Zarządzanie analizą ruchu przy użyciu Azure Policy

Azure Policy pomaga wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę. Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Aby dowiedzieć się więcej na temat zasad platformy Azure, zobacz Co to jest Azure Policy? i Szybki start: tworzenie przypisania zasad w celu zidentyfikowania niezgodnych zasobów.

Z tego artykułu dowiesz się, jak zarządzać konfiguracją za pomocą trzech wbudowanych zasad dostępnych dla usługi Azure Network Watcher analizy ruchu.

Dzienniki przepływu inspekcji przy użyciu wbudowanych zasad

Dzienniki przepływu Network Watcher powinny mieć włączone zasady analizy ruchu przeprowadzają inspekcję wszystkich istniejących dzienników przepływów przez inspekcję obiektów typu Microsoft.Network/networkWatchers/flowLogs Resource Manager platformy Azure i sprawdzanie, czy analiza ruchu jest włączona za pośrednictwem networkWatcherFlowAnalyticsConfiguration.enabled właściwości zasobu dzienników przepływu. Następnie te zasady flaguje zasób dziennika przepływu, który ma właściwość ustawioną na false.

Aby przeprowadzić inspekcję dzienników przepływów przy użyciu wbudowanych zasad:

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady w wynikach wyszukiwania.

   

3. Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz zasady.

   

4. Wybierz wielokropek ... obok pozycji Zakres , aby wybrać subskrypcję platformy Azure zawierającą dzienniki przepływu, które mają być poddawane inspekcji przez zasady. Możesz również wybrać grupę zasobów zawierającą dzienniki przepływu. Po wybraniu opcji wybierz przycisk Wybierz .

   

5. Wybierz wielokropek ... obok pozycji Definicja zasad , aby wybrać wbudowane zasady, które chcesz przypisać. Wprowadź analizę ruchu w polu wyszukiwania i wybierz pozycję Filtr wbudowany . W wynikach wyszukiwania wybierz pozycję Network Watcher dzienniki przepływu powinny mieć włączoną analizę ruchu, a następnie wybierz pozycję Dodaj.

   

6. Wprowadź nazwę w polu Nazwa przypisania i nazwę w polu Przypisane przez. Te zasady nie wymagają żadnych parametrów.

7. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

   

   Uwaga

   Te zasady nie wymagają żadnych parametrów. Nie zawiera również żadnych definicji ról, więc nie trzeba tworzyć przypisań ról dla tożsamości zarządzanej na karcie Korygowanie .

8. Wybierz pozycję Zgodność. Wyszukaj nazwę przypisania, a następnie wybierz je.

   

9. Zgodność zasobów zawiera listę wszystkich niezgodnych dzienników przepływu.

   

Wdrażanie i konfigurowanie analizy ruchu przy użyciu zasad deployIfNotExists

Dostępne są dwie zasady deployIfNotExists umożliwiające konfigurowanie dzienników przepływów sieciowej grupy zabezpieczeń:

• Skonfiguruj sieciowe grupy zabezpieczeń, aby korzystały z określonych obszarów roboczych, konta magazynu i zasad przechowywania dzienników przepływu na potrzeby analizy ruchu: te zasady flagują sieciową grupę zabezpieczeń, która nie ma włączonej analizy ruchu. W przypadku oflagowanej sieciowej grupy zabezpieczeń odpowiedni zasób dzienników przepływu sieciowej grupy zabezpieczeń nie istnieje lub istnieje zasób dzienników przepływu sieciowej grupy zabezpieczeń, ale analiza ruchu nie jest włączona. Jeśli chcesz, aby zasady wpływały na istniejące zasoby, możesz utworzyć zadanie korygowania .

  Korygowanie można przypisać podczas przypisywania zasad lub po przypisaniu i ocenie zasad. Korygowanie umożliwia analizę ruchu we wszystkich oflagowanych zasobach z podanymi parametrami. Jeśli sieciowa grupa zabezpieczeń ma już włączone dzienniki przepływu w określonym identyfikatorze magazynu, ale nie ma włączonej analizy ruchu, korygowanie umożliwia analizę ruchu w tej sieciowej grupie zabezpieczeń z podanymi parametrami. Jeśli identyfikator magazynu podany w parametrach różni się od tego, który jest włączony dla dzienników przepływu, ten ostatni zostanie zastąpiony podanym identyfikatorem magazynu w zadaniu korygowania. Jeśli nie chcesz zastępować, użyj pozycji Konfiguruj sieciowe grupy zabezpieczeń, aby włączyć zasady analizy ruchu .

• Skonfiguruj sieciowe grupy zabezpieczeń, aby włączyć analizę ruchu: te zasady są podobne do poprzednich zasad, z tą różnicą, że podczas korygowania nie zastępuje ustawień dzienników przepływu w oflagowanych sieciowych grupach zabezpieczeń, które mają włączone dzienniki przepływu, ale analiza ruchu została wyłączona z parametrem podanym w przypisaniu zasad.

Uwaga

Network Watcher jest usługą regionalną, więc dwa zasady deployIfNotExists będą stosowane do sieciowych grup zabezpieczeń, które istnieją w określonym regionie. W przypadku sieciowych grup zabezpieczeń w innym regionie utwórz kolejne przypisanie zasad w tym regionie.

