Gerir a análise de tráfego com o Azure Policy
Azure Policy ajuda-o a impor normas organizacionais e a avaliar a conformidade em escala. Casos comuns de utilização do Azure Policy incluem a implementação de governação para consistência de recursos, conformidade regulamentar, segurança, custos e gestão. Para saber mais sobre a política do Azure, veja O que é Azure Policy? e Início Rápido: Criar uma atribuição de política para identificar recursos não conformes.
Neste artigo, vai aprender a utilizar três políticas incorporadas disponíveis para o Azure Observador de Rede análise de tráfego para gerir a configuração.
Auditar registos de fluxo com uma política incorporada
Os Observador de Rede registos de fluxo devem ter a política de análise de tráfego ativada audita todos os registos de fluxo existentes ao auditar o Azure Resource Manager objetos do tipo Microsoft.Network/networkWatchers/flowLogs e verifica se a análise de tráfego está ativada através networkWatcherFlowAnalyticsConfiguration.enabled da propriedade do recurso de registos de fluxo. Em seguida, esta política sinaliza o recurso de registos de fluxo que tem a propriedade definida como falso.
Para auditar os registos de fluxo com a política incorporada:
Inicie sessão no portal do Azure.
Na caixa de pesquisa na parte superior do portal, introduza política. Selecione Política nos resultados da pesquisa.
Selecione Atribuições e, em seguida, selecione Atribuir Política.
Selecione as reticências ... junto a Âmbito para escolher a sua subscrição do Azure que tem os registos de fluxo que pretende que a política audite. Também pode escolher o grupo de recursos que tem os registos de fluxo. Depois de efetuar as suas seleções, selecione o botão Selecionar .
Selecione as reticências ... junto a Definição de política para escolher a política incorporada que pretende atribuir. Introduza análise de tráfego na caixa de pesquisa e selecione Filtro incorporado . Nos resultados da pesquisa, selecione Observador de Rede os registos de fluxo devem ter a análise de tráfego ativada e, em seguida, selecione Adicionar.
Introduza um nome em Nome da atribuição e o seu nome em Atribuído por. Esta política não requer parâmetros.
Selecione Rever + criar e, em seguida , Criar.
Nota
Esta política não requer parâmetros. Também não contém definições de função, pelo que não precisa de criar atribuições de funções para a identidade gerida no separador Remediação .
Selecione Conformidade. Procure o nome da sua tarefa e, em seguida, selecione-a.
A conformidade de recursos lista todos os registos de fluxo não conformes.
Implementar e configurar a análise de tráfego com as políticas deployIfNotExists
Existem duas políticas deployIfNotExists disponíveis para configurar os registos de fluxo do NSG:
Configurar grupos de segurança de rede para utilizar a área de trabalho específica, a conta de armazenamento e a política de retenção do registo de fluxo para análise de tráfego: esta política sinaliza o grupo de segurança de rede que não tem a análise de tráfego ativada. Para um grupo de segurança de rede sinalizado, o recurso de registos de fluxo do NSG correspondente não existe ou o recurso de registos de fluxo do NSG existe, mas a análise de tráfego não está ativada no mesmo. Pode criar uma tarefa de remediação se quiser que a política afete os recursos existentes.
A remediação pode ser atribuída ao atribuir a política ou após a atribuição e avaliação da política. A remediação permite a análise de tráfego em todos os recursos sinalizados com os parâmetros fornecidos. Se um grupo de segurança de rede já tiver registos de fluxo ativados para um ID de armazenamento específico, mas não tiver a análise de tráfego ativada, a remediação ativa a análise de tráfego neste grupo de segurança de rede com os parâmetros fornecidos. Se o ID de armazenamento fornecido nos parâmetros for diferente do que está ativado para os registos de fluxo, este último será substituído pelo ID de armazenamento fornecido na tarefa de remediação. Se não quiser substituir, utilize Configurar grupos de segurança de rede para ativar a política de análise de tráfego .
Configurar grupos de segurança de rede para ativar a análise de tráfego: esta política é semelhante à política anterior, exceto que, durante a remediação, não substitui as definições de registos de fluxo nos grupos de segurança de rede sinalizados que têm os registos de fluxo ativados, mas a análise de tráfego desativada com o parâmetro fornecido na atribuição de política.
Nota
Observador de Rede é um serviço regional, pelo que as duas políticas deployIfNotExists serão aplicadas a grupos de segurança de rede que existem numa região específica. Para grupos de segurança de rede numa região diferente, crie outra atribuição de política nessa região.
