Gestire l'analisi del traffico usando Criteri di Azure

  • Articolo

Criteri di Azure consente di applicare gli standard aziendali e di valutare la conformità su larga scala. I casi d'uso comuni per Criteri di Azure includono l'implementazione della governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione. Per altre informazioni sui criteri di Azure, vedere Informazioni Criteri di Azure eAvvio rapido: Creare un'assegnazione di criteri per identificare le risorse non conformi.

In questo articolo viene illustrato come usare tre criteri predefiniti disponibili per l'analisi del traffico di Azure Network Watcher per gestire la configurazione.

Log del flusso di controllo usando un criterio predefinito

I log del flusso Network Watcher devono avere criteri abilitati per l'analisi del traffico controllano tutti i log di flusso esistenti controllando gli oggetti di tipo Microsoft.Network/networkWatchers/flowLogs Resource Manager di Azure e verifica se l'analisi del traffico è abilitata tramite la networkWatcherFlowAnalyticsConfiguration.enabled proprietà della risorsa log del flusso. Questo criterio contrassegna quindi la risorsa dei log del flusso con la proprietà impostata su false.

Per controllare i log del flusso usando i criteri predefiniti:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere i criteri. Selezionare Criteri nei risultati della ricerca.

    Screenshot della ricerca di criteri nella portale di Azure.

  3. Selezionare Assegnazioni e quindi selezionare Assegna criteri.

    Screenshot della selezione del pulsante Assegna criteri nella portale di Azure.

  4. Selezionare i puntini di sospensione ... accanto a Ambito per scegliere la sottoscrizione di Azure con i log del flusso che si desidera controllare i criteri. È anche possibile scegliere il gruppo di risorse con i log del flusso. Dopo aver effettuato le selezioni, selezionare Seleziona pulsante.

    Screenshot della selezione dell'ambito del criterio nel portale di Azure.

  5. Selezionare i puntini di sospensione ... accanto alla definizione criteri per scegliere i criteri predefiniti da assegnare. Immettere l'analisi del traffico nella casella di ricerca e selezionare Filtro predefinito . Nei risultati della ricerca selezionare Network Watcher log del flusso devono avere l'analisi del traffico abilitata e quindi selezionare Aggiungi.

    Screenshot della selezione dei criteri di controllo nella portale di Azure.

  6. Immettere un nome in Nome assegnazione e il nome in Assegnato da. Questo criterio non richiede parametri.

  7. Selezionare Rivedi e crea e quindi Crea.

    Screenshot della scheda Informazioni di base per assegnare un criterio di controllo nella portale di Azure.

    Nota

    Questo criterio non richiede parametri. Non contiene anche definizioni di ruolo, pertanto non è necessario creare assegnazioni di ruolo per l'identità gestita nella scheda Correzione .

  8. Selezionare Conformità. Cercare il nome dell'assegnazione e quindi selezionarlo.

    Screenshot della pagina Conformità che mostra i criteri di controllo nella portale di Azure.

  9. La conformità delle risorse elenca tutti i log di flusso non conformi.

    Screenshot che mostra i dettagli dei criteri di controllo nel portale di Azure.

Distribuire e configurare l'analisi del traffico usando i criteri deployIfNotExists

Sono disponibili due criteri deployIfNotExists per configurare i log dei flussi del gruppo di sicurezza di rete:

  • Configurare i gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione dei log del flusso per l'analisi del traffico: questo criterio contrassegna il gruppo di sicurezza di rete che non dispone dell'analisi del traffico abilitata. Per un gruppo di sicurezza di rete contrassegnato, la risorsa log dei flussi del gruppo di sicurezza di rete corrispondente non esiste o la risorsa dei log dei flussi del gruppo di sicurezza di rete esiste, ma l'analisi del traffico non è abilitata. È possibile creare un'attività di correzione se si desidera che i criteri influiscano sulle risorse esistenti.

    La correzione può essere assegnata durante l'assegnazione di criteri o dopo l'assegnazione dei criteri e la valutazione dei criteri. La correzione abilita l'analisi del traffico in tutte le risorse contrassegnate con i parametri specificati. Se un gruppo di sicurezza di rete dispone già di log di flusso abilitati in un ID di archiviazione specifico, ma non dispone di analisi del traffico abilitato, la correzione abilita l'analisi del traffico in questo gruppo di sicurezza di rete con i parametri specificati. Se l'ID di archiviazione fornito nei parametri è diverso da quello abilitato per i log di flusso, quest'ultimo viene sovrascritto con l'ID di archiviazione specificato nell'attività di correzione. Se non si vuole sovrascrivere, usare Configurare i gruppi di sicurezza di rete per abilitare i criteri di analisi del traffico.

  • Configurare i gruppi di sicurezza di rete per abilitare l'analisi del traffico: questo criterio è simile al criterio precedente, ad eccezione del fatto che durante la correzione non sovrascrive le impostazioni dei log dei flussi nei gruppi di sicurezza di rete contrassegnati che dispongono di log di flusso abilitati, ma l'analisi del traffico è disabilitata con il parametro specificato nell'assegnazione dei criteri.

Nota

Network Watcher è un servizio a livello di area, pertanto i due criteri deployIfNotExists verranno applicati ai gruppi di sicurezza di rete esistenti in una determinata area. Per i gruppi di sicurezza di rete in un'area diversa, creare un'altra assegnazione di criteri in tale area.

