Administración de registros de flujo de NSG mediante Azure Policy

  • Artículo

Azure Policy le ayuda a aplicar los estándares de la organización y a evaluar el cumplimiento a gran escala. Entre los casos de uso comunes de Azure Policy se incluye la implementación de la gobernanza para la coherencia de los recursos, el cumplimiento normativo, la seguridad, el costo y la administración. Para más información sobre las políticas de Azure, consulte ¿Qué son las Azure Policy? y Inicio rápido: Cree una asignación de política para identificar los recursos que no cumplen las normas.

En este artículo, aprenderá a usar dos directivas integradas para administrar la configuración de los registros de flujo de grupos de seguridad de red (NSG). La primera directiva marca cualquier grupo de seguridad de red que no tenga registros de flujo habilitados. La segunda directiva implementa automáticamente los registros de flujo de los NSG que no tengan registros de flujo habilitados.

Auditar grupos de seguridad de red mediante una directiva integrada

La directiva Los registros de flujo se deben configurar para cada grupo de seguridad de red audita todos los grupos de seguridad de red existentes en un ámbito al comprobar todos los objetos de Azure Resource Manager de tipo Microsoft.Network/networkSecurityGroups. La directiva comprueba entonces los registros de flujo vinculados a través de la propiedad de registros de flujo del grupo de seguridad de red, y marca cualquier grupo de seguridad de red sin registros de flujo habilitados.

Para auditar los registros de flujo mediante la directiva integrada:

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda de la parte superior del portal, ingrese directiva. Seleccione directiva en los resultados de la búsqueda.

    Captura de pantalla de la búsqueda de Azure Policy en Azure Portal.

  3. Seleccione Asignaciones y, a continuación, seleccione Asignar directiva.

    Captura de pantalla en la que se selecciona el botón para asignar una directiva en Azure Portal.

  4. Seleccione la elipsis (...) junto a Ámbito para elegir la suscripción de Azure que tiene los grupos de seguridad de red que desea que audite la directiva. También puede seleccionar el grupo de recursos que tiene los grupos de seguridad de red. Tras realizar las selecciones, elija el botón Seleccionar.

    Captura de pantalla de la selección del ámbito de la política en el Azure Portal.

  5. Seleccione la elipsis (...) junto a Definición de directiva para seleccionar la directiva integrada que desea asignar. Escriba registro de flujo en el cuadro de búsqueda y seleccione el filtro Integrado. En los resultados de la búsqueda, seleccione Los registros de flujo se deben configurar para cada grupo de seguridad de red y, a continuación, seleccione Agregar.

    Captura de pantalla de la selección de la directiva de auditoría en el Azure Portal.

  6. Escriba un nombre en Nombre de la directiva y escriba su nombre en Asignada por.

    Esta directiva no requiere ningún parámetro. Tampoco contiene ninguna definición de rol, por lo que no es necesario crear asignaciones de rol para la identidad administrada en la pestaña Remediación.

  7. Seleccione Revisar y crear y, luego, Crear.

    Captura de pantalla de la pestaña Aspectos básicos para asignar una directiva de auditoría en Azure Portal.

  8. Seleccione Cumplimiento. Busque el nombre de su asignación y selecciónelo.

    Captura de pantalla de la página Cumplimiento que muestra los recursos que no cumplen la directiva de auditoría.

  9. Seleccione Cumplimiento de recursos para obtener una lista de todos los grupos de seguridad de red sin cumplimiento normativo.

    Captura de pantalla de la página Cumplimiento de la directiva que muestra los recursos que no son compatibles con la directiva de auditoría.

Implementar y configurar registros de flujo de NSG mediante una directiva integrada

La directiva Implementar un recurso de registro de flujo con el grupo de seguridad de red de destino comprueba todos los grupos de seguridad de red existentes en un ámbito al comprobar todos los objetos de Azure Resource Manager de tipo Microsoft.Network/networkSecurityGroups. A continuación, comprueba los registros de flujo vinculados a través de la propiedad de registros de flujo del grupo de seguridad de red. Si la propiedad no existe, la directiva implementa un registro de flujo.

