Share via

Gerenciar logs de fluxo do NSG usando a Política do Azure

  • Artigo

A Política do Azure ajuda-o a aplicar padrões organizacionais e a avaliar a conformidade em escala. Casos comuns de utilização do Azure Policy incluem a implementação de governação para consistência de recursos, conformidade regulamentar, segurança, custos e gestão. Para saber mais sobre a política do Azure, consulte O que é a Política do Azure? e Guia de início rápido: criar uma atribuição de política para identificar recursos não compatíveis.

Neste artigo, você aprenderá a usar duas políticas internas para gerenciar a configuração de logs de fluxo NSG (grupo de segurança de rede). A primeira política sinaliza qualquer grupo de segurança de rede que não tenha logs de fluxo habilitados. A segunda política implanta automaticamente os logs de fluxo do NSG que não têm os logs de fluxo habilitados.

Auditar grupos de segurança de rede usando uma política interna

Os logs de fluxo devem ser configurados para cada política de grupo de segurança de rede audita todos os grupos de segurança de rede existentes em um escopo, verificando todos os objetos do tipo Microsoft.Network/networkSecurityGroupsAzure Resource Manager . Em seguida, essa política verifica se há logs de fluxo vinculados por meio da propriedade de logs de fluxo do grupo de segurança de rede e sinaliza qualquer grupo de segurança de rede que não tenha logs de fluxo habilitados.

Para auditar seus logs de fluxo usando a política interna:

  1. Inicie sessão no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira política. Selecione Política nos resultados da pesquisa.

    Captura de ecrã a mostrar a pesquisa da Política do Azure no portal do Azure.

  3. Selecione Atribuições e, em seguida, selecione Atribuir política.

    Captura de ecrã a mostrar a seleção do botão para atribuir uma política no portal do Azure.

  4. Selecione as reticências (...) ao lado de Escopo para escolher sua assinatura do Azure que tenha os grupos de segurança de rede que você deseja que a política audite. Você também pode escolher o grupo de recursos que tem os grupos de segurança de rede. Depois de fazer suas seleções, escolha o botão Selecionar .

    Captura de ecrã a mostrar a seleção do âmbito da política no portal do Azure.

  5. Selecione as reticências (...) ao lado de Definição de política para escolher a política interna que você deseja atribuir. Introduza o registo de fluxo na caixa de pesquisa e, em seguida, selecione o filtro incorporado . Nos resultados da pesquisa, selecione Os logs de fluxo devem ser configurados para cada grupo de segurança de rede e, em seguida, selecione Adicionar.

    Captura de ecrã a mostrar a seleção da política de auditoria no portal do Azure.

  6. Introduza um nome em Nome da atribuição e introduza o seu nome em Atribuído por.

    Esta política não requer parâmetros. Ele também não contém definições de função, portanto, você não precisa criar atribuições de função para a identidade gerenciada na guia Correção .

  7. Selecione Rever + criar e, em seguida, selecione Criar.

    Captura de ecrã do separador Noções básicas para atribuir uma política de auditoria no portal do Azure.

  8. Selecione Conformidade. Procure o nome da sua atribuição e, em seguida, selecione-o.

    Captura de tela da página Conformidade que mostra recursos não compatíveis com base na política de auditoria.

  9. Selecione Conformidade de recursos para obter uma lista de todos os grupos de segurança de rede não compatíveis.

    Captura de tela da página Conformidade com a política que mostra os recursos não compatíveis com base na política de auditoria.

Implantar e configurar logs de fluxo do NSG usando uma política interna

A política de grupo Implantar um recurso de log de fluxo com segurança de rede de destino verifica todos os grupos de segurança de rede existentes em um escopo, verificando todos os objetos do tipo Microsoft.Network/networkSecurityGroupsAzure Resource Manager . Em seguida, ele verifica se há logs de fluxo vinculados por meio da propriedade de logs de fluxo do grupo de segurança de rede. Se a propriedade não existir, a política implantará um log de fluxo.

