Compartilhar via


Gerenciar os logs de fluxo do NSG usando o Azure Policy

Importante

Em 30 de setembro de 2027, os logs de fluxo do grupo de segurança de rede (NSG) serão desativados. Como parte dessa aposentadoria, você não poderá mais criar novos registros de fluxo do NSG a partir de 30 de junho de 2025. Recomendamos migrar para logs de fluxo de rede virtual, que superam as limitações dos registros de fluxo do NSG. Após a data de aposentadoria, a análise de tráfego habilitada com logs de fluxo NSG não será mais suportada, e os recursos de logs de fluxo NSG existentes em suas assinaturas serão excluídos. No entanto, os registros de fluxo do NSG não serão excluídos e continuarão seguindo suas respectivas políticas de retenção. Para saber mais, confira o anúncio oficial.

O Azure Policy ajuda você a impor padrões organizacionais e a avaliar a conformidade em escala. Casos de uso comuns do Azure Policy incluem implementar a governança para consistência de recursos, conformidade regulatória, segurança, custo e gerenciamento. Para saber mais sobre o Azure Policy, consulte O que é Azure Policy? e Início Rápido: Criar uma atribuição de política para identificar recursos fora de conformidade.

Neste artigo, você aprenderá a usar duas políticas internas para gerenciar a instalação de logs de fluxo do NSG (grupo de segurança de rede). A primeira política sinaliza qualquer grupo de segurança de rede que não possui os logs de fluxo habilitados. A segunda política implanta automaticamente os logs de fluxo do NSG que não possuem os logs de fluxo habilitados.

Auditar grupos de segurança de rede usando uma política interna

A política Os logs de fluxo devem ser configurados para cada grupo de segurança de rede audita todos os grupos de segurança de rede existentes em um escopo, verificando todos os objetos do Azure Resource Manager do tipo Microsoft.Network/networkSecurityGroups. Em seguida, essa política verifica se há logs de fluxo vinculados por meio da propriedade Logs de fluxo do grupo de segurança de rede e sinaliza qualquer grupo de segurança de rede que não possui logs de fluxo habilitados.

Para auditar os logs de fluxo usando a política interna, siga estas etapas:

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira política. Selecione Política nos resultados da pesquisa.

    Captura de tela da pesquisa do Azure Policy no portal do Azure.

  3. Selecione Atribuições, e, em seguida, selecione Atribuir política.

    Captura de tela da seleção do botão para atribuir uma política no portal do Azure.

  4. Selecione as reticências (...) ao lado de Escopo para escolher sua assinatura do Azure que tem os grupos de segurança de rede que você deseja que a política audite. Você também pode escolher o grupo de recursos que possui os grupos de segurança de rede. Depois de fazer suas seleções, escolha o botão Selecionar.

    Captura de tela da seleção do escopo da política no portal do Azure.

  5. Selecione as reticências (...) ao lado de Definição de política para escolher a política integrada que você deseja atribuir. Insira o log de fluxo na caixa de pesquisa e selecione o filtro Interno. Nos resultados da pesquisa, selecione Os logs de fluxo devem ser configurados para cada grupo de segurança de rede e, em seguida, selecione Adicionar.

    Captura de tela da seleção da política de auditoria no portal do Azure.

  6. Insira um nome em Atribuição de nome e seu nome em Atribuído por.

    Esta política não requer qualquer parâmetro. Ela também não contém definições de função, então você não precisa criar atribuições de função para a identidade gerenciada na guia Correção.

  7. Selecione Examinar + Criar e, em seguida, selecione Criar.

    Captura de tela da guia Básico para atribuição e auditoria de política no portal do Azure.

  8. Selecione Conformidade. Pesquise pelo nome da sua atribuição e selecione-o.

    Captura de tela da página Conformidade que mostra recursos não compatíveis com base na política de auditoria.

  9. Selecione Conformidade de recursos para obter uma lista de todos os grupos de segurança de rede não compatíveis.

    Captura de tela da página de Conformidade da política que mostra os recursos sem conformidade com base na política de auditoria.

