Condividi tramite


Gestire l'analisi del traffico usando Criteri di Azure

Criteri di Azure consente di applicare gli standard dell'organizzazione e di valutare la conformità su larga scala. I casi d'uso comuni per Criteri di Azure includono l'implementazione della governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione. Per altre informazioni sui criteri di Azure, vedere Informazioni su Criteri di Azure e Avvio rapido: Creare un'assegnazione di criteri per identificare le risorse non conformi.

Questo articolo illustra come usare tre criteri predefiniti disponibili per l'analisi del traffico di Azure Network Watcher per gestire la configurazione.

Log dei flussi di controllo usando un criterio predefinito

I log dei flussi di Network Watcher devono avere criteri abilitati per l'analisi del traffico controllano tutti i log dei flussi esistenti controllando gli oggetti di tipo Microsoft.Network/networkWatchers/flowLogs di Azure Resource Manager e verifica se l'analisi del traffico è abilitata tramite la networkWatcherFlowAnalyticsConfiguration.enabled proprietà della risorsa dei log di flusso. Questo criterio contrassegna quindi la risorsa dei log di flusso con la proprietà impostata su false.

Per controllare i log dei flussi usando i criteri predefiniti:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere criteri. Selezionare Criteri nei risultati della ricerca.

    Screenshot della ricerca di criteri nella portale di Azure.

  3. Selezionare Assegnazioni, quindi selezionare Assegna criterio.

    Screenshot della selezione del pulsante Assegna criteri nella portale di Azure.

  4. Selezionare i puntini di sospensione ... accanto a Ambito per scegliere la sottoscrizione di Azure con i log di flusso da controllare. È anche possibile scegliere il gruppo di risorse con i log del flusso. Dopo aver effettuato le selezioni, selezionare Il pulsante Seleziona .

    Screenshot della selezione dell'ambito dei criteri nel portale di Azure.

  5. Selezionare i puntini di sospensione ... accanto a Definizione dei criteri per scegliere i criteri predefiniti da assegnare. Immettere Analisi del traffico nella casella di ricerca e selezionare Filtro predefinito . Nei risultati della ricerca selezionare Log dei flussi di Network Watcher in cui l'analisi del traffico deve essere abilitata e quindi selezionare Aggiungi.

    Screenshot della selezione dei criteri di controllo nel portale di Azure.

  6. Immettere un nome in Nome assegnazione e il nome in Assegnato da. Questo criterio non richiede parametri.

  7. Selezionare Rivedi e crea e quindi Crea.

    Screenshot della scheda Informazioni di base per assegnare un criterio di controllo nel portale di Azure.

    Nota

    Questo criterio non richiede parametri. Non contiene anche definizioni di ruolo, pertanto non è necessario creare assegnazioni di ruolo per l'identità gestita nella scheda Correzione .

  8. Selezionare Conformità. Cercare il nome dell'assegnazione e quindi selezionarlo.

    Screenshot della pagina Conformità che mostra i criteri di controllo nella portale di Azure.

  9. Conformità delle risorse elenca tutti i log dei flussi non conformi.

    Screenshot che mostra i dettagli dei criteri di controllo nella portale di Azure.

Distribuire e configurare l'analisi del traffico usando i criteri deployIfNotExists

Sono disponibili due criteri deployIfNotExists per configurare i log dei flussi del gruppo di sicurezza di rete:

  • Configurare i gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione dei log dei flussi per l'analisi del traffico: questo criterio contrassegna il gruppo di sicurezza di rete che non dispone dell'analisi del traffico abilitata. Per un gruppo di sicurezza di rete contrassegnato, la risorsa dei log dei flussi del gruppo di sicurezza di rete corrispondente non esiste o la risorsa dei log dei flussi del gruppo di sicurezza di rete esiste, ma l'analisi del traffico non è abilitata. È possibile creare un'attività di correzione se si vuole che i criteri influiscano sulle risorse esistenti.

    È possibile assegnare la correzione durante l'assegnazione dei criteri o dopo l'assegnazione e la valutazione dei criteri. La correzione abilita l'analisi del traffico su tutte le risorse contrassegnate con i parametri forniti. Se un gruppo di sicurezza di rete dispone già di log di flusso abilitati in un ID di archiviazione specifico, ma non dispone dell'analisi del traffico abilitata, la correzione abilita l'analisi del traffico in questo gruppo di sicurezza di rete con i parametri forniti. Se l'ID di archiviazione specificato nei parametri è diverso da quello abilitato per i log di flusso, quest'ultimo viene sovrascritto con l'ID di archiviazione specificato nell'attività di correzione. Se non si vuole sovrascrivere, usare Configurare i gruppi di sicurezza di rete per abilitare i criteri di analisi del traffico.

  • Configurare i gruppi di sicurezza di rete per abilitare l'analisi del traffico: questo criterio è simile al criterio precedente, ad eccezione del fatto che durante la correzione non sovrascrive le impostazioni dei log dei flussi nei gruppi di sicurezza di rete contrassegnati con log di flusso abilitati, ma l'analisi del traffico disabilitata con il parametro fornito nell'assegnazione dei criteri.

