Share via

Gérer les journaux de flux NSG avec Azure Policy

  • Article

Azure Policy vous aide à appliquer les normes organisationnelles et à évaluer la conformité à grande échelle. Les cas d’usage courants pour Azure Policy incluent la mise en œuvre de la gouvernance pour la cohérence des ressources, la conformité réglementaire, la sécurité, le coût et la gestion. Pour plus d’informations sur Azure Policy, consultez Qu’est-ce qu’Azure Policy ? et Démarrage rapide : Créer une attribution de stratégie pour identifier les ressources non conformes.

Dans cet article, vous allez apprendre à utiliser deux stratégies intégrées pour gérer votre configuration des journaux de flux de groupe de sécurité réseau (NSG). La première stratégie signale tout groupe de sécurité réseau dont les journaux de flux ne sont pas activés. La deuxième stratégie déploie automatiquement les journaux de flux NSG dont les journaux de flux ne sont pas activés.

Auditer les groupes de sécurité réseau à l’aide d’une stratégie intégrée

La stratégie Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau audite tous les groupes de sécurité réseau existants dans une étendue donnée en vérifiant tous les objets Azure Resource Manager de type Microsoft.Network/networkSecurityGroups. Cette stratégie vérifie ensuite les journaux de flux liés via la propriété Journaux de flux du groupe de sécurité réseau, et signale tout groupe de sécurité réseau dont les journaux de flux ne sont pas activés.

Pour auditer vos journaux de flux à l’aide de la stratégie intégrée :

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez stratégie. Sélectionnez Stratégie dans les résultats de la recherche.

    Capture d’écran de la recherche d’Azure Policy dans le portail Azure.

  3. Sélectionnez Affectations, puis Affecter une stratégie.

    Capture d’écran de la sélection du bouton pour affecter une stratégie dans le Portail Azure.

  4. Sélectionnez les points de suspension (...) en regard de Étendue pour choisir votre abonnement Azure qui contient les groupes de sécurité réseau que doit auditer la stratégie. Vous pouvez également choisir le groupe de ressources qui contient les groupes de sécurité réseau. Une fois que vous avez fait vos sélections, choisissez le bouton Sélectionner.

    Capture d’écran de la sélection de l’étendue de la stratégie dans le portail Azure.

  5. Sélectionnez les points de suspension (...) à côté de Définition de stratégie pour choisir la stratégie intégrée que vous souhaitez affecter. Entrez journal de flux dans la zone de recherche, puis sélectionnez le filtre Intégrer. Dans les résultats de la recherche, sélectionnez Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau, puis Ajouter.

    Capture d’écran de la sélection de la stratégie d’audit dans le portail Azure.

  6. Entrez un nom dans Nom de l’affectation et votre nom dans Affecter par.

    La stratégie ne nécessite aucun paramètre. Elle ne contient pas non plus de définitions de rôles, vous n’avez donc pas besoin de créer des affectations de rôle pour l’identité managée sous l’onglet Correction.

  7. Sélectionnez Examiner + créer, puis sélectionnez Créer.

    Capture d’écran de l’onglet Informations de base pour affecter une stratégie d’audit dans le Portail Azure.

  8. Sélectionnez Conformité. Recherchez le nom de votre affectation, puis sélectionnez-la.

    Capture d’écran de la page de conformité affichant les ressources non conformes d’après la stratégie d’audit.

  9. Sélectionnez Conformité des ressources pour obtenir la liste de tous les groupes de sécurité réseau non conformes.

    Capture d’écran de la page de conformité de la stratégie affichant les ressources non conformes d’après la stratégie d’audit.

Déployer et configurer les journaux de flux NSG à l’aide d’une stratégie intégrée

La stratégie Déployer une ressource de journal de flux avec le groupe de sécurité réseau cible vérifie tous les groupes de sécurité réseau existants dans une étendue en vérifiant tous les objets Azure Resource Manager de type Microsoft.Network/networkSecurityGroups. Elle vérifie ensuite les journaux de flux liés via la propriété Journaux de flux du groupe de sécurité réseau. Si la propriété n’existe pas, la stratégie déploie un journal de flux.

