Zarządzanie analizą ruchu przy użyciu Azure Policy
Azure Policy pomaga wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę. Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Aby dowiedzieć się więcej na temat zasad platformy Azure, zobacz Co to jest Azure Policy? i Szybki start: tworzenie przypisania zasad w celu zidentyfikowania niezgodnych zasobów.
Z tego artykułu dowiesz się, jak zarządzać konfiguracją za pomocą trzech wbudowanych zasad dostępnych dla usługi Azure Network Watcher analizy ruchu.
Dzienniki przepływu inspekcji przy użyciu wbudowanych zasad
Dzienniki przepływu Network Watcher powinny mieć włączone zasady analizy ruchu przeprowadzają inspekcję wszystkich istniejących dzienników przepływów przez inspekcję obiektów typu Microsoft.Network/networkWatchers/flowLogs
Resource Manager platformy Azure i sprawdzanie, czy analiza ruchu jest włączona za pośrednictwem networkWatcherFlowAnalyticsConfiguration.enabled
właściwości zasobu dzienników przepływu. Następnie te zasady flaguje zasób dziennika przepływu, który ma właściwość ustawioną na false.
Aby przeprowadzić inspekcję dzienników przepływów przy użyciu wbudowanych zasad:
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady w wynikach wyszukiwania.
Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz zasady.
Wybierz wielokropek ... obok pozycji Zakres , aby wybrać subskrypcję platformy Azure zawierającą dzienniki przepływu, które mają być poddawane inspekcji przez zasady. Możesz również wybrać grupę zasobów zawierającą dzienniki przepływu. Po wybraniu opcji wybierz przycisk Wybierz .
Wybierz wielokropek ... obok pozycji Definicja zasad , aby wybrać wbudowane zasady, które chcesz przypisać. Wprowadź analizę ruchu w polu wyszukiwania i wybierz pozycję Filtr wbudowany . W wynikach wyszukiwania wybierz pozycję Network Watcher dzienniki przepływu powinny mieć włączoną analizę ruchu, a następnie wybierz pozycję Dodaj.
Wprowadź nazwę w polu Nazwa przypisania i nazwę w polu Przypisane przez. Te zasady nie wymagają żadnych parametrów.
Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.
Uwaga
Te zasady nie wymagają żadnych parametrów. Nie zawiera również żadnych definicji ról, więc nie trzeba tworzyć przypisań ról dla tożsamości zarządzanej na karcie Korygowanie .
Wybierz pozycję Zgodność. Wyszukaj nazwę przypisania, a następnie wybierz je.
Zgodność zasobów zawiera listę wszystkich niezgodnych dzienników przepływu.
Wdrażanie i konfigurowanie analizy ruchu przy użyciu zasad deployIfNotExists
Dostępne są dwie zasady deployIfNotExists umożliwiające konfigurowanie dzienników przepływów sieciowej grupy zabezpieczeń:
Skonfiguruj sieciowe grupy zabezpieczeń, aby korzystały z określonych obszarów roboczych, konta magazynu i zasad przechowywania dzienników przepływu na potrzeby analizy ruchu: te zasady flagują sieciową grupę zabezpieczeń, która nie ma włączonej analizy ruchu. W przypadku oflagowanej sieciowej grupy zabezpieczeń odpowiedni zasób dzienników przepływu sieciowej grupy zabezpieczeń nie istnieje lub istnieje zasób dzienników przepływu sieciowej grupy zabezpieczeń, ale analiza ruchu nie jest włączona. Jeśli chcesz, aby zasady wpływały na istniejące zasoby, możesz utworzyć zadanie korygowania .
Korygowanie można przypisać podczas przypisywania zasad lub po przypisaniu i ocenie zasad. Korygowanie umożliwia analizę ruchu we wszystkich oflagowanych zasobach z podanymi parametrami. Jeśli sieciowa grupa zabezpieczeń ma już włączone dzienniki przepływu w określonym identyfikatorze magazynu, ale nie ma włączonej analizy ruchu, korygowanie umożliwia analizę ruchu w tej sieciowej grupie zabezpieczeń z podanymi parametrami. Jeśli identyfikator magazynu podany w parametrach różni się od tego, który jest włączony dla dzienników przepływu, ten ostatni zostanie zastąpiony podanym identyfikatorem magazynu w zadaniu korygowania. Jeśli nie chcesz zastępować, użyj pozycji Konfiguruj sieciowe grupy zabezpieczeń, aby włączyć zasady analizy ruchu .
Skonfiguruj sieciowe grupy zabezpieczeń, aby włączyć analizę ruchu: te zasady są podobne do poprzednich zasad, z tą różnicą, że podczas korygowania nie zastępuje ustawień dzienników przepływu w oflagowanych sieciowych grupach zabezpieczeń, które mają włączone dzienniki przepływu, ale analiza ruchu została wyłączona z parametrem podanym w przypisaniu zasad.
Uwaga
Network Watcher jest usługą regionalną, więc dwa zasady deployIfNotExists będą stosowane do sieciowych grup zabezpieczeń, które istnieją w określonym regionie. W przypadku sieciowych grup zabezpieczeń w innym regionie utwórz kolejne przypisanie zasad w tym regionie.