Implantar e configurar os logs de fluxo do NSG usando uma política interna

A política Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino verifica todos os grupos de segurança de rede existentes em um escopo, verificando todos os objetos do Azure Resource Manager do tipo Microsoft.Network/networkSecurityGroups. Em seguida, verifica se há logs de fluxo vinculados por meio da propriedade Logs de fluxo do grupo de segurança de rede. Se a propriedade não existir, a política implantará um log de fluxo.

Para atribuir a política deployIfNotExists:

  1. Entre no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira política. Selecione Política nos resultados da pesquisa.

    Captura de tela da pesquisa do Azure Policy no portal do Azure.

  3. Selecione Atribuições, e, em seguida, selecione Atribuir política.

    Captura de tela da seleção do botão para atribuir uma política no portal do Azure.

  4. Selecione as reticências (...) ao lado de Escopo para escolher sua assinatura do Azure que tem os grupos de segurança de rede que você deseja que a política audite. Você também pode escolher o grupo de recursos que possui os grupos de segurança de rede. Depois de fazer suas seleções, escolha o botão Selecionar.

    Captura de tela da seleção do escopo da política no portal do Azure.

  5. Selecione as reticências (...) ao lado de Definição de política para escolher a política integrada que você deseja atribuir. Insira o log de fluxo na caixa de pesquisa e selecione o filtro Interno. Nos resultados da pesquisa, selecione Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino e, em seguida, selecione Adicionar.

    Captura de tela da seleção da política de implantação no portal do Azure.

  6. Insira um nome em Atribuição de nome e seu nome em Atribuído por.

    Captura de tela da guia Noções básicas para atribuir uma política de implantação no portal do Azure.

  7. Selecione o botão Avançar duas vezes ou selecione a guia Parâmetros. Em seguida, insira ou selecione os seguintes valores:

    Configuração Valor
    Região do NSG Selecione a região do seu grupo de segurança de rede que você está destinando a política.
    ID de armazenamento Insira a ID do recurso completa da conta de armazenamento. A conta de armazenamento deve estar na mesma região do grupo de segurança de rede. O formato da ID do recurso de armazenamento é /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    RG dos Observadores de Rede Selecione o grupo de recursos da instância do Observador de Rede do Azure.
    Nome do Observador de Rede Insira o nome da sua instância do Observador de Rede.

    Captura de tela da guia Parâmetros para atribuição da implantação de políticas no portal do Azure.

  8. Selecione a guia Avançar ou Correção. Insira ou selecione os seguintes valores:

    Configuração Valor
    Criar uma tarefa de correção Marque a caixa de seleção se você quiser que a política afete os recursos existentes.
    Criar uma identidade gerenciada Marque a caixa de seleção.
    Tipo de Identidade Gerenciada Selecione o tipo de identidade gerenciada que você deseja usar.
    Local de identidade atribuído ao sistema Selecione a região da sua identidade atribuída pelo sistema.
    Escopo Selecione o escopo da sua identidade atribuída pelo usuário.
    Identidades existentes atribuídas pelo usuário Selecione sua identidade atribuída ao usuário.

    Observação

    Você precisa da permissão de Colaborador ou Proprietário para usar essa política.

    Captura de tela da guia Correção para atribuição da implantação de políticas no portal do Azure.

  9. Selecione Examinar + Criar e, em seguida, selecione Criar.

  10. Selecione Conformidade. Pesquise pelo nome da sua atribuição e selecione-o.

    Captura de tela da página Conformidade que mostra recursos não compatíveis com base na política de implantação.

  11. Selecione Conformidade de recursos para obter uma lista de todos os grupos de segurança de rede não compatíveis.

    Captura de tela da página de Conformidade da política que mostra os recursos sem conformidade.

  12. Deixe a política em execução para avaliar e implantar logs de fluxo para todos os grupos de segurança de rede não estejam em conformidade. Em seguida, selecione Conformidade de recursos novamente para verificar o status dos grupos de segurança de rede (você não verá grupos de segurança de rede sem conformidade se a política tiver concluído a correção).

    Captura de tela da página de Conformidade da política que mostra que todos os recursos estão em conformidade.