Forgalomelemzés kezelése a Azure Policy használatával

  • Cikk

Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy léptékű értékelésében. Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Az Azure Policyval kapcsolatos további információkért lásd: Mi az Azure Policy? és rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához.

Ebből a cikkből megtudhatja, hogyan használhatja az Azure Network Watcher traffic analyticshez elérhető három beépített szabályzatot a beállítás kezeléséhez.

Folyamatnaplók naplózása beépített szabályzattal

A Network Watcher forgalmi naplóknak engedélyezve kell lennie a forgalomelemzési szabályzatnak az összes meglévő folyamatnapló naplózásával, az Azure Resource Manager típusú Microsoft.Network/networkWatchers/flowLogs objektumok naplózásával, valamint annak ellenőrzésével, hogy a forgalomelemzés engedélyezve van-e a networkWatcherFlowAnalyticsConfiguration.enabled folyamatnapló-erőforrás tulajdonságán keresztül. Ez a szabályzat ezután megjelöli azt a folyamatnapló-erőforrást, amelynek tulajdonsága false (hamis) értékre van állítva.

A folyamatnaplók naplózása a beépített szabályzattal:

  1. Jelentkezzen be az Azure Portalra.

  2. A portál tetején található keresőmezőbe írja be a szabályzatot. A keresési eredmények között válassza a Szabályzat lehetőséget.

    Képernyőkép a szabályzatok kereséséről a Azure Portal.

  3. Válassza a Hozzárendelések, majd a Szabályzat hozzárendelése lehetőséget.

    Képernyőkép a szabályzat hozzárendelése gomb kiválasztásáról a Azure Portal.

  4. Válassza a hatókör melletti három pontot ... annak az Azure-előfizetésnek a kiválasztásához, amely a szabályzat által naplózni kívánt folyamatnaplókkal rendelkezik. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a folyamatnaplókkal. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.

    Képernyőkép a szabályzat hatókörének kiválasztásáról a Azure Portal.

  5. Válassza a három pontot ... a Szabályzatdefiníció mellett a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a traffic analytics kifejezést a keresőmezőbe, és válassza a Beépített szűrő lehetőséget. A keresési eredmények közül válassza Network Watcher forgalomnaplók esetében engedélyezze a forgalomelemzést, majd válassza a Hozzáadás lehetőséget.

    Képernyőkép a naplózási szabályzat kiválasztásáról a Azure Portal.

  6. Adjon meg egy nevet a Hozzárendelés neve mezőben, a saját nevét pedig a Felelős mezőben. Ehhez a szabályzathoz nincs szükség paraméterekre.

  7. Válassza az Áttekintés + létrehozás , majd a Létrehozás lehetőséget.

    Képernyőkép az Alapvető beállítások lapról, a Azure Portal naplózási szabályzatának hozzárendeléséhez.

    Megjegyzés

    Ehhez a szabályzathoz nincs szükség paraméterekre. Emellett nem tartalmaz szerepkör-definíciókat, így nincs szükség szerepkör-hozzárendelések létrehozására a felügyelt identitáshoz a Szervizelés lapon.

  8. Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd jelölje ki.

    Képernyőkép a Megfelelőségi oldalról, amelyen a naplózási szabályzat látható a Azure Portal.

  9. Az erőforrás-megfelelőség listázza az összes nem megfelelő folyamatnaplót.

    Képernyőkép a Azure Portal naplórendjének részleteiről.

Forgalomelemzés üzembe helyezése és konfigurálása deployIfNotExists szabályzatokkal

Az NSG-forgalomnaplók konfigurálásához két deployIfNotExists szabályzat érhető el:

  • Hálózati biztonsági csoportok konfigurálása adott munkaterület, tárfiók és forgalomnapló adatmegőrzési szabályzatának használatára a forgalomelemzéshez: Ez a szabályzat megjelöli azt a hálózati biztonsági csoportot, amelynél nincs engedélyezve a forgalomelemzés. Megjelölt hálózati biztonsági csoport esetén a megfelelő NSG-forgalomnapló-erőforrás nem létezik, vagy az NSG-forgalomnaplók erőforrása létezik, de a forgalomelemzés nincs engedélyezve rajta. Létrehozhat szervizelési feladatot, ha azt szeretné, hogy a szabályzat hatással legyen a meglévő erőforrásokra.

