NSG-folyamatnaplók kezelése az Azure Policy használatával

  • Cikk

Az Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy méretekben történő értékelésében. Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Az Azure Policyval kapcsolatos további információkért lásd : Mi az Azure Policy? és rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához.

Ebből a cikkből megtudhatja, hogyan kezelheti a hálózati biztonsági csoport (NSG) folyamatnaplóinak beállítását két beépített szabályzat használatával. Az első szabályzat megjelöli azokat a hálózati biztonsági csoportokat, amelyeken nincs engedélyezve a folyamatnaplók használata. A második szabályzat automatikusan üzembe helyezi azokat az NSG-folyamatnaplókat, amelyeken nincs engedélyezve a folyamatnapló.

Hálózati biztonsági csoportok naplózása beépített szabályzat használatával

A Flow-naplókat konfigurálni kell minden hálózati biztonsági csoport szabályzatához, amely egy hatókör összes meglévő hálózati biztonsági csoportját naplózza az összes Azure Resource Manager-objektum típusának Microsoft.Network/networkSecurityGroupsellenőrzésével. Ez a szabályzat ezután a hálózati biztonsági csoport folyamatnapló-tulajdonságán keresztül ellenőrzi a csatolt folyamatnaplókat, és megjelöl minden olyan hálózati biztonsági csoportot, amely nem rendelkezik engedélyezett folyamatnaplókkal.

A folyamatnaplók naplózása a beépített szabályzattal:

  1. Jelentkezzen be az Azure Portalra.

  2. A portál tetején található keresőmezőbe írja be a szabályzatot. Válassza a Szabályzat lehetőséget a keresési eredmények között.

    Képernyőkép az Azure Policy azure portalon való kereséséről.

  3. Válassza a Hozzárendelések lehetőséget, majd válassza a Szabályzat hozzárendelése lehetőséget.

    Képernyőkép egy szabályzat azure portalon való hozzárendelésére szolgáló gomb kiválasztásáról.

  4. A Hatókör melletti három pontra (...) kattintva válassza ki a szabályzat által naplózni kívánt hálózati biztonsági csoportokat tartalmazó Azure-előfizetést. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a hálózati biztonsági csoportokkal. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.

    Képernyőkép a szabályzat hatókörének az Azure Portalon való kiválasztásáról.

  5. Válassza ki a szabályzatdefiníció melletti három pontot (...) a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a folyamatnaplót a keresőmezőbe, majd válassza ki a beépített szűrőt . A keresési eredmények között válassza a Flow-naplók beállítását minden hálózati biztonsági csoporthoz, majd válassza a Hozzáadás lehetőséget.

    Képernyőkép az Azure Portal naplózási szabályzatának kiválasztásáról.

  6. Adjon meg egy nevet a Hozzárendelés nevére, és adja meg a nevét a Hozzárendelt mezőben.

    Ez a szabályzat nem igényel paramétereket. Nem tartalmaz szerepkördefiníciókat sem, így a Szervizelés lapon nem kell szerepkör-hozzárendeléseket létrehoznia a felügyelt identitáshoz.

  7. Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.

    Képernyőkép az Alapszintű beállítások lapról, amely naplószabályzatot rendel az Azure Portalhoz.

  8. Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd jelölje ki.

    Képernyőkép a megfelelőségi oldalról, amely az auditszabályzaton alapuló nem megfelelő erőforrásokat jeleníti meg.

  9. Válassza az Erőforrás-megfelelőség lehetőséget az összes nem megfelelő hálózati biztonsági csoport listájának lekéréséhez.

    Képernyőkép a Szabályzat megfelelőségi oldaláról, amely a nem megfelelő erőforrásokat jeleníti meg a naplózási szabályzat alapján.

NSG-folyamatnaplók üzembe helyezése és konfigurálása beépített szabályzat használatával

A folyamatnapló-erőforrás üzembe helyezése célhálózati biztonsági csoportházirenddel a hatókör összes meglévő hálózati biztonsági csoportját ellenőrzi az összes Azure Resource Manager-objektum típusának Microsoft.Network/networkSecurityGroupsellenőrzésével. Ezután a hálózati biztonsági csoport folyamatnapló-tulajdonságán keresztül ellenőrzi a csatolt folyamatnaplókat. Ha a tulajdonság nem létezik, a szabályzat egy folyamatnaplót helyez üzembe.

