pomocí Služby Azure Policy

Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém měřítku. Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Další informace o zásadách Azure najdete v tématu Co je Azure Policy? a Rychlý start: Vytvoření přiřazení zásad pro identifikaci nevyhovujících prostředků.

V tomto článku se dozvíte, jak pomocí dvou předdefinovaných zásad spravovat nastavení protokolů toku virtuální sítě. První zásada označí všechny virtuální sítě, které nemají povolené protokolování toku. Druhá zásada automaticky nasadí protokoly toku virtuální sítě do virtuálních sítí, které nemají povolené protokolování toku.

Požadavky

Konfigurace protokolů toku auditu pro virtuální sítě pomocí předdefinovaných zásad

Konfigurace audit protokolů toku pro každou virtuální síť kontroluje všechny existující virtuální sítě v rámci tím, že prověřuje všechny objekty Azure Resource Manageru určitého typu pro připojené protokoly toku prostřednictvím vlastnosti toku protokolu virtuální sítě. Pak označí všechny virtuální sítě, které nemají povolené protokolování toku.

Pokud chcete protokoly toku auditovat pomocí předdefinovaných zásad, postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte politika. Ve výsledcích hledání vyberte Zásadu.

    Snímek obrazovky, který ukazuje, jak vyhledat Azure Policy na webu Azure Portal

  3. Vyberte Přiřazení a pak vyberte Přiřadit politiku.

    Snímek obrazovky znázorňující, jak přiřadit zásadu na webu Azure Portal

  4. Vyberte výpustku (...) vedle Obor pro výběr předplatného Azure s virtuálními sítěmi, které chcete zkontrolovat pomocí zásad. Můžete také zvolit skupinu prostředků, která má virtuální sítě. Po provedení výběru vyberte tlačítko Vybrat .

    Snímek obrazovky znázorňující, jak definovat rozsah zásad na webu Azure Portal

  5. Vyberte tři tečky (...) vedle definice zásady a zvolte předdefinovanou zásadu, kterou chcete přiřadit. Do vyhledávacího pole zadejte protokol toku a vyberte předdefinovaný filtr. Ve výsledcích hledání vyberte konfiguraci auditních protokolů toku pro každou virtuální síť a poté vyberte Přidat.

    Snímek obrazovky, který ukazuje, jak vybrat zásady auditu na webu Azure Portal

  6. Zadejte jméno do Název přiřazení nebo použijte výchozí název, a poté zadejte své jméno do Přiřazeno od.

    Tato zásada nevyžaduje žádné parametry. Neobsahuje také žádné definice rolí, takže nemusíte vytvářet přiřazení rolí pro spravovanou identitu na kartě Náprava .

  7. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

    Snímek obrazovky znázorňující kartu Základy přiřazování zásad auditu na webu Azure Portal

  8. Vyberte Dodržování předpisů a změňte filtr stavu dodržování předpisů na Nekompatibilní , aby se vypsaly všechny zásady nedodržující předpisy. Vyhledejte název vytvořené zásady auditu a vyberte ji.

    Snímek obrazovky se stránkou Dodržování předpisů, která obsahuje zásady nedodržující předpisy, včetně zásad auditu

  9. Na stránce dodržování předpisů zásad změňte filtr stavu dodržování předpisů na nedodržující předpisy a vypište všechny virtuální sítě nesplňující požadavky. V tomto příkladu existují tři nedodržující virtuální sítě ze čtyř.

    Snímek obrazovky znázorňující nekompatibilní virtuální sítě založené na zásadách auditu

Nasazení a konfigurace protokolů toku virtuální sítě pomocí předdefinovaných zásad

Nasazení prostředku protokolu toku se zaměřením na cílovou virtuální síť kontroluje všechny existující virtuální sítě v rámci rozsahu kontrolou všech objektů typu Azure Resource Manageru . Pak zkontroluje protokoly propojených toků prostřednictvím vlastnosti protokolu toku virtuální sítě. Pokud vlastnost neexistuje, politika nasadí protokol toku.

Důležité

Před povolením protokolů toku virtuální sítě na stejných základních pracovních zátěžích doporučujeme zakázat protokoly toku skupiny zabezpečení sítě, abyste se vyhnuli duplicitnímu záznamu provozu a dalším nákladům. Pokud například povolíte protokoly toku skupiny zabezpečení sítě ve skupině zabezpečení sítě podsítě, povolíte protokoly toku virtuální sítě ve stejné podsíti nebo nadřazené virtuální síti, můžete získat duplicitní protokolování (protokoly toku skupiny zabezpečení sítě i protokoly toku virtuální sítě generované pro všechny podporované úlohy v dané podsíti).