Para atribuir duas políticas deployIfNotExists , siga estes passos:
Inicie sessão no portal do Azure.
Na caixa de pesquisa na parte superior do portal, introduza política. Selecione Política nos resultados da pesquisa.
Selecione Atribuições e, em seguida, selecione Atribuir política.
Selecione as reticências ... junto a Âmbito para escolher a sua subscrição do Azure que tem os registos de fluxo que pretende que a política audite. Também pode escolher o grupo de recursos que tem os registos de fluxo. Depois de efetuar as suas seleções, selecione o botão Selecionar.
Selecione as reticências ... junto a Definição de política para escolher a política incorporada que pretende atribuir. Introduza análise de tráfego na caixa de pesquisa e selecione o filtro Incorporado . Nos resultados da pesquisa, selecione Configurar grupos de segurança de rede para utilizar uma área de trabalho específica, a conta de armazenamento e a política de retenção do registo de fluxos para análise de tráfego e, em seguida, selecione Adicionar.
Introduza um nome em Nome da atribuição e o seu nome em Atribuído por.
Selecione o botão Seguinte duas vezes ou selecione o separador Parâmetros . Em seguida, introduza ou selecione os seguintes valores:
Definição Valor Efeito Selecione DeployIfNotExists. Região do grupo de segurança de rede Selecione a região do grupo de segurança de rede que está a filtrar com a política. ID do recurso de armazenamento Introduza o ID de recurso completo da conta de armazenamento. A conta de armazenamento tem de estar na mesma região que o grupo de segurança de rede. O formato do ID do recurso de armazenamento é: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.Intervalo de processamento da análise de tráfego em minutos Selecione a frequência com que os registos processados são enviados para a área de trabalho. Os valores atualmente disponíveis são de 10 e 60 minutos. O valor predefinido é 60 minutos. ID do recurso da área de trabalho Introduza o ID de recurso completo da área de trabalho onde a análise de tráfego tem de ser ativada. O formato do ID de recurso da área de trabalho é: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.Região da área de trabalho Selecione a região da área de trabalho de análise de tráfego. ID da área de trabalho Introduza o ID da área de trabalho da análise de tráfego. Observador de Rede grupo de recursos Selecione o grupo de recursos do seu Observador de Rede. Observador de Rede nome Introduza o nome da sua Observador de Rede. Número de dias para reter registos de fluxo Introduza o número de dias durante os quais pretende manter os dados dos registos de fluxo na conta de armazenamento. Se quiser manter os dados para sempre, introduza 0. Nota
A região da área de trabalho de análise de tráfego não tem de ser a mesma que a região do grupo de segurança de rede de destino.
Selecione Seguinte ou Separador Remediação . Introduza ou selecione os seguintes valores:
Definição Valor Criar tarefa de Remediação Selecione a caixa se quiser que a política afete os recursos existentes. Criar uma Identidade Gerida Selecione a caixa. Tipo de Identidade Gerida Selecione o tipo de identidade gerida que pretende utilizar. Localização da identidade atribuída pelo sistema Selecione a região da identidade atribuída pelo sistema. Âmbito Selecione o âmbito da identidade atribuída pelo utilizador. Identidades atribuídas pelo utilizador existente Selecione a identidade atribuída pelo utilizador. Nota
Precisa de permissão de Contribuidor ou Proprietário para utilizar esta política.
Selecione Rever + criar e, em seguida , Criar.
Selecione Conformidade. Procure o nome da sua tarefa e, em seguida, selecione-a.
Selecione Conformidade de recursos para obter uma lista de todos os registos de fluxo não conformes.
Resolução de problemas
A tarefa de remediação falha com PolicyAuthorizationFailed o código de erro: exemplo de erro de exemplo A identidade do recurso de atribuição /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ de política não tem as permissões necessárias para criar a implementação.
Neste cenário, a identidade gerida tem de ter acesso manualmente. Aceda ao grupo de recursos/subscrição adequado (que contém os recursos fornecidos nos parâmetros da política) e conceda acesso de contribuidor à identidade gerida criada pela política.
Passos seguintes
- Saiba mais sobre as políticas incorporadas dos registos de fluxo do NSG.
- Saiba mais sobre a análise de tráfego.
- Saiba como utilizar um modelo do Azure Resource Manager (ARM) para implementar registos de fluxo e análise de tráfego. Veja Configurar registos de fluxo do NSG com um modelo do Azure Resource Manager.