Bagikan melalui

Mengelola analitik lalu lintas menggunakan Azure Policy

  • Artikel

Azure Policy membantu Anda menerapkan standar organisasi dan menilai kepatuhan dalam skala besar. Penggunaan umum Azure Policy meliputi menerapkan tata kelola untuk konsistensi sumber daya, kepatuhan terhadap peraturan, keamanan, biaya, dan manajemen. Untuk mempelajari selengkapnya tentang kebijakan Azure, lihat Apa itu Azure Policy? dan Mulai Cepat: Membuat penetapan kebijakan untuk mengidentifikasi sumber daya yang tidak patuh.

Dalam artikel ini, Anda mempelajari cara menggunakan tiga kebijakan bawaan yang tersedia untuk analitik lalu lintas Azure Network Watcher untuk mengelola penyiapan Anda.

Log alur audit menggunakan kebijakan bawaan

Log alur Network Watcher harus mengaktifkan analitik lalu lintas mengaudit semua log alur yang ada dengan mengaudit objek jenis Microsoft.Network/networkWatchers/flowLogs Azure Resource Manager dan memeriksa apakah analitik lalu lintas diaktifkan melalui networkWatcherFlowAnalyticsConfiguration.enabled properti sumber daya log alur. Kebijakan ini kemudian menandai sumber daya log alur yang memiliki properti yang diatur ke false.

Untuk mengaudit log alur Anda dengan menggunakan kebijakan bawaan:

  1. Masuk ke portal Azure.

  2. Di kotak pencarian di bagian atas portal, masukkan kebijakan. Pilih Kebijakan dari hasil pencarian.

    Cuplikan layar pencarian kebijakan di portal Azure.

  3. Pilih Penugasan, lalu pilih Tetapkan Kebijakan.

    Cuplikan layar memilih tombol Tetapkan kebijakan di portal Azure.

  4. Pilih elipsis ... di samping Cakupan untuk memilih langganan Azure Anda yang memiliki log alur yang Anda inginkan untuk diaudit kebijakan. Anda juga dapat memilih grup sumber daya yang memiliki log alur. Setelah Anda membuat pilihan, pilih tombol Pilih .

    Cuplikan layar memilih cakupan kebijakan di portal Azure.

  5. Pilih elipsis ... di samping Definisi kebijakan untuk memilih kebijakan bawaan yang ingin Anda tetapkan. Masukkan analitik lalu lintas di kotak pencarian, dan pilih Filter bawaan . Dari hasil pencarian, pilih Log alur Network Watcher harus mengaktifkan analitik lalu lintas lalu pilih Tambahkan.

    Cuplikan layar memilih kebijakan audit di portal Azure.

  6. Masukkan nama di Nama penugasan dan nama Anda di Ditetapkan oleh. Kebijakan ini tidak memerlukan parameter apa pun.

  7. Pilih Ulas + buat, lalu pilih Buat.

    Cuplikan layar tab Dasar untuk menetapkan kebijakan audit di portal Azure.

    Catatan

    Kebijakan ini tidak memerlukan parameter apa pun. Ini juga tidak berisi definisi peran apa pun sehingga Anda tidak perlu membuat penetapan peran untuk identitas terkelola di tab Remediasi .

  8. Pilih Kepatuhan. Cari nama penugasan Anda lalu pilih.

    Cuplikan layar halaman Kepatuhan memperlihatkan kebijakan audit di portal Azure.

  9. Kepatuhan sumber daya mencantumkan semua log alur yang tidak sesuai.

    Cuplikan layar memperlihatkan detail kebijakan audit di portal Azure.

Menyebarkan dan mengonfigurasi analitik lalu lintas menggunakan kebijakan deployIfNotExists

Ada dua kebijakan deployIfNotExists yang tersedia untuk mengonfigurasi log alur NSG:

  • Mengonfigurasi grup keamanan jaringan untuk menggunakan ruang kerja tertentu, akun penyimpanan, dan kebijakan penyimpanan log alur untuk analitik lalu lintas: Kebijakan ini menandai grup keamanan jaringan yang tidak mengaktifkan analitik lalu lintas. Untuk grup keamanan jaringan yang ditandai, sumber daya log alur NSG yang sesuai tidak ada atau sumber daya log alur NSG ada tetapi analitik lalu lintas tidak diaktifkan di dalamnya. Anda dapat membuat tugas remediasi jika Anda ingin kebijakan memengaruhi sumber daya yang ada.

    Remediasi dapat diberikan saat menetapkan kebijakan atau setelah kebijakan ditetapkan dan dievaluasi. Remediasi memungkinkan analitik lalu lintas pada semua sumber daya yang ditandai dengan parameter yang disediakan. Jika grup keamanan jaringan sudah memiliki log alur yang diaktifkan ke ID penyimpanan tertentu tetapi tidak mengaktifkan analitik lalu lintas, maka remediasi memungkinkan analitik lalu lintas pada grup keamanan jaringan ini dengan parameter yang disediakan. Jika ID penyimpanan yang disediakan dalam parameter berbeda dari yang diaktifkan untuk log alur, maka yang terakhir akan ditimpa dengan ID penyimpanan yang disediakan dalam tugas remediasi. Jika Anda tidak ingin menimpa, gunakan Konfigurasikan grup keamanan jaringan untuk mengaktifkan kebijakan analitik lalu lintas.

  • Mengonfigurasi grup keamanan jaringan untuk mengaktifkan analitik lalu lintas: Kebijakan ini mirip dengan kebijakan sebelumnya kecuali selama remediasi, kebijakan ini tidak menimpa pengaturan log alur pada grup keamanan jaringan yang ditandai yang mengaktifkan log alur tetapi analitik lalu lintas dinonaktifkan dengan parameter yang disediakan dalam penetapan kebijakan.