Nota

Network Watcher è un servizio a livello di area, quindi i due criteri deployIfNotExists verranno applicati ai gruppi di sicurezza di rete esistenti in una determinata area. Per i gruppi di sicurezza di rete in un'area diversa, creare un'altra assegnazione di criteri in tale area.

Per assegnare uno dei due criteri deployIfNotExists , seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere criteri. Selezionare Criteri nei risultati della ricerca.

    Screenshot della ricerca di criteri nella portale di Azure.

  3. Selezionare Assegnazioni e quindi selezionare Assegna criterio.

    Screenshot della selezione del pulsante Assegna criteri nella portale di Azure.

  4. Selezionare i puntini di sospensione ... accanto a Ambito per scegliere la sottoscrizione di Azure con i log di flusso da controllare. È anche possibile scegliere il gruppo di risorse con i log del flusso. Dopo aver effettuato le selezioni, scegliere il pulsante Seleziona.

    Screenshot della selezione dell'ambito dei criteri nel portale di Azure.

  5. Selezionare i puntini di sospensione ... accanto a Definizione dei criteri per scegliere i criteri predefiniti da assegnare. Immettere Analisi del traffico nella casella di ricerca e selezionare il filtro predefinito . Nei risultati della ricerca selezionare Configura gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione dei log dei flussi per l'analisi del traffico e quindi selezionare Aggiungi.

    Screenshot della selezione di un criterio deployIfNotExists nella portale di Azure.

  6. Immettere un nome in Nome assegnazione e il nome in Assegnato da.

    Screenshot della scheda Informazioni di base dell'assegnazione di un criterio di distribuzione nel portale di Azure.

  7. Fare clic due volte sul pulsante Avanti oppure selezionare la scheda Parametri . Immettere o selezionare i valori seguenti:

    Impostazione Valore
    Effetto Selezionare DeployIfNotExists.
    Area del gruppo di sicurezza di rete Selezionare l'area del gruppo di sicurezza di rete di destinazione con i criteri.
    ID risorsa di archiviazione Immettere l'ID risorsa completo dell'account di archiviazione. L'account di archiviazione deve trovarsi nella stessa area del gruppo di sicurezza di rete. Il formato dell'ID risorsa di archiviazione è: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Intervallo di elaborazione dell'analisi del traffico in minuti Selezionare la frequenza con cui vengono inseriti i log elaborati nell'area di lavoro. I valori attualmente disponibili sono 10 e 60 minuti. Il valore predefinito è 60 minuti.
    ID risorsa dell'area di lavoro Immettere l'ID risorsa completo dell'area di lavoro in cui è necessario abilitare Analisi del traffico. Il formato dell'ID risorsa dell'area di lavoro è: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    Area dell'area di lavoro Selezionare l'area dell'area di lavoro analisi del traffico.
    ID area di lavoro Immettere l'ID dell'area di lavoro analisi del traffico.
    Gruppo di risorse network Watcher Selezionare il gruppo di risorse di Network Watcher.
    Nome Network Watcher Immettere il nome di Network Watcher.
    Numero di giorni per conservare i log dei flussi Immettere il numero di giorni per cui si desidera conservare i dati dei log dei flussi nell'account di archiviazione. Se si desidera conservare i dati per sempre, immettere 0.

    Nota

    L'area dell'area di lavoro analisi del traffico non deve corrispondere all'area del gruppo di sicurezza di rete di destinazione.

    Screenshot della scheda Parametri dell'assegnazione di un criterio di distribuzione nel portale di Azure.

  8. Selezionare La scheda Avanti o Correzione . Immettere o selezionare i valori seguenti:

    Impostazione Valore
    Attività Crea correzione Selezionare la casella se si vuole che i criteri influiscano sulle risorse esistenti.
    Creare un'identità gestita Selezionare la casella.
    Tipo di identità gestita Selezionare il tipo di identità gestita da usare.
    Posizione identità assegnata dal sistema Selezionare l'area dell'identità assegnata dal sistema.
    Ambito Selezionare l'ambito dell'identità assegnata dall'utente.
    Identità assegnate dall'utente esistente Selezionare l'identità assegnata dall'utente.

    Nota

    Per usare questo criterio è necessaria l'autorizzazione Collaboratore o Proprietario.

    Screenshot della scheda Correzione dell'assegnazione di un criterio di distribuzione nel portale di Azure.

  9. Selezionare Rivedi e crea e quindi Crea.

  10. Selezionare Conformità. Cercare il nome dell'assegnazione e quindi selezionarlo.

    Screenshot della pagina Conformità che mostra i criteri di distribuzione nel portale di Azure.

  11. Selezionare Conformità risorse per ottenere un elenco di tutti i log dei flussi non conformi.

    Screenshot che mostra i dettagli dei criteri di distribuzione nel portale di Azure.

Risoluzione dei problemi

L'attività di correzione non riesce con PolicyAuthorizationFailed codice errore: esempio di errore L'identità della risorsa di assegnazione /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ dei criteri non dispone delle autorizzazioni necessarie per creare la distribuzione.

In questo scenario, all'identità gestita deve essere concesso manualmente l'accesso. Passare al gruppo di sottoscrizioni/risorse appropriato (contenente le risorse fornite nei parametri dei criteri) e concedere ai collaboratori l'accesso all'identità gestita creata dai criteri.