Aby przypisać dowolną z dwóch zasad deployIfNotExists , wykonaj następujące kroki:
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady w wynikach wyszukiwania.
Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz zasady.
Wybierz wielokropek ... obok pozycji Zakres , aby wybrać subskrypcję platformy Azure zawierającą dzienniki przepływu, które mają być poddawane inspekcji przez zasady. Możesz również wybrać grupę zasobów zawierającą dzienniki przepływu. Po wybraniu opcji wybierz przycisk Wybierz .
Wybierz wielokropek ... obok pozycji Definicja zasad , aby wybrać wbudowane zasady, które chcesz przypisać. Wprowadź analizę ruchu w polu wyszukiwania i wybierz wbudowany filtr. W wynikach wyszukiwania wybierz pozycję Konfiguruj sieciowe grupy zabezpieczeń, aby używać określonych obszarów roboczych, konta magazynu i zasad przechowywania dzienników przepływu na potrzeby analizy ruchu, a następnie wybierz pozycję Dodaj.
Wprowadź nazwę w polu Nazwa przypisania i nazwę w polu Przypisane przez.
Wybierz dwukrotnie przycisk Dalej lub wybierz kartę Parametry . Następnie wprowadź lub wybierz następujące wartości:
Ustawienie Wartość Efekt Wybierz pozycję DeployIfNotExists. Region sieciowej grupy zabezpieczeń Wybierz region sieciowej grupy zabezpieczeń, której dotyczy zasady. Identyfikator zasobu magazynu Wprowadź pełny identyfikator zasobu konta magazynu. Konto magazynu musi znajdować się w tym samym regionie co sieciowa grupa zabezpieczeń. Format identyfikatora zasobu magazynu to: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>
.Interwał przetwarzania analizy ruchu w minutach Wybierz częstotliwość wypychania przetworzonych dzienników do obszaru roboczego. Obecnie dostępne wartości to 10 i 60 minut. Wartość domyślna to 60 minut. Identyfikator zasobu obszaru roboczego Wprowadź pełny identyfikator zasobu obszaru roboczego, w którym ma być włączona analiza ruchu. Format identyfikatora zasobu obszaru roboczego to: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>
.Region obszaru roboczego Wybierz region obszaru roboczego analizy ruchu. Identyfikator obszaru roboczego Wprowadź identyfikator obszaru roboczego analizy ruchu. grupa zasobów Network Watcher Wybierz grupę zasobów Network Watcher. nazwa Network Watcher Wprowadź nazwę Network Watcher. Liczba dni przechowywania dzienników przepływów Wprowadź liczbę dni, dla których chcesz zachować dane dzienników przepływu na koncie magazynu. Jeśli chcesz zachować dane na zawsze, wprowadź wartość 0. Uwaga
Region obszaru roboczego analizy ruchu nie musi być taki sam jak region docelowej sieciowej grupy zabezpieczeń.
Wybierz kartę Dalej lub Korygowanie . Wprowadź lub wybierz następujące wartości:
Ustawienie Wartość Tworzenie zadania korygowania Zaznacz pole wyboru, jeśli chcesz, aby zasady wpływały na istniejące zasoby. Tworzenie tożsamości zarządzanej Zaznacz pole wyboru. Typ tożsamości zarządzanej Wybierz typ tożsamości zarządzanej, której chcesz użyć. Lokalizacja tożsamości przypisanej przez system Wybierz region tożsamości przypisanej przez system. Zakres Wybierz zakres tożsamości przypisanej przez użytkownika. Istniejące tożsamości przypisane przez użytkownika Wybierz tożsamość przypisaną przez użytkownika. Uwaga
Aby korzystać z tych zasad, potrzebujesz uprawnień współautora lub właściciela .
Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.
Wybierz pozycję Zgodność. Wyszukaj nazwę przypisania, a następnie wybierz ją.
Wybierz pozycję Zgodność zasobów , aby uzyskać listę wszystkich niezgodnych dzienników przepływu.
Rozwiązywanie problemów
Zadanie korygowania kończy się niepowodzeniem z PolicyAuthorizationFailed
kodem błędu: przykładowy przykład tożsamości zasobu przypisania /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/
zasad nie ma niezbędnych uprawnień do utworzenia wdrożenia.
W takim scenariuszu tożsamość zarządzana musi być udzielana ręcznie. Przejdź do odpowiedniej subskrypcji/grupy zasobów (zawierającej zasoby podane w parametrach zasad) i przyznaj współautorowi dostęp do tożsamości zarządzanej utworzonej przez zasady.
Następne kroki
- Dowiedz się więcej na temat wbudowanych zasad przepływu sieciowej grupy zabezpieczeń.
- Dowiedz się więcej o analizie ruchu.
- Dowiedz się, jak używać szablonu usługi Azure Resource Manager (ARM) do wdrażania dzienników przepływów i analizy ruchu, zobacz Konfigurowanie dzienników przepływów sieciowej grupy zabezpieczeń przy użyciu szablonu usługi Azure Resource Manager.