Catatan

Network Watcher adalah layanan regional sehingga dua kebijakan deployIfNotExists akan berlaku untuk grup keamanan jaringan yang ada di wilayah tertentu. Untuk grup keamanan jaringan di wilayah yang berbeda, buat penetapan kebijakan lain di wilayah tersebut.

Untuk menetapkan salah satu kebijakan deployIfNotExists , ikuti langkah-langkah berikut:

  1. Masuk ke portal Azure.

  2. Di kotak pencarian di bagian atas portal, masukkan kebijakan. Pilih Kebijakan dari hasil pencarian.

    Cuplikan layar pencarian kebijakan di portal Azure.

  3. Pilih Penugasan, lalu pilih Tetapkan kebijakan.

    Cuplikan layar memilih tombol Tetapkan kebijakan di portal Azure.

  4. Pilih elipsis ... di samping Cakupan untuk memilih langganan Azure Anda yang memiliki log alur yang Anda inginkan untuk diaudit kebijakan. Anda juga dapat memilih grup sumber daya yang memiliki log alur. Setelah Anda membuat pilihan, pilih tombol Pilih .

    Cuplikan layar memilih cakupan kebijakan di portal Azure.

  5. Pilih elipsis ... di samping Definisi kebijakan untuk memilih kebijakan bawaan yang ingin Anda tetapkan. Masukkan analitik lalu lintas di kotak pencarian, dan pilih filter Bawaan. Dari hasil pencarian, pilih Konfigurasikan grup keamanan jaringan untuk menggunakan ruang kerja tertentu, akun penyimpanan, dan kebijakan penyimpanan log alur untuk analitik lalu lintas lalu pilih Tambahkan.

    Cuplikan layar memilih kebijakan deployIfNotExists di portal Azure.

  6. Masukkan nama di Nama penugasan dan nama Anda di Ditetapkan oleh.

    Cuplikan layar tab Dasar untuk menetapkan kebijakan penyebaran di portal Azure.

  7. Pilih tombol Berikutnya dua kali, atau pilih tab Parameter . Kemudian, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Efek Pilih DeployIfNotExists.
    Wilayah kelompok keamanan jaringan Pilih wilayah grup keamanan jaringan yang Anda targetkan dengan kebijakan.
    ID sumber daya penyimpanan Masukkan ID sumber daya lengkap akun penyimpanan. Akun penyimpanan harus berada di wilayah yang sama dengan grup keamanan jaringan. Format ID sumber daya penyimpanan adalah: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Interval pemrosesan analitik lalu lintas dalam hitungan menit Pilih frekuensi di mana log yang diproses didorong ke ruang kerja. Nilai yang tersedia saat ini adalah 10 dan 60 menit. Nilai defaultnya adalah 60 menit.
    ID sumber daya ruang kerja Masukkan ID sumber daya lengkap ruang kerja tempat analitik lalu lintas harus diaktifkan. Format ID sumber daya ruang kerja adalah: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    Wilayah ruang kerja Pilih wilayah ruang kerja analitik lalu lintas Anda.
    ID Ruang Kerja Masukkan ID ruang kerja analitik lalu lintas Anda.
    Grup sumber daya Network Watcher Pilih grup sumber daya Network Watcher Anda.
    Nama Network Watcher Masukkan nama Network Watcher Anda.
    Jumlah hari untuk menyimpan log alur Masukkan jumlah hari yang ingin Anda pertahankan data log alurnya di akun penyimpanan. Jika Anda ingin menyimpan data selamanya, masukkan 0.

    Catatan

    Wilayah ruang kerja analitik lalu lintas tidak harus sama dengan wilayah kelompok keamanan jaringan yang ditargetkan.

    Cuplikan layar tab Parameter untuk menetapkan kebijakan penyebaran di portal Azure.

  8. Pilih tab Berikutnya atau Remediasi . Masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Membuat tugas Remediasi Centang kotak jika Anda ingin kebijakan memengaruhi sumber daya yang ada.
    Membuat Identitas Terkelola Centang kotak.
    Jenis Identitas Terkelola Pilih jenis identitas terkelola yang ingin Anda gunakan.
    Lokasi identitas yang ditetapkan sistem Pilih wilayah identitas yang ditetapkan sistem Anda.
    Cakupan Pilih cakupan identitas yang ditetapkan pengguna Anda.
    Identitas yang ditetapkan pengguna yang sudah ada Pilih identitas yang ditetapkan pengguna Anda.

    Catatan

    Anda memerlukan izin Kontributor atau Pemilik untuk menggunakan kebijakan ini.

    Cuplikan layar tab Remediasi untuk menetapkan kebijakan penyebaran di portal Azure.

  9. Pilih Ulas + buat, lalu pilih Buat.

  10. Pilih Kepatuhan. Cari nama penugasan Anda lalu pilih.

    Cuplikan layar halaman Kepatuhan memperlihatkan kebijakan penyebaran di portal Azure.

  11. Pilih Kepatuhan sumber daya untuk mendapatkan daftar semua log alur yang tidak sesuai.

    Cuplikan layar memperlihatkan detail kebijakan penyebaran di portal Azure.

Pemecahan Masalah

Tugas remediasi gagal dengan PolicyAuthorizationFailed kode kesalahan: contoh contoh kesalahan Identitas sumber daya penetapan /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ kebijakan tidak memiliki izin yang diperlukan untuk membuat penyebaran.

Dalam skenario seperti itu, identitas terkelola harus diberikan akses secara manual. Buka grup langganan/sumber daya yang sesuai (berisi sumber daya yang disediakan dalam parameter kebijakan) dan berikan akses kontributor ke identitas terkelola yang dibuat oleh kebijakan.

Konten terkait