Správa protokolů toku NSG pomocí Azure Policy

Důležité

30. září 2027 se protokoly toku skupiny zabezpečení sítě (NSG) vyřadí z provozu. V rámci tohoto vyřazení už nebudete moct vytvářet nové protokoly toku NSG od 30. června 2025. Doporučujeme migrovat na protokoly toku virtuální sítě, které překonat omezení protokolů toku NSG. Po datu vyřazení se už nebudou podporovat analýzy provozu s protokoly toků NSG a stávající prostředky protokolů toku NSG ve vašich předplatných se odstraní. Záznamy protokolů toku NSG se ale neodstraní a budou dál dodržovat příslušné zásady uchovávání informací. Další informace najdete v oficiálním oznámení.

Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém měřítku. Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Další informace o zásadách Azure najdete v tématu Co je Azure Policy? a Rychlý start: Vytvoření přiřazení zásad k identifikaci nevyhovujících prostředků.

V tomto článku se dozvíte, jak pomocí dvou předdefinovaných zásad spravovat nastavení protokolů toku skupiny zabezpečení sítě (NSG). První zásada označí všechny skupiny zabezpečení sítě, které nemají povolené protokoly toku. Druhá zásada automaticky nasadí protokoly toku NSG, které nemají povolené protokoly toku.

Auditování skupin zabezpečení sítě pomocí předdefinovaných zásad

Protokoly toku by se měly nakonfigurovat pro všechny zásady skupiny zabezpečení sítě auditují všechny existující skupiny zabezpečení sítě v oboru kontrolou všech objektů Azure Resource Manageru typu Microsoft.Network/networkSecurityGroups. Tato zásada pak zkontroluje protokoly propojených toků prostřednictvím vlastnosti protokolů toku skupiny zabezpečení sítě a označí všechny skupiny zabezpečení sítě, které nemají povolené protokoly toku.

Pokud chcete protokoly toku auditovat pomocí předdefinovaných zásad, postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte zásadu. Ve výsledcích hledání vyberte Zásadu .

    Snímek obrazovky s hledáním azure Policy na webu Azure Portal

  3. Vyberte Přiřazení a pak vyberte Přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka pro přiřazení zásad na webu Azure Portal

  4. Výběrem tří teček (...) vedle oboru vyberte předplatné Azure, které obsahuje skupiny zabezpečení sítě, které mají zásady auditovat. Můžete také zvolit skupinu prostředků, která obsahuje skupiny zabezpečení sítě. Po provedení výběru zvolte tlačítko Vybrat .

    Snímek obrazovky s výběrem oboru zásad na webu Azure Portal

  5. Vyberte tři tečky (...) vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte protokol toku a vyberte předdefinovaný filtr. Ve výsledcích hledání vyberte Protokoly toku, které by měly být nakonfigurované pro každou skupinu zabezpečení sítě, a pak vyberte Přidat.

    Snímek obrazovky s výběrem zásad auditu na webu Azure Portal

  6. Do názvu zadání zadejte jméno a zadejte své jméno do pole Přiřazeno.

    Tato zásada nevyžaduje žádné parametry. Neobsahuje také žádné definice rolí, takže nemusíte vytvářet přiřazení rolí pro spravovanou identitu na kartě Náprava .

  7. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

    Snímek obrazovky s kartou Základy pro přiřazení zásad auditu na webu Azure Portal

  8. Vyberte Dodržování předpisů. Vyhledejte název zadání a vyberte ho.

    Snímek obrazovky se stránkou Dodržování předpisů, která zobrazuje nekompatibilní prostředky na základě zásad auditu

  9. Výběrem možnosti Dodržování předpisů prostředků získáte seznam všech skupin zabezpečení sítě, které nedodržují předpisy.

    Snímek obrazovky se stránkou Dodržování zásad, která zobrazuje nevyhovující prostředky na základě zásad auditu

Nasazení a konfigurace protokolů toku NSG pomocí předdefinovaných zásad

Nasazení prostředku protokolu toku se zásadami skupiny zabezpečení cílové sítě kontroluje všechny existující skupiny zabezpečení sítě v oboru kontrolou všech objektů Azure Resource Manageru typu Microsoft.Network/networkSecurityGroups. Pak zkontroluje protokoly propojených toků prostřednictvím vlastnosti protokolů toku skupiny zabezpečení sítě. Pokud vlastnost neexistuje, zásada nasadí protokol toku.