A deployIfNotExists szabályzat hozzárendelése:

  1. Jelentkezzen be az Azure Portalra.

  2. A portál tetején található keresőmezőbe írja be a szabályzatot. Válassza a Szabályzat lehetőséget a keresési eredmények között.

    Képernyőkép az Azure Policy azure portalon való kereséséről.

  3. Válassza a Hozzárendelések lehetőséget, majd válassza a Szabályzat hozzárendelése lehetőséget.

    Képernyőkép egy szabályzat azure portalon való hozzárendelésére szolgáló gomb kiválasztásáról.

  4. A Hatókör melletti három pontra (...) kattintva válassza ki a szabályzat által naplózni kívánt hálózati biztonsági csoportokat tartalmazó Azure-előfizetést. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a hálózati biztonsági csoportokkal. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.

    Képernyőkép a szabályzat hatókörének az Azure Portalon való kiválasztásáról.

  5. Válassza ki a szabályzatdefiníció melletti három pontot (...) a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a folyamatnaplót a keresőmezőbe, majd válassza ki a beépített szűrőt . A keresési eredmények között válassza a Folyamatnapló-erőforrás üzembe helyezése célhálózati biztonsági csoporttal, majd a Hozzáadás lehetőséget.

    Képernyőkép az üzembehelyezési szabályzat azure portalon való kiválasztásáról.

  6. Adjon meg egy nevet a Hozzárendelés nevére, és adja meg a nevét a Hozzárendelt mezőben.

    Képernyőkép az Alapszintű beállítások lapról, amely üzembehelyezési szabályzatot rendel az Azure Portalhoz.

  7. Kattintson kétszer a Tovább gombra, vagy válassza a Paraméterek lapot. Ezután adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    NSG-régió Válassza ki a szabályzattal megcélzott hálózati biztonsági csoport régióját.
    Tárterület azonosítója Adja meg a tárfiók teljes erőforrás-azonosítóját. A tárfióknak ugyanabban a régióban kell lennie, mint a hálózati biztonsági csoportnak. A tárolási erőforrás-azonosító formátuma a következő /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>: .
    Network Watchers RG Válassza ki az Azure Network Watcher-példány erőforráscsoportját.
    Network Watcher neve Adja meg a Network Watcher-példány nevét.

    Képernyőkép az Üzembehelyezési szabályzat Azure Portalon való hozzárendelésére szolgáló Paraméterek lapról.

  8. Válassza a Tovább vagy a Szervizelés lapot. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Szervizelési feladat létrehozása Jelölje be a jelölőnégyzetet, ha azt szeretné, hogy a szabályzat hatással legyen a meglévő erőforrásokra.
    Felügyelt identitás létrehozása Jelölje be a jelölőnégyzetet.
    Felügyelt identitás típusa Válassza ki a használni kívánt felügyelt identitás típusát.
    Rendszer által hozzárendelt identitás helye Válassza ki a rendszer által hozzárendelt identitás régióját.
    Hatókör Válassza ki a felhasználó által hozzárendelt identitás hatókörét.
    Meglévő felhasználó által hozzárendelt identitások Válassza ki a felhasználó által hozzárendelt identitást.

    Feljegyzés

    A szabályzat használatához közreműködői vagy tulajdonosi engedély szükséges.

    Képernyőkép az Üzembehelyezési szabályzat Azure Portalon való hozzárendeléséről a Szervizelés lapról.

  9. Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.

  10. Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd jelölje ki.

    Képernyőkép a megfelelőségi oldalról, amely az üzembehelyezési szabályzaton alapuló nem megfelelő erőforrásokat jeleníti meg.

  11. Válassza az Erőforrás-megfelelőség lehetőséget az összes nem megfelelő hálózati biztonsági csoport listájának lekéréséhez.

    Képernyőkép a szabályzatmegfeleltségi oldalról, amely a nem megfelelő erőforrásokat jeleníti meg.

  12. Hagyja a szabályzatfuttatásokat az összes nem megfelelő hálózati biztonsági csoport folyamatnaplóinak kiértékeléséhez és üzembe helyezéséhez. Ezután válassza ismét az Erőforrás-megfelelőség lehetőséget a hálózati biztonsági csoportok állapotának ellenőrzéséhez (ha a szabályzat befejezte a szervizelést, nem jelennek meg a nem megfelelő hálózati biztonsági csoportok).

    Képernyőkép a Szabályzatmegfelelőségi oldalról, amelyen az összes erőforrás megfelelő.

Következő lépések