Per assegnare uno dei due criteri deployIfNotExists , seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere i criteri. Selezionare Criteri nei risultati della ricerca.

    Screenshot della ricerca di criteri nella portale di Azure.

  3. Selezionare Assegnazioni e quindi selezionare Assegna criteri.

    Screenshot della selezione del pulsante Assegna criteri nella portale di Azure.

  4. Selezionare i puntini di sospensione ... accanto a Ambito per scegliere la sottoscrizione di Azure con i log del flusso che si desidera controllare i criteri. È anche possibile scegliere il gruppo di risorse con i log del flusso. Dopo aver eseguito le selezioni, scegliere il pulsante Seleziona .

    Screenshot della selezione dell'ambito del criterio nel portale di Azure.

  5. Selezionare i puntini di sospensione ... accanto alla definizione criteri per scegliere i criteri predefiniti da assegnare. Immettere analisi del traffico nella casella di ricerca e selezionare il filtro predefinito . Nei risultati della ricerca selezionare Configura gruppi di sicurezza di rete per l'uso di aree di lavoro specifiche, l'account di archiviazione e i criteri di conservazione dei log del flusso per l'analisi del traffico e quindi selezionare Aggiungi.

    Screenshot della selezione di un criterio deployIfNotExists nella portale di Azure.

  6. Immettere un nome in Nome assegnazione e il nome in Assegnato da.

    Screenshot della scheda Nozioni di base dell'assegnazione di un criterio di distribuzione nella portale di Azure.

  7. Selezionare Il pulsante Avanti due volte oppure selezionare la scheda Parametri . Immettere o selezionare i valori seguenti:

    Impostazione Valore
    Effetto Selezionare DeployIfNotExists.
    Area del gruppo di sicurezza di rete Selezionare l'area del gruppo di sicurezza di rete destinata ai criteri.
    ID risorsa di archiviazione Immettere l'ID risorsa completo dell'account di archiviazione. L'account di archiviazione deve trovarsi nella stessa area del gruppo di sicurezza di rete. Il formato dell'ID risorsa di archiviazione è: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Intervallo di elaborazione dell'analisi del traffico in minuti Selezionare la frequenza in cui vengono inseriti i log elaborati nell'area di lavoro. I valori attualmente disponibili sono 10 e 60 minuti. Il valore predefinito è 60 minuti.
    ID risorsa area di lavoro Immettere l'ID risorsa completo dell'area di lavoro in cui è necessario abilitare l'analisi del traffico. Il formato dell'ID risorsa dell'area di lavoro è: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    Area dell'area di lavoro Selezionare l'area dell'area di lavoro analisi del traffico.
    ID area di lavoro Immettere l'ID dell'area di lavoro analisi del traffico.
    Network Watcher gruppo di risorse Selezionare il gruppo di risorse del Network Watcher.
    Network Watcher nome Immettere il nome del Network Watcher.
    Numero di giorni per conservare i log del flusso Immettere il numero di giorni per i quali si desidera conservare i dati dei log di flusso nell'account di archiviazione. Se si desidera conservare i dati per sempre, immettere 0.

    Nota

    L'area dell'area di lavoro analisi del traffico non deve essere uguale all'area del gruppo di sicurezza di rete di destinazione.

    Screenshot della scheda Parametri dell'assegnazione di un criterio di distribuzione nella portale di Azure.

  8. Selezionare Avanti o Correzione scheda. Immettere o selezionare i valori seguenti:

    Impostazione Valore
    Creare un'attività di correzione Selezionare la casella se si desidera che il criterio influisca sulle risorse esistenti.
    Creare un'identità gestita Selezionare la casella.
    Tipo di identità gestita Selezionare il tipo di identità gestita da usare.
    Percorso di identità assegnato dal sistema Selezionare l'area dell'identità assegnata dal sistema.
    Scope Selezionare l'ambito dell'identità assegnata dall'utente.
    Identità assegnate dall'utente esistente Selezionare l'identità assegnata dall'utente.

    Nota

    È necessaria l'autorizzazione Collaboratore o Proprietario per l'uso di questo criterio.

    Screenshot della scheda Correzione dell'assegnazione di un criterio di distribuzione nella portale di Azure.

  9. Selezionare Rivedi e crea e quindi Crea.

  10. Selezionare Conformità. Cercare il nome dell'assegnazione e quindi selezionarlo.

    Screenshot della pagina Conformità che mostra i criteri di distribuzione nella portale di Azure.

  11. Selezionare Conformità delle risorse per ottenere un elenco di tutti i log del flusso non conformi.

    Screenshot che mostra i dettagli dei criteri di distribuzione nel portale di Azure.

Risoluzione dei problemi

L'attività di correzione non riesce con PolicyAuthorizationFailed il codice di errore: esempio di errore L'identità delle risorse di assegnazione /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ dei criteri non dispone delle autorizzazioni necessarie per creare la distribuzione.

In questo scenario, l'identità gestita deve essere concessa manualmente l'accesso. Passare al gruppo di sottoscrizioni/risorse appropriato (contenente le risorse fornite nei parametri dei criteri) e concedere al collaboratore l'accesso all'identità gestita creata dai criteri.

Passaggi successivi