Přiřazení zásady deployIfNotExists:

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte zásadu. Ve výsledcích hledání vyberte Zásadu .

    Snímek obrazovky s hledáním azure Policy na webu Azure Portal

  3. Vyberte Přiřazení a pak vyberte Přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka pro přiřazení zásad na webu Azure Portal

  4. Výběrem tří teček (...) vedle oboru vyberte předplatné Azure, které obsahuje skupiny zabezpečení sítě, které mají zásady auditovat. Můžete také zvolit skupinu prostředků, která obsahuje skupiny zabezpečení sítě. Po provedení výběru zvolte tlačítko Vybrat .

    Snímek obrazovky s výběrem oboru zásad na webu Azure Portal

  5. Vyberte tři tečky (...) vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte protokol toku a vyberte předdefinovaný filtr. Ve výsledcích hledání vyberte Nasadit prostředek protokolu toku s cílovou skupinou zabezpečení sítě a pak vyberte Přidat.

    Snímek obrazovky s výběrem zásad nasazení na webu Azure Portal

  6. Do názvu zadání zadejte jméno a zadejte své jméno do pole Přiřazeno.

    Snímek obrazovky s kartou Základy pro přiřazení zásad nasazení na webu Azure Portal

  7. Dvakrát vyberte tlačítko Další nebo vyberte kartu Parametry . Pak zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Oblast NSG Vyberte oblast vaší skupiny zabezpečení sítě, na kterou cílíte pomocí zásad.
    ID úložiště Zadejte úplné ID prostředku účtu úložiště. Účet úložiště musí být ve stejné oblasti jako skupina zabezpečení sítě. Formát ID prostředku úložiště je /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Network Watchers RG Vyberte skupinu prostředků vaší instance služby Azure Network Watcher.
    Název Network Watcheru Zadejte název instance služby Network Watcher.

    Snímek obrazovky s kartou Parametry pro přiřazení zásad nasazení na webu Azure Portal

  8. Vyberte Další nebo kartu Náprava . Zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Vytvoření úlohy nápravy Pokud chcete, aby zásady ovlivnily existující prostředky, zaškrtněte políčko.
    Vytvoření spravované identity Zaškrtněte políčko.
    Typ spravované identity Vyberte typ spravované identity, kterou chcete použít.
    Umístění identity přiřazené systémem Vyberte oblast identity přiřazené systémem.
    Scope Vyberte obor vaší identity přiřazené uživatelem.
    Existující identity přiřazené uživatelem Vyberte identitu přiřazenou uživatelem.

    Poznámka:

    K používání této zásady potřebujete oprávnění přispěvatele nebo vlastníka .

    Snímek obrazovky s kartou Náprava pro přiřazení zásad nasazení na webu Azure Portal

  9. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

  10. Vyberte Dodržování předpisů. Vyhledejte název zadání a vyberte ho.

    Snímek obrazovky se stránkou Dodržování předpisů, která zobrazuje nevyhovující prostředky založené na zásadách nasazení

  11. Výběrem možnosti Dodržování předpisů prostředků získáte seznam všech skupin zabezpečení sítě, které nedodržují předpisy.

    Snímek obrazovky se stránkou Dodržování zásad, která zobrazuje nevyhovující prostředky

  12. Nechte zásady spuštěné, aby se vyhodnotily a nasadily protokoly toku pro všechny skupiny zabezpečení sítě, které nedodržují předpisy. Potom znovu vyberte Dodržování předpisů u prostředků a zkontrolujte stav skupin zabezpečení sítě (pokud zásada dokončila nápravu, nezobrazí se skupiny zabezpečení sítě, které nedodržují předpisy).

    Snímek obrazovky se stránkou Dodržování zásad, na které se zobrazují všechny prostředky vyhovující předpisům