    A szervizelés hozzárendelhető a szabályzat hozzárendelése során, vagy a szabályzat hozzárendelése és kiértékelése után. A szervizelés lehetővé teszi a forgalomelemzést az összes megjelölt erőforráson a megadott paraméterekkel. Ha egy hálózati biztonsági csoport már rendelkezik engedélyezett forgalomnaplókkal egy adott tárolóazonosítóban, de nincs engedélyezve a forgalomelemzés, akkor a szervizelés engedélyezi a forgalomelemzést ezen a hálózati biztonsági csoporton a megadott paraméterekkel. Ha a paraméterekben megadott tárolási azonosító eltér a folyamatnaplókhoz engedélyezett tárolóazonosítótól, akkor az utóbbi felülíródik a szervizelési feladatban megadott tárazonosítóval. Ha nem szeretné felülírni, használja a Hálózati biztonsági csoportok konfigurálása lehetőséget a forgalomelemzési szabályzat engedélyezéséhez .

  • Hálózati biztonsági csoportok konfigurálása forgalomelemzés engedélyezéséhez: Ez a szabályzat az előző szabályzathoz hasonló, azzal a kivétellel, hogy a szervizelés során nem írja felül a forgalomnaplók beállításait azon megjelölt hálózati biztonsági csoportokon, amelyeken engedélyezve vannak a forgalomnaplók, de a forgalomelemzés le van tiltva a szabályzat-hozzárendelésben megadott paraméterrel.

Megjegyzés

Network Watcher egy regionális szolgáltatás, ezért a két deployIfNotExists szabályzat az adott régióban található hálózati biztonsági csoportokra lesz alkalmazva. Egy másik régióban lévő hálózati biztonsági csoportok esetén hozzon létre egy másik szabályzat-hozzárendelést az adott régióban.

A deployIfNotExists két szabályzat bármelyikének hozzárendeléséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. A portál tetején található keresőmezőbe írja be a szabályzatot. A keresési eredmények között válassza a Szabályzat lehetőséget.

    Képernyőkép a szabályzatok kereséséről a Azure Portal.

  3. Válassza a Hozzárendelések, majd a Szabályzat hozzárendelése lehetőséget.

    Képernyőkép a szabályzat hozzárendelése gomb kiválasztásáról a Azure Portal.

  4. Válassza a hatókör melletti három pontot ... annak az Azure-előfizetésnek a kiválasztásához, amely a szabályzat által naplózni kívánt folyamatnaplókkal rendelkezik. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a folyamatnaplókkal. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.

    Képernyőkép a szabályzat hatókörének kiválasztásáról a Azure Portal.

  5. Válassza a három pontot ... a Szabályzatdefiníció mellett a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a traffic analytics kifejezést a keresőmezőbe, és válassza a Beépített szűrőt. A keresési eredmények között válassza a Hálózati biztonsági csoportok konfigurálása adott munkaterület, tárfiók és forgalomnapló-adatmegőrzési szabályzat forgalomelemzéshez való használatához lehetőséget, majd válassza a Hozzáadás lehetőséget.

    Képernyőkép a deployIfNotExists szabályzat kiválasztásáról a Azure Portal.

  6. Adjon meg egy nevet a Hozzárendelés neve mezőben, a saját nevét pedig a Felelős mezőben.

    Képernyőkép az Alapszintű beállítások lapról egy üzembe helyezési szabályzat hozzárendeléséről a Azure Portal.

