Udostępnij za pośrednictwem


Zarządzanie dziennikami przepływów sieciowej grupy zabezpieczeń przy użyciu usługi Azure Policy

Ważne

30 września 2027 r. dzienniki przepływów sieciowej grupy zabezpieczeń zostaną wycofane. W ramach tego wycofania nie będzie już można tworzyć nowych dzienników przepływów sieciowej grupy zabezpieczeń od 30 czerwca 2025 r. Zalecamy migrację do dzienników przepływów sieci wirtualnej, co pozwala wyeliminować ograniczenia dzienników przepływów sieciowej grupy zabezpieczeń. Po dacie wycofania analiza ruchu włączona z dziennikami przepływów sieciowej grupy zabezpieczeń nie będzie już obsługiwana, a istniejące zasoby przepływów sieciowej grupy zabezpieczeń w subskrypcjach zostaną usunięte. Jednak rekordy dzienników przepływu sieciowej grupy zabezpieczeń nie zostaną usunięte i będą nadal zgodne z odpowiednimi zasadami przechowywania. Więcej informacji znajdziesz w oficjalnym ogłoszeniu.

Usługa Azure Policy pomaga wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę. Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Aby dowiedzieć się więcej na temat zasad platformy Azure, zobacz Co to jest usługa Azure Policy? i Szybki start: tworzenie przypisania zasad w celu identyfikowania niezgodnych zasobów.

Z tego artykułu dowiesz się, jak zarządzać konfiguracją dzienników przepływów sieciowej grupy zabezpieczeń przy użyciu dwóch wbudowanych zasad. Pierwsze zasady flaguje wszystkie sieciowe grupy zabezpieczeń, które nie mają włączone dzienniki przepływu. Drugie zasady automatycznie wdrażają dzienniki przepływu sieciowej grupy zabezpieczeń, które nie mają włączonych dzienników przepływu.

Inspekcja sieciowych grup zabezpieczeń przy użyciu wbudowanych zasad

Dzienniki przepływu należy skonfigurować dla wszystkich zasad sieciowej grupy zabezpieczeń przeprowadza inspekcję wszystkich istniejących sieciowych grup zabezpieczeń w zakresie przez sprawdzenie wszystkich obiektów usługi Azure Resource Manager typu Microsoft.Network/networkSecurityGroups. Te zasady następnie sprawdzają dzienniki połączonego przepływu za pośrednictwem właściwości dzienników przepływu sieciowej grupy zabezpieczeń i flaguje każdą sieciową grupę zabezpieczeń, która nie ma włączonych dzienników przepływu.

Aby przeprowadzić inspekcję dzienników przepływu przy użyciu wbudowanych zasad, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady z wyników wyszukiwania.

    Zrzut ekranu przedstawiający wyszukiwanie usługi Azure Policy w witrynie Azure Portal.

  3. Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz zasady.

    Zrzut ekranu przedstawiający wybieranie przycisku przypisywania zasad w witrynie Azure Portal.

  4. Wybierz wielokropek (...) obok pozycji Zakres , aby wybrać subskrypcję platformy Azure zawierającą sieciowe grupy zabezpieczeń, które mają zostać poddane inspekcji. Możesz również wybrać grupę zasobów zawierającą sieciowe grupy zabezpieczeń. Po wybraniu opcji wybierz przycisk Wybierz .

    Zrzut ekranu przedstawiający wybieranie zakresu zasad w witrynie Azure Portal.

  5. Wybierz wielokropek (...) obok pozycji Definicja zasad, aby wybrać wbudowane zasady, które chcesz przypisać. Wprowadź dziennik przepływu w polu wyszukiwania, a następnie wybierz wbudowany filtr. W wynikach wyszukiwania wybierz pozycję Dzienniki przepływu powinny być skonfigurowane dla każdej sieciowej grupy zabezpieczeń, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający wybieranie zasad inspekcji w witrynie Azure Portal.

  6. Wprowadź nazwę w polu Nazwa przypisania i wprowadź nazwę w polu Przypisane przez.

    Te zasady nie wymagają żadnych parametrów. Nie zawiera ona również żadnych definicji ról, więc nie trzeba tworzyć przypisań ról dla tożsamości zarządzanej na karcie Korygowanie .

  7. Wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający kartę Podstawowe, aby przypisać zasady inspekcji w witrynie Azure Portal.

  8. Wybierz pozycję Zgodność. Wyszukaj nazwę przypisania, a następnie wybierz ją.

    Zrzut ekranu przedstawiający stronę Zgodność z niezgodnymi zasobami na podstawie zasad inspekcji.

  9. Wybierz pozycję Zgodność zasobów, aby uzyskać listę wszystkich niezgodnych sieciowych grup zabezpieczeń.

    Zrzut ekranu przedstawiający stronę Zgodność z zasadami, która pokazuje niezgodne zasoby na podstawie zasad inspekcji.