Aby przypisać dowolną z dwóch zasad deployIfNotExists , wykonaj następujące kroki:

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady w wynikach wyszukiwania.

   

3. Wybierz pozycję Przypisania, a następnie wybierz pozycję Przypisz zasady.

   

4. Wybierz wielokropek ... obok pozycji Zakres , aby wybrać subskrypcję platformy Azure zawierającą dzienniki przepływu, które mają być poddawane inspekcji przez zasady. Możesz również wybrać grupę zasobów zawierającą dzienniki przepływu. Po wybraniu opcji wybierz przycisk Wybierz .

   

5. Wybierz wielokropek ... obok pozycji Definicja zasad , aby wybrać wbudowane zasady, które chcesz przypisać. Wprowadź analizę ruchu w polu wyszukiwania i wybierz wbudowany filtr. W wynikach wyszukiwania wybierz pozycję Konfiguruj sieciowe grupy zabezpieczeń, aby używać określonych obszarów roboczych, konta magazynu i zasad przechowywania dzienników przepływu na potrzeby analizy ruchu, a następnie wybierz pozycję Dodaj.

   

6. Wprowadź nazwę w polu Nazwa przypisania i nazwę w polu Przypisane przez.

   

7. Wybierz dwukrotnie przycisk Dalej lub wybierz kartę Parametry . Następnie wprowadź lub wybierz następujące wartości:

   Ustawienie	Wartość
   Efekt	Wybierz pozycję DeployIfNotExists.
   Region sieciowej grupy zabezpieczeń	Wybierz region sieciowej grupy zabezpieczeń, której dotyczy zasady.
   Identyfikator zasobu magazynu	Wprowadź pełny identyfikator zasobu konta magazynu. Konto magazynu musi znajdować się w tym samym regionie co sieciowa grupa zabezpieczeń. Format identyfikatora zasobu magazynu to: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
   Interwał przetwarzania analizy ruchu w minutach	Wybierz częstotliwość wypychania przetworzonych dzienników do obszaru roboczego. Obecnie dostępne wartości to 10 i 60 minut. Wartość domyślna to 60 minut.
   Identyfikator zasobu obszaru roboczego	Wprowadź pełny identyfikator zasobu obszaru roboczego, w którym ma być włączona analiza ruchu. Format identyfikatora zasobu obszaru roboczego to: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
   Region obszaru roboczego	Wybierz region obszaru roboczego analizy ruchu.
   Identyfikator obszaru roboczego	Wprowadź identyfikator obszaru roboczego analizy ruchu.
   grupa zasobów Network Watcher	Wybierz grupę zasobów Network Watcher.
   nazwa Network Watcher	Wprowadź nazwę Network Watcher.
   Liczba dni przechowywania dzienników przepływów	Wprowadź liczbę dni, dla których chcesz zachować dane dzienników przepływu na koncie magazynu. Jeśli chcesz zachować dane na zawsze, wprowadź wartość 0.

   Uwaga

   Region obszaru roboczego analizy ruchu nie musi być taki sam jak region docelowej sieciowej grupy zabezpieczeń.

   

8. Wybierz kartę Dalej lub Korygowanie . Wprowadź lub wybierz następujące wartości:

   Ustawienie	Wartość
   Tworzenie zadania korygowania	Zaznacz pole wyboru, jeśli chcesz, aby zasady wpływały na istniejące zasoby.
   Tworzenie tożsamości zarządzanej	Zaznacz pole wyboru.
   Typ tożsamości zarządzanej	Wybierz typ tożsamości zarządzanej, której chcesz użyć.
   Lokalizacja tożsamości przypisanej przez system	Wybierz region tożsamości przypisanej przez system.
   Zakres	Wybierz zakres tożsamości przypisanej przez użytkownika.
   Istniejące tożsamości przypisane przez użytkownika	Wybierz tożsamość przypisaną przez użytkownika.

   Uwaga

   Aby korzystać z tych zasad, potrzebujesz uprawnień współautora lub właściciela .

   

9. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

10. Wybierz pozycję Zgodność. Wyszukaj nazwę przypisania, a następnie wybierz ją.

    

11. Wybierz pozycję Zgodność zasobów , aby uzyskać listę wszystkich niezgodnych dzienników przepływu.

    

Rozwiązywanie problemów

Zadanie korygowania kończy się niepowodzeniem z PolicyAuthorizationFailed kodem błędu: przykładowy przykład tożsamości zasobu przypisania /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ zasad nie ma niezbędnych uprawnień do utworzenia wdrożenia.

W takim scenariuszu tożsamość zarządzana musi być udzielana ręcznie. Przejdź do odpowiedniej subskrypcji/grupy zasobów (zawierającej zasoby podane w parametrach zasad) i przyznaj współautorowi dostęp do tożsamości zarządzanej utworzonej przez zasady.

Następne kroki

• Dowiedz się więcej na temat wbudowanych zasad przepływu sieciowej grupy zabezpieczeń.
• Dowiedz się więcej o analizie ruchu.
• Dowiedz się, jak używać szablonu usługi Azure Resource Manager (ARM) do wdrażania dzienników przepływów i analizy ruchu, zobacz Konfigurowanie dzienników przepływów sieciowej grupy zabezpieczeń przy użyciu szablonu usługi Azure Resource Manager.