  7. Kattintson kétszer a Tovább gombra, vagy válassza a Paraméterek lapot. Ezután adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Hatás Válassza a DeployIfNotExists lehetőséget.
    Hálózati biztonsági csoport régiója Válassza ki annak a hálózati biztonsági csoportnak a régióját, amelyet a szabályzattal céloz meg.
    Storage-erőforrás azonosítója Adja meg a tárfiók teljes erőforrás-azonosítóját. A tárfióknak ugyanabban a régióban kell lennie, mint a hálózati biztonsági csoportnak. A tárolási erőforrás-azonosító formátuma: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Forgalomelemzés feldolgozási időköze percekben Válassza ki a feldolgozott naplók munkaterületre való leküldésének gyakoriságát. A jelenleg elérhető értékek 10 és 60 perc. Az alapértelmezett érték 60 perc.
    Munkaterület erőforrás-azonosítója Adja meg annak a munkaterületnek a teljes erőforrás-azonosítóját, ahol engedélyezni kell a forgalomelemzést. A munkaterület erőforrás-azonosítójának formátuma: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    Munkaterület régiója Válassza ki a traffic analytics-munkaterület régióját.
    Munkaterület azonosítója Adja meg a Traffic Analytics-munkaterület azonosítóját.
    Network Watcher erőforráscsoport Válassza ki a Network Watcher erőforráscsoportját.
    Network Watcher neve Adja meg a Network Watcher nevét.
    A folyamatnaplók megőrzésének napjainak száma Adja meg, hogy hány napig szeretné megőrizni a tárfiókban a folyamatnaplók adatait. Ha örökre meg szeretné őrizni az adatokat, írja be a 0 értéket.

    Megjegyzés

    A forgalomelemzési munkaterület régiójának nem kell megegyeznie a megcélzott hálózati biztonsági csoport régiójával.

    Képernyőkép a Paraméterek lapról, amely egy üzembe helyezési szabályzat hozzárendelését ismerteti a Azure Portal.

  8. Válassza a Tovább vagy a Szervizelés lapot. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Szervizelési feladat létrehozása Jelölje be a jelölőnégyzetet, ha azt szeretné, hogy a szabályzat hatással legyen a meglévő erőforrásokra.
    Felügyelt identitás létrehozása Jelölje be a jelölőnégyzetet.
    Felügyelt identitás típusa Válassza ki a használni kívánt felügyelt identitástípust.
    Rendszer által hozzárendelt identitás helye Válassza ki a rendszer által hozzárendelt identitás régióját.
    Hatókör Válassza ki a felhasználó által hozzárendelt identitás hatókörét.
    Meglévő felhasználó által hozzárendelt identitások Válassza ki a felhasználó által hozzárendelt identitást.

    Megjegyzés

    A szabályzat használatához közreműködői vagy tulajdonosi engedély szükséges.

    Képernyőkép a Szervizelés lapról, a Azure Portal üzembe helyezési szabályzatának hozzárendeléséről.

  9. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

  10. Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd válassza ki.

    Képernyőkép a megfelelőségi oldalról, amelyen az üzembe helyezési szabályzat látható a Azure Portal.

  11. Válassza az Erőforrás-megfelelőség lehetőséget a nem megfelelő folyamatnaplók listájának lekéréséhez.

    Képernyőkép az üzembe helyezési szabályzat részleteiről a Azure Portal.

Hibaelhárítás

A szervizelési feladat hibakóddal PolicyAuthorizationFailed meghiúsul: mintahiba-példa : A szabályzat-hozzárendelés /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ erőforrás-identitása nem rendelkezik az üzembe helyezés létrehozásához szükséges engedélyekkel.

Ilyen esetben a felügyelt identitásnak manuálisan kell hozzáférést biztosítani. Nyissa meg a megfelelő előfizetést/erőforráscsoportot (amely tartalmazza a szabályzat paramétereiben megadott erőforrásokat), és adjon közreműködői hozzáférést a szabályzat által létrehozott felügyelt identitáshoz.

Következő lépések