Para asignar la directiva deployIfNotExists:

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda de la parte superior del portal, ingrese directiva. Seleccione directiva en los resultados de la búsqueda.

    Captura de pantalla de la búsqueda de Azure Policy en Azure Portal.

  3. Seleccione Asignaciones y, a continuación, seleccione Asignar directiva.

    Captura de pantalla en la que se selecciona el botón para asignar una directiva en Azure Portal.

  4. Seleccione la elipsis (...) junto a Ámbito para elegir la suscripción de Azure que tiene los grupos de seguridad de red que desea que audite la directiva. También puede seleccionar el grupo de recursos que tiene los grupos de seguridad de red. Tras realizar las selecciones, elija el botón Seleccionar.

    Captura de pantalla de la selección del ámbito de la política en el Azure Portal.

  5. Seleccione la elipsis (...) junto a Definición de directiva para seleccionar la directiva integrada que desea asignar. Escriba registro de flujo en el cuadro de búsqueda y seleccione el filtro Integrado. En los resultados de la búsqueda, seleccione Implementar un recurso de registro de flujo con el grupo de seguridad de red de destino y, a continuación, seleccione Agregar.

    Captura de pantalla en la que se selecciona la directiva de implementación en Azure Portal.

  6. Escriba un nombre en Nombre de la directiva y escriba su nombre en Asignada por.

    Captura de pantalla de la pestaña Aspectos básicos para asignar una directiva de implementación en Azure Portal.

  7. Seleccione el botón Siguiente dos veces o seleccione la pestaña Parámetros. Escriba o seleccione los siguientes valores:

    Configuración Value
    Región NSG Seleccione la región de su grupo de seguridad de red a la que se dirige la directiva.
    Id. de almacenamiento Escriba el Id. de recurso completo de la cuenta de almacenamiento. La cuenta de almacenamiento debe estar en la misma región que el grupo de seguridad de red. El formato del id. de recurso de almacenamiento es /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Grupo de recursos de Network Watcher Seleccione el grupo de recursos de la instancia de Azure Network Watcher.
    Nombre de Network Watcher Escriba el nombre de la instancia de Network Watcher.

    Captura de pantalla de la pestaña Parámetros para asignar una directiva de implementación en Azure Portal.

  8. Seleccione Siguiente o la pestaña Remediación. Escriba o seleccione los siguientes valores:

    Configuración Value
    Crear una tarea de corrección Marque la casilla si desea que la directiva afecte a los recursos existentes.
    Crear una identidad administrada Active la casilla.
    Tipo de identidad administrada Seleccione el tipo de identidad administrada que desea usar.
    Ubicación de identidad asignada por el sistema Seleccione la región de la identidad asignada por el sistema.
    Ámbito Seleccione el ámbito de la identidad asignada por el usuario.
    Identidades existentes asignadas por el usuario Seleccione la identidad asignada por el usuario.

    Nota

    Necesitará permisos de colaborador o de propietario para usar esta directiva.

    Captura de pantalla de la pestaña Remediación para asignar una directiva de implementación en Azure Portal.

  9. Seleccione Revisar y crear y, luego, Crear.

  10. Seleccione Cumplimiento. Busque el nombre de su asignación y selecciónelo.

    Captura de pantalla de la página Cumplimiento que muestra los recursos que no cumplen la directiva de implementación.

  11. Seleccione Cumplimiento de recursos para obtener una lista de todos los grupos de seguridad de red sin cumplimiento normativo.

    Captura de pantalla de la página Cumplimiento de la directiva que muestra los recursos que no son compatibles.

  12. Deje las ejecuciones de directiva para evaluar e implementar registros de flujo para todos los grupos de seguridad de red no compatibles. A continuación, vuelva a seleccionar Cumplimiento de recursos para comprobar el estado de los grupos de seguridad de red (no verá grupos de seguridad de red no compatibles si la directiva completó su corrección).

    Captura de pantalla de la página Cumplimiento de la directiva que muestra que todos los recursos son compatibles.

Pasos siguientes