Wdrażanie i konfigurowanie dzienników przepływu sieciowej grupy zabezpieczeń przy użyciu wbudowanych zasad

W polu Wdróż zasób dziennika przepływu z docelowymi zasadami sieciowej grupy zabezpieczeń sprawdza wszystkie istniejące sieciowe grupy zabezpieczeń w zakresie, sprawdzając wszystkie obiekty typu Microsoft.Network/networkSecurityGroupsusługi Azure Resource Manager. Następnie sprawdza dzienniki połączonego przepływu za pośrednictwem właściwości dzienników przepływu sieciowej grupy zabezpieczeń. Jeśli właściwość nie istnieje, zasady wdrażają dziennik przepływu.

Aby przypisać zasady deployIfNotExists :

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady z wyników wyszukiwania.

    Zrzut ekranu przedstawiający wyszukiwanie usługi Azure Policy w witrynie Azure Portal.

  3. Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz zasady.

    Zrzut ekranu przedstawiający wybieranie przycisku przypisywania zasad w witrynie Azure Portal.

  4. Wybierz wielokropek (...) obok pozycji Zakres , aby wybrać subskrypcję platformy Azure zawierającą sieciowe grupy zabezpieczeń, które mają zostać poddane inspekcji. Możesz również wybrać grupę zasobów zawierającą sieciowe grupy zabezpieczeń. Po wybraniu opcji wybierz przycisk Wybierz .

    Zrzut ekranu przedstawiający wybieranie zakresu zasad w witrynie Azure Portal.

  5. Wybierz wielokropek (...) obok pozycji Definicja zasad, aby wybrać wbudowane zasady, które chcesz przypisać. Wprowadź dziennik przepływu w polu wyszukiwania, a następnie wybierz wbudowany filtr. W wynikach wyszukiwania wybierz pozycję Wdróż zasób dziennika przepływu z docelową sieciową grupą zabezpieczeń, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający wybieranie zasad wdrażania w witrynie Azure Portal.

  6. Wprowadź nazwę w polu Nazwa przypisania i wprowadź nazwę w polu Przypisane przez.

    Zrzut ekranu przedstawiający kartę Podstawy w celu przypisania zasad wdrażania w witrynie Azure Portal.

  7. Wybierz przycisk Dalej dwa razy lub wybierz kartę Parametry . Następnie wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Region sieciowej grupy zabezpieczeń Wybierz region sieciowej grupy zabezpieczeń, dla której chcesz za pomocą zasad.
    Identyfikator magazynu Wprowadź pełny identyfikator zasobu konta magazynu. Konto magazynu musi znajdować się w tym samym regionie co sieciowa grupa zabezpieczeń. Format identyfikatora zasobu magazynu to /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Network Watchers RG Wybierz grupę zasobów wystąpienia usługi Azure Network Watcher.
    Nazwa usługi Network Watcher Wprowadź nazwę wystąpienia usługi Network Watcher.

    Zrzut ekranu przedstawiający kartę Parametry służącej do przypisywania zasad wdrażania w witrynie Azure Portal.

  8. Wybierz przycisk Dalej lub kartę Korygowanie . Wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Tworzenie zadania korygowania Zaznacz pole wyboru, jeśli chcesz, aby zasady wpływały na istniejące zasoby.
    Tworzenie tożsamości zarządzanej Zaznacz pole wyboru.
    Typ tożsamości zarządzanej Wybierz typ tożsamości zarządzanej, której chcesz użyć.
    Lokalizacja tożsamości przypisanej przez system Wybierz region tożsamości przypisanej przez system.
    Scope Wybierz zakres tożsamości przypisanej przez użytkownika.
    Istniejące tożsamości przypisane przez użytkownika Wybierz tożsamość przypisaną przez użytkownika.

    Uwaga

    Do korzystania z tych zasad potrzebne są uprawnienia Współautor lub Właściciel .

    Zrzut ekranu przedstawiający kartę Korygowanie w celu przypisania zasad wdrażania w witrynie Azure Portal.

  9. Wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

  10. Wybierz pozycję Zgodność. Wyszukaj nazwę przypisania, a następnie wybierz ją.

    Zrzut ekranu przedstawiający stronę Zgodność z niezgodnymi zasobami na podstawie zasad wdrażania.

  11. Wybierz pozycję Zgodność zasobów, aby uzyskać listę wszystkich niezgodnych sieciowych grup zabezpieczeń.

    Zrzut ekranu przedstawiający stronę Zgodność z zasadami z niezgodnymi zasobami.

  12. Pozostaw przebiegi zasad, aby ocenić i wdrożyć dzienniki przepływu dla wszystkich niezgodnych sieciowych grup zabezpieczeń. Następnie ponownie wybierz pozycję Zgodność zasobów, aby sprawdzić stan sieciowych grup zabezpieczeń (nie widzisz niezgodnych sieciowych grup zabezpieczeń, jeśli zasady zakończyły korygowanie).

    Zrzut ekranu przedstawiający stronę Zgodność z zasadami, która pokazuje, że wszystkie zasoby są zgodne.