다음을 통해 공유

Azure Policy를 사용하여 트래픽 분석 사용

  • 아티클

Azure Policy를 사용하면 조직의 표준을 적용하고 대규모 규정 준수를 평가할 수 있습니다. Azure Policy에 대한 일반적인 사용 사례에는 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스 구현이 포함됩니다. Azure Policy에 대한 자세한 내용은 Azure Policy란?빠른 시작: 비준수 리소스를 식별하는 정책 할당 만들기를 참조하세요.

이 문서에서는 Azure Network Watcher 트래픽 분석에 사용할 수 있는 세 가지 기본 제공 정책을 사용하여 설정을 관리하는 방법을 알아봅니다.

기본 제공 정책을 사용하여 흐름 로그 감사

Network Watcher 흐름 로그에는 트래픽 분석을 사용하도록 설정 정책은 Microsoft.Network/networkWatchers/flowLogs 형식의 Azure Resource Manager 개체를 감사하여 모든 기존 흐름 로그를 감사하고 흐름 로그 리소스의 networkWatcherFlowAnalyticsConfiguration.enabled 속성을 통해 트래픽 분석이 사용하도록 설정되어 있는지 확인합니다. 그러면 이 정책이 플래그를 속성이 false로 설정된 흐름 로그 리소스에 지정합니다.

기본 제공 정책을 사용하여 흐름 로그를 감사하려면 다음을 수행합니다.

  1. Azure Portal에 로그인합니다.

  2. 포털 상단의 검색 상자에 정책을 입력합니다. 검색 결과에서 정책을 선택합니다.

    Azure Portal에서 정책을 검색하는 스크린샷.

  3. 할당을 선택한 다음, 정책 할당을 선택합니다.

    Azure Portal에서 정책 할당 단추를 선택하는 스크린샷.

  4. 범위 옆에 있는 말줄임표 ...를 선택하여 정책에서 감사할 흐름 로그가 있는 Azure 구독을 선택합니다. 흐름 로그가 있는 리소스 그룹을 선택할 수도 있습니다. 선택한 후 선택 단추를 선택합니다.

    Azure Portal에서 정책 범위를 선택하는 스크린샷.

  5. 할당하려는 기본 제공 정책을 선택하려면 정책 정의 옆에 있는 말줄임표 ...를 선택합니다. 검색 상자에 트래픽 분석을 입력하고 기본 제공 필터를 선택합니다. 검색 결과에서 Network Watcher 흐름 로그에 트래픽 분석을 사용하도록 설정을 선택한 다음, 추가를 선택합니다.

    Azure Portal에서 감사 정책을 선택하는 스크린샷.

  6. 할당 이름에 이름을 입력하고 할당자에는 사용자의 이름을 입력합니다. 정책에는 매개 변수가 필요 없습니다.

  7. 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

    Azure Portal에서 감사 정책을 할당하는 기본 사항 탭의 스크린샷.

    참고 항목

    정책에는 매개 변수가 필요 없습니다. 역할 정의도 포함되어 있지 않으므로 수정 탭에서 관리 ID에 대한 역할 할당을 만들 필요가 없습니다.

  8. 준수를 선택합니다. 할당된 이름을 검색해 선택합니다.

    Azure Portal에서 감사 정책을 보여 주는 규정 준수 페이지의 스크린샷.

  9. 리소스 준수는 모든 비준수 흐름 로그를 나열합니다.

    Azure Portal에서 감사 정책의 세부 정보를 보여 주는 스크린샷.

deployIfNotExists 정책을 사용하여 트래픽 분석 배포 및 구성

NSG 흐름 로그를 구성하는 데 사용할 수 있는 deployIfNotExists 정책이 두 개 있습니다.

  • 트래픽 분석에 특정 작업 영역, 스토리지 계정, 흐름 로그 보존 정책을 사용하도록 네트워크 보안 그룹을 구성: 이 정책은 트래픽 분석을 사용하도록 설정하지 않은 네트워크 보안 그룹에 플래그를 지정합니다. 플래그가 지정된 네트워크 보안 그룹의 경우 해당 NSG 흐름 로그 리소스가 없거나 NSG 흐름 로그 리소스가 있지만 트래픽 분석을 사용하도록 설정되어 있지 않습니다. 정책을 기존 리소스에 적용하려면 수정 작업을 만듭니다.

    정책을 할당하는 동안이나 정책이 할당되고 평가된 후에 수정을 할당할 수 있습니다. 수정을 수행하면 제공된 매개 변수를 사용하여 플래그가 지정된 모든 리소스에 대해 트래픽 분석을 사용하도록 설정됩니다. 네트워크 보안 그룹의 특정 스토리지 ID에 흐름 로그를 사용하도록 설정되어 있지만 트래픽 분석을 사용하도록 설정되어 있지 않은 경우 수정을 수행하면 제공된 매개 변수로 이 네트워크 보안 그룹에 대해 트래픽 분석을 사용하도록 설정됩니다. 매개 변수에 제공된 스토리지 ID가 흐름 로그의 것과 다른 경우, 흐름 로그의 ID를 수정을 통해 제공된 스토리지 ID로 덮어씁니다. 덮어쓰지 않으려면 트래픽 분석을 사용하도록 네트워크 보안 그룹 구성 정책을 사용합니다.

  • 트래픽 분석을 사용하도록 네트워크 보안 그룹 구성: 이 정책은 수정 중에 흐름 로그를 사용하도록 설정되었지만 정책 할당에 제공된 매개 변수를 사용하여 트래픽 분석을 사용하지 않도록 설정한, 플래그가 지정된 네트워크 보안 그룹의 흐름 로그 설정을 덮어쓰지 않는다는 점을 제외하면 이전 정책과 유사합니다.