Pour affecter la stratégie deployIfNotExists :

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez stratégie. Sélectionnez Stratégie dans les résultats de la recherche.

    Capture d’écran de la recherche d’Azure Policy dans le portail Azure.

  3. Sélectionnez Affectations, puis Affecter une stratégie.

    Capture d’écran de la sélection du bouton pour affecter une stratégie dans le Portail Azure.

  4. Sélectionnez les points de suspension (...) en regard de Étendue pour choisir votre abonnement Azure qui contient les groupes de sécurité réseau que doit auditer la stratégie. Vous pouvez également choisir le groupe de ressources qui contient les groupes de sécurité réseau. Une fois que vous avez fait vos sélections, choisissez le bouton Sélectionner.

    Capture d’écran de la sélection de l’étendue de la stratégie dans le portail Azure.

  5. Sélectionnez les points de suspension (...) à côté de Définition de stratégie pour choisir la stratégie intégrée que vous souhaitez affecter. Entrez journal de flux dans la zone de recherche, puis sélectionnez le filtre Intégrer. Dans les résultats de la recherche, sélectionnez Déployer une ressource de journal de flux avec le groupe de sécurité réseau cible, puis Ajouter.

    Capture d’écran de la sélection de la stratégie de déploiement dans le Portail Azure.

  6. Entrez un nom dans Nom de l’affectation et votre nom dans Affecter par.

    Capture d’écran de l’onglet Informations de base pour affecter une stratégie de déploiement dans le Portail Azure.

  7. Sélectionnez deux fois le bouton Suivant ou sélectionnez l’onglet Paramètres. Entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Région NSG Sélectionnez la région du groupe de sécurité réseau que vous ciblez avec la stratégie.
    Identification de stockage Entrez l’ID de ressource complet du compte de stockage. Le compte de stockage doit se trouver dans la même région que le groupe de sécurité réseau. Le format de l’identification de ressource de stockage est /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Network Watchers RG Sélectionnez le groupe de ressources de votre instance Azure Network Watcher.
    Nom Network Watcher Entrez le nom de votre instance Network Watcher.

    Capture d’écran de l’onglet Paramètres avec affectation d’une stratégie de déploiement dans le Portail Azure.

  8. Sélectionnez Suivant ou l’onglet Correction. Entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Créer une tâche de correction Cochez la case de vérification si vous souhaitez que la stratégie affecte les ressources existantes.
    Créer une identité managée Cochez la case.
    Type d’identité managée Sélectionnez le type d’identité managée que vous souhaitez utiliser.
    Localisation de l’identité affectée par le système Sélectionnez la région de votre identité affectée par le système.
    Étendue Sélectionnez l’étendue de votre identité affectée par l’utilisateur.
    Identités affectées par l’utilisateur existantes Sélectionnez votre identité affectée par l’utilisateur.

    Notes

    Vous avez besoin de l’autorisation Contributeur ou Propriétaire pour utiliser cette stratégie.

    Capture d’écran de l’onglet Correction avec affectation d’une stratégie de déploiement dans le Portail Azure.

  9. Sélectionnez Examiner + créer, puis sélectionnez Créer.

  10. Sélectionnez Conformité. Recherchez le nom de votre affectation, puis sélectionnez-la.

    Capture d’écran de la page de conformité affichant les ressources non conformes d’après la stratégie de déploiement.

  11. Sélectionnez Conformité des ressources pour obtenir la liste de tous les groupes de sécurité réseau non conformes.

    Capture d’écran de la page de conformité de la stratégie affichant les ressources non conformes.

  12. Laissez les exécutions de stratégie pour évaluer et déployer des journaux de flux pour tous les groupes de sécurité réseau non conformes. Sélectionnez ensuite à nouveau Conformité des ressources pour vérifier le statut des groupes de sécurité réseau (vous ne voyez pas de groupes de sécurité réseau non conformes si la stratégie a terminé sa correction).

    Capture d’écran de la page de conformité de la stratégie affichant toutes les ressources conformes.

Étapes suivantes