Para atribuir a política deployIfNotExists :

  1. Inicie sessão no portal do Azure.

  2. Na caixa de pesquisa na parte superior do portal, insira política. Selecione Política nos resultados da pesquisa.

    Captura de ecrã a mostrar a pesquisa da Política do Azure no portal do Azure.

  3. Selecione Atribuições e, em seguida, selecione Atribuir política.

    Captura de ecrã a mostrar a seleção do botão para atribuir uma política no portal do Azure.

  4. Selecione as reticências (...) ao lado de Escopo para escolher sua assinatura do Azure que tenha os grupos de segurança de rede que você deseja que a política audite. Você também pode escolher o grupo de recursos que tem os grupos de segurança de rede. Depois de fazer suas seleções, escolha o botão Selecionar .

    Captura de ecrã a mostrar a seleção do âmbito da política no portal do Azure.

  5. Selecione as reticências (...) ao lado de Definição de política para escolher a política interna que você deseja atribuir. Introduza o registo de fluxo na caixa de pesquisa e, em seguida, selecione o filtro incorporado . Nos resultados da pesquisa, selecione Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino e selecione Adicionar.

    Captura de ecrã a mostrar a seleção da política de implementação no portal do Azure.

  6. Introduza um nome em Nome da atribuição e introduza o seu nome em Atribuído por.

    Captura de ecrã do separador Noções básicas para atribuir uma política de implementação no portal do Azure.

  7. Selecione o botão Avançar duas vezes ou selecione a guia Parâmetros . Em seguida, insira ou selecione os seguintes valores:

    Definição Value
    Região NSG Selecione a região do seu grupo de segurança de rede que você está segmentando com a política.
    ID de armazenamento Insira o ID completo do recurso da conta de armazenamento. A conta de armazenamento deve estar na mesma região que o grupo de segurança da rede. O formato do ID do recurso de armazenamento é /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Vigilantes de Rede RG Selecione o grupo de recursos da sua instância do Observador de Rede do Azure.
    Nome do Inspetor de Rede Insira o nome da sua instância do Inspetor de Rede.

    Captura de ecrã do separador Parâmetros para atribuir uma política de implementação no portal do Azure.

  8. Selecione Avançar ou a guia Correção . Insira ou selecione os seguintes valores:

    Definição Value
    Criar uma tarefa de correção Marque a caixa de seleção se quiser que a política afete os recursos existentes.
    Criar uma identidade gerenciada Marque a caixa de seleção.
    Tipo de identidade gerenciada Selecione o tipo de identidade gerenciada que você deseja usar.
    Local de identidade atribuído ao sistema Selecione a região da identidade atribuída ao sistema.
    Scope Selecione o escopo da identidade atribuída pelo usuário.
    Identidades atribuídas ao usuário existentes Selecione sua identidade atribuída pelo usuário.

    Nota

    Você precisa de permissão de Colaborador ou Proprietário para usar esta política.

    Captura de ecrã do separador Correção para atribuir uma política de implementação no portal do Azure.

  9. Selecione Rever + criar e, em seguida, selecione Criar.

  10. Selecione Conformidade. Procure o nome da sua atribuição e, em seguida, selecione-o.

    Captura de tela da página Conformidade que mostra recursos não compatíveis com base na política de implantação.

  11. Selecione Conformidade de recursos para obter uma lista de todos os grupos de segurança de rede não compatíveis.

    Captura de tela da página Conformidade com a política que mostra os recursos não compatíveis.

  12. Deixe a política em execução para avaliar e implantar logs de fluxo para todos os grupos de segurança de rede não compatíveis. Em seguida, selecione Conformidade de recursos novamente para verificar o status dos grupos de segurança de rede (você não verá grupos de segurança de rede não compatíveis se a política tiver concluído sua correção).

    Captura de ecrã da página Conformidade com a política que mostra que todos os recursos estão em conformidade.

Próximos passos