참고 항목

Network Watcher는 지역 서비스이므로 deployIfNotExists 정책 두 가지가 특정 지역 내의 네트워크 보안 그룹에 적용됩니다. 다른 지역의 네트워크 보안 그룹의 경우 해당 지역에 다른 정책 할당을 만듭니다.

deployIfNotExists 정책 두 가지를 할당하려면 다음 단계를 수행합니다.

  1. Azure Portal에 로그인합니다.

  2. 포털 상단의 검색 상자에 정책을 입력합니다. 검색 결과에서 정책을 선택합니다.

    Azure Portal에서 정책을 검색하는 스크린샷.

  3. 할당을 선택한 다음, 정책 할당을 선택합니다.

    Azure Portal에서 정책 할당 단추를 선택하는 스크린샷.

  4. 범위 옆에 있는 말줄임표 ...를 선택하여 정책에서 감사할 흐름 로그가 있는 Azure 구독을 선택합니다. 흐름 로그가 있는 리소스 그룹을 선택할 수도 있습니다. 선택한 후 선택 단추를 선택합니다.

    Azure Portal에서 정책 범위를 선택하는 스크린샷.

  5. 할당하려는 기본 제공 정책을 선택하려면 정책 정의 옆에 있는 말줄임표 ...를 선택합니다. 검색 상자에 트래픽 분석을 입력하고 기본 제공 필터를 선택합니다. 검색 결과에서 트래픽 분석에 특정 작업 영역, 스토리지 계정, 흐름 로그 보존 정책을 사용하도록 네트워크 보안 그룹 구성을 선택한 다음 추가를 선택합니다.

    Azure Portal에서 deployIfNotExists 정책을 선택하는 스크린샷.

  6. 할당 이름에 이름을 입력하고 할당자에는 사용자의 이름을 입력합니다.

    Azure Portal에서 배포 정책을 할당하는 기본 사항 탭의 스크린샷.

  7. 다음 단추를 두 번 선택하거나 매개 변수 탭을 선택합니다. 그런 다음, 값을 입력하거나 선택합니다.

    설정
    효과 DeployIfNotExists를 선택합니다.
    네트워크 보안 그룹 영역 정책을 사용하여 대상으로 지정하는 네트워크 보안 그룹의 지역을 선택합니다.
    스토리지 리소스 ID 스토리지 계정의 전체 리소스 ID를 입력합니다. 스토리지 계정은 네트워크 보안 그룹과 동일한 지역에 있어야 합니다. 스토리지 리소스 ID의 형식은 /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>과 같습니다.
    트래픽 분석 처리 간격(분) 처리된 로그가 작업 영역으로 푸시되는 빈도를 선택합니다. 현재 사용 가능한 값은 10분과 60분입니다. 기본값은 60분입니다.
    작업 영역 리소스 ID 트래픽 분석을 사용하도록 설정해야 하는 작업 영역의 전체 리소스 ID를 입력합니다. 작업 영역 리소스 ID의 형식은 /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>과 같습니다.
    작업 영역 트래픽 분석 작업 영역의 지역을 선택합니다.
    작업 영역 ID 트래픽 분석 작업 영역 ID를 입력합니다.
    Network Watcher 리소스 그룹 Network Watcher의 리소스 그룹을 선택합니다.
    Network Watcher 이름 Network Watcher의 이름을 입력합니다.
    흐름 로그 보존 기간(일) 스토리지 계정에 흐름 로그 데이터를 보존할 기간을 일 수로 입력합니다. 데이터를 영원히 유지하려면 0을 입력합니다.

    참고 항목

    트래픽 분석 작업 영역의 지역은 대상 네트워크 보안 그룹의 지역과 동일할 필요가 없습니다.

    Azure Portal에서 배포 정책을 할당하는 매개 변수 탭의 스크린샷.

  8. 다음 또는 수정 탭을 선택합니다. 다음 값을 입력하거나 선택합니다.

    설정
    수정 작업 만들기 정책이 기존 리소스에 영향을 주도록 하려면 확인란을 선택합니다.
    관리 ID 만들기 확인란을 선택합니다.
    관리 ID 형식 사용하려는 관리 ID 형식을 선택합니다.
    시스템 할당 ID 위치 시스템 할당 ID의 지역을 선택합니다.
    범위 사용자 할당 ID의 범위를 선택합니다.
    기존 사용자 할당 ID 사용자가 할당한 ID를 선택합니다.

    참고 항목

    이 정책을 사용하려면 contributor 또는 소유자 권한이 있어야 합니다.

    Azure Portal에서 배포 정책을 할당하는 수정 탭의 스크린샷.

  9. 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

  10. 준수를 선택합니다. 할당된 이름을 검색해 선택합니다.

    Azure Portal에서 배포 정책을 보여 주는 규정 준수 페이지의 스크린샷.

  11. 리소스 준수를 선택하여 모든 비준수 흐름 로그 목록을 가져옵니다.

    Azure Portal에서 배포 정책의 세부 정보를 보여 주는 스크린샷.

문제 해결

PolicyAuthorizationFailed오류 코드: 오류 예시 정책 할당 /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ 리소스 ID에 배포를 만들 필요 권한이 없습니다.가 표시되며 수정 작업이 실패합니다.

이러한 시나리오에서는 관리 ID에 수동으로 액세스 권한을 부여해야 합니다. 적절한 구독/리소스 그룹(정책 매개 변수에 제공된 리소스 포함)으로 이동한 후 기여자에게 정책에 의해 생성된 관리 ID에 대한 액세스 권한을 부여합니다.

관련 콘텐츠