Pokud chcete přiřadit zásadu deployIfNotExists , postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte politika. Ve výsledcích hledání vyberte Zásadu.

    Snímek obrazovky, který ukazuje, jak vyhledat Azure Policy na webu Azure Portal

  3. Vyberte Přiřazení a pak vyberte Přiřadit politiku.

    Snímek obrazovky znázorňující, jak přiřadit zásadu na webu Azure Portal

  4. Vyberte výpustku (...) vedle Obor pro výběr předplatného Azure s virtuálními sítěmi, které chcete zkontrolovat pomocí zásad. Můžete také zvolit skupinu prostředků, která má virtuální sítě. Po provedení výběru vyberte tlačítko Vybrat .

    Snímek obrazovky znázorňující, jak definovat rozsah zásad na webu Azure Portal

  5. Vyberte tři tečky (...) vedle definice zásady a zvolte předdefinovanou zásadu, kterou chcete přiřadit. Do vyhledávacího pole zadejte protokol toku a vyberte předdefinovaný filtr. Ve výsledcích hledání vyberte Nasadit prostředek protokolu toku s cílovou virtuální sítí a pak vyberte Přidat.

    Snímek obrazovky, který ukazuje, jak vybrat zásadu nasazení na webu Azure Portal

    Poznámka:

    K používání této zásady potřebujete oprávnění přispěvatele nebo vlastníka .

  6. Zadejte jméno do Název přiřazení nebo použijte výchozí název, a poté zadejte své jméno do Přiřazeno od.

    Snímek obrazovky znázorňující kartu Základy přiřazování zásad nasazení na webu Azure Portal

  7. Dvakrát vyberte tlačítko Další nebo vyberte kartu Parametry . Pak vyberte následující hodnoty:

    Nastavení Hodnota
    Účinek Výběrem možnosti DeployIfNotExists povolte spuštění zásady. Další dostupná možnost je: Zakázaná.
    Oblast virtuální sítě Vyberte oblast vaší virtuální sítě, na kterou cílíte pomocí zásad.
    Účet úložiště Vyberte účet úložiště. Účet úložiště musí být ve stejné oblasti jako virtuální síť.
    Network Watcher RG Vyberte skupinu prostředků vaší instance služby Network Watcher. Protokoly toku vytvořené politikou se ukládají do této skupiny prostředků.
    Sledovač sítě Vyberte instanci služby Network Watcher vybrané oblasti.
    Počet dnů uchovávání záznamů toků Vyberte počet dní, po který chcete uchovávat data protokolů toku v účtu úložiště. Výchozí hodnota je 30 dní. Pokud nechcete použít žádné zásady uchovávání informací, zadejte 0.

    Snímek obrazovky znázorňující kartu Parametry přiřazování zásad nasazení na webu Azure Portal

  8. Vyberte Další nebo záložku Náprava.

  9. Zaškrtněte políčko Vytvořit úlohu nápravných opatření.

    Snímek obrazovky znázorňující kartu Náprava přiřazení zásad nasazení na webu Azure Portal

  10. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

  11. Vyberte Dodržování předpisů a změňte filtr stavu dodržování předpisů na Nekompatibilní , aby se vypsaly všechny zásady nedodržující předpisy. Vyhledejte název vytvořené zásady nasazení a vyberte ji.

    Snímek obrazovky se stránkou Dodržování předpisů, která obsahuje zásady nedodržující předpisy, včetně zásad nasazení

  12. Na stránce dodržování předpisů zásad změňte filtr stavu dodržování předpisů na nedodržující předpisy a vypište všechny virtuální sítě nesplňující požadavky. V tomto příkladu existují tři nedodržující virtuální sítě ze čtyř.

    Snímek obrazovky znázorňující nekompatibilní virtuální sítě založené na zásadách nasazení

    Poznámka:

    Vyhodnocení virtuálních sítí v zadaném oboru a nasazení protokolů toku pro nekompatibilní virtuální sítě nějakou dobu trvá.

  13. Přejděte do protokolů toku v části Protokoly ve službě Network Watcher a zobrazte protokoly toku, které byly nasazeny zásadami.

    Snímek obrazovky se seznamem protokolů toku ve službě Network Watcher

  14. Na stránce dodržování zásad ověřte, že jsou všechny virtuální sítě v zadaném oboru kompatibilní.

    Snímek obrazovky, který ukazuje, že po nasazení protokolů toku nasazených zásadami nasazení v definovaném oboru neexistují žádné virtuální sítě, které nedodržují předpisy.

    Poznámka:

    Aktualizace stavu souladu prostředků na stránce dodržování předpisů Azure Policy může trvat až 24 hodin. Další informace najdete v tématu Vysvětlení výsledků vyhodnocení.

Související obsah

  • Last updated on