Auditoría e implementación de registros de flujo de red virtual mediante Azure Policy
Azure Policy le ayuda a aplicar los estándares de la organización y a evaluar el cumplimiento a gran escala. Entre los casos de uso comunes de Azure Policy se incluye la implementación de la gobernanza para la coherencia de los recursos, el cumplimiento normativo, la seguridad, el costo y la administración. Para más información sobre las políticas de Azure, consulte ¿Qué son las Azure Policy? y Inicio rápido: Cree una asignación de política para identificar los recursos que no cumplen las normas.
En este artículo, aprenderá a usar dos directivas integradas para administrar la configuración de los registros de flujo de red virtual. La primera directiva marca cualquier red virtual que no tenga el registro de flujo habilitado. La segunda directiva implementa automáticamente registros de flujo de red virtual en redes virtuales que no tienen habilitado el registro de flujo.
Requisitos previos
Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Una red virtual. Si necesita crear una red virtual, consulte Creación de una red virtual mediante Azure Portal.
Configuración de registros de flujo de auditoría para redes virtuales mediante una directiva integrada
La directiva Configuración de registros de flujo de auditoría para cada red virtual audita todas las redes virtuales existentes en un ámbito comprobando todos los objetos de Azure Resource Manager de tipo Microsoft.Network/virtualNetworks para los registros de flujo vinculados mediante la propiedad de registro de flujo de la red virtual. Después, marca cualquier red virtual que no tenga habilitado el registro de flujo.
Para auditar los registros de flujo mediante la directiva integrada, siga estos pasos:
Inicie sesión en Azure Portal.
En el cuadro de búsqueda de la parte superior del portal, ingrese directiva. Selecciona Directiva en los resultados de la búsqueda.
Seleccione Asignaciones y, a continuación, seleccione Asignar directiva.
Seleccione los puntos suspensivos (…) junto a Ámbito para elegir la suscripción de Azure que tiene las redes virtuales que quiere comprobar con la directiva. También puede seleccionar el grupo de recursos que tiene las redes virtuales. Después de realizar las selecciones, elija el botón Seleccionar.
Seleccione la elipsis (...) junto a Definición de directiva para seleccionar la directiva integrada que desea asignar. Escriba registro de flujo en el cuadro de búsqueda y seleccione el filtro Integrado. En los resultados de la búsqueda, seleccione Configuración de registros de flujo de auditoría para cada red virtual y, luego, seleccione Agregar.
Escriba un nombre en Nombre de la asignación o use el nombre predeterminado y, después, escriba su nombre en Asignada por.
Esta directiva no requiere ningún parámetro. Tampoco contiene ninguna definición de rol, por lo que no es necesario crear asignaciones de rol para la identidad administrada en la pestaña Remediación.
Seleccione Revisar y crear y, luego, Crear.
Seleccione Cumplimiento y cambie el filtro Estado de cumplimiento a No compatible para enumerar todas las directivas no compatibles. Busque el nombre de la directiva de auditoría que ha creado y selecciónelo.
En la página de cumplimiento de la directiva, cambie el filtro Estado de cumplimiento a No compatible para enumerar todas las redes virtuales no compatibles. En este ejemplo, hay tres redes virtuales de cuatro que no son compatibles.
Implementación y configuración de registros de flujo de red virtual mediante una directiva integrada
La directiva Implementación de un recurso de registro de flujo con la red virtual de destino comprueba todas las redes virtuales existentes en un ámbito al comprobar todos los objetos de Azure Resource Manager de tipo Microsoft.Network/virtualNetworks. Después, comprueba los registros de flujo vinculados mediante la propiedad de registro de flujo de la red virtual. Si la propiedad no existe, la directiva implementa un registro de flujo.
Importante
Se recomienda deshabilitar los registros de flujo del grupo de seguridad de red antes de habilitar los registros de flujo de red virtual en las mismas cargas de trabajo subyacentes para evitar la grabación de tráfico duplicada y costes adicionales. Por ejemplo, si habilita los registros de flujo del grupo de seguridad de red en el grupo de seguridad de red de una subred, habilite los registros de flujo de red virtual en la misma subred o red virtual primaria, puede obtener un registro duplicado (tanto los registros de flujo del grupo de seguridad de red como los registros de flujo de red virtual generados para todas las cargas de trabajo admitidas en esa subred determinada).
Para asignar la directiva deployIfNotExists, siga estos pasos:
Inicie sesión en Azure Portal.
En el cuadro de búsqueda de la parte superior del portal, ingrese directiva. Selecciona Directiva en los resultados de la búsqueda.
Seleccione Asignaciones y, a continuación, seleccione Asignar directiva.
Seleccione los puntos suspensivos (…) junto a Ámbito para elegir la suscripción de Azure que tiene las redes virtuales que quiere comprobar con la directiva. También puede seleccionar el grupo de recursos que tiene las redes virtuales. Después de realizar las selecciones, elija el botón Seleccionar.
Seleccione la elipsis (...) junto a Definición de directiva para seleccionar la directiva integrada que desea asignar. Escriba registro de flujo en el cuadro de búsqueda y seleccione el filtro Integrado. En los resultados de la búsqueda, seleccione Implementación de un recurso de registro de flujo con la red virtual de destino y, después, seleccione Agregar.
Nota:
Necesitará permisos de colaborador o de propietario para usar esta directiva.
Escriba un nombre en Nombre de la asignación o use el nombre predeterminado y, después, escriba su nombre en Asignada por.
Seleccione el botón Siguiente dos veces, o bien seleccione la pestaña Parámetros. Seleccione los siguientes valores:
Configuración Value Efecto Seleccione DeployIfNotExists para habilitar la ejecución de la directiva. La otra opción disponible es: Deshabilitado. Región de red virtual Seleccione la región de la red virtual que tiene como destino la directiva. Cuenta de almacenamiento Seleccione la cuenta de almacenamiento. La cuenta de almacenamiento debe estar en la misma región que la red virtual. RG de Network Watcher Seleccione el grupo de recursos de la instancia de Network Watcher. Los registros de flujo creados por la directiva se guardan en este grupo de recursos. Network Watcher Seleccione la instancia de Network Watcher de la región seleccionada. Número de días para conservar los registros de flujo Seleccione el número de días que desea conservar los datos de los registros de flujo en la cuenta de almacenamiento. El valor predeterminado es de 30 días. Si no desea aplicar ninguna directiva de retención, escriba 0. 
Seleccione Siguiente o la pestaña Corrección.
Seleccione la casillaCrear una tarea de corrección.
Seleccione Revisar y crear y, luego, Crear.
Seleccione Cumplimiento y cambie el filtro Estado de cumplimiento a No compatible para enumerar todas las directivas no compatibles. Busque el nombre de la directiva de implementación que ha creado y selecciónelo.
En la página de cumplimiento de la directiva, cambie el filtro Estado de cumplimiento a No compatible para enumerar todas las redes virtuales no compatibles. En este ejemplo, hay tres redes virtuales de cuatro que no son compatibles.
Nota:
La directiva tarda algún tiempo en evaluar las redes virtuales en el ámbito especificado e implementar registros de flujo para las redes virtuales no compatibles.
Vaya a Registros de flujo en Registros dentro de Network Watcher para ver los registros de flujo implementados por la directiva.
En la página cumplimiento de directivas, compruebe que todas las redes virtuales del ámbito especificado son compatibles.
Nota:
El estado de cumplimiento de los recursos puede tardar hasta 24 horas en actualizarse en la página cumplimiento de Azure Policy. Para obtener más información, consulte Descripción de los resultados de la evaluación.
