Správa analýzy provozu pomocí Služby Azure Policy

Azure Policy pomáhá vynucovat standardy organizace a vyhodnotit dodržování předpisů ve velkém měřítku. Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Další informace o zásadách Azure najdete v tématu Co je Azure Policy? a Rychlý start: Vytvoření přiřazení zásad k identifikaci nevyhovujících prostředků.

V tomto článku se dozvíte, jak ke správě nastavení použít tři předdefinované zásady dostupné pro analýzy provozu služby Azure Network Watcher.

Protokoly toku auditu s využitím předdefinovaných zásad

Protokoly toků služby Network Watcher by měly mít povolené zásady analýzy provozu auditovat všechny existující protokoly toku auditováním objektů typu Microsoft.Network/networkWatchers/flowLogs Azure Resource Manageru a kontroluje, jestli je povolená analýza provozu prostřednictvím networkWatcherFlowAnalyticsConfiguration.enabled vlastnosti prostředku protokolů toku. Tato zásada pak označí prostředek protokolů toku, který má vlastnost nastavenou na false.

Auditování protokolů toku pomocí předdefinovaných zásad:

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte zásadu. Ve výsledcích hledání vyberte Zásadu .

    Snímek obrazovky s hledáním zásad na webu Azure Portal

  3. Vyberte Přiřazení a pak vyberte přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka Přiřadit zásadu na webu Azure Portal

  4. Vyberte tři tečky ... vedle oboru a zvolte předplatné Azure, které obsahuje protokoly toku, které mají zásady auditovat. Můžete také zvolit skupinu prostředků, která obsahuje protokoly toku. Po výběru vyberte tlačítko Vybrat .

    Snímek obrazovky s výběrem oboru zásad na webu Azure Portal

  5. Vyberte tři tečky ... vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte analýzu provozu a vyberte Předdefinovaný filtr. Ve výsledcích hledání vyberte protokoly toku služby Network Watcher, které by měly mít povolené analýzy provozu a pak vyberte Přidat.

    Snímek obrazovky s výběrem zásad auditu na webu Azure Portal

  6. Zadejte jméno do pole Jméno přiřazení a vaše jméno v části Přiřazeno. Tato zásada nevyžaduje žádné parametry.

  7. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

    Snímek obrazovky s kartou Základy pro přiřazení zásad auditu na webu Azure Portal

    Poznámka:

    Tato zásada nevyžaduje žádné parametry. Neobsahuje také žádné definice rolí, takže na kartě Náprava nepotřebujete vytvářet přiřazení rolí pro spravovanou identitu.

  8. Vyberte Dodržování předpisů. Vyhledejte název zadání a vyberte ho.

    Snímek obrazovky se stránkou Dodržování předpisů zobrazující zásady auditu na webu Azure Portal

  9. Dodržování předpisů prostředků obsahuje seznam všech protokolů toku, které nedodržují předpisy.

    Snímek obrazovky zobrazující podrobnosti o zásadách auditu na webu Azure Portal

Nasazení a konfigurace analýzy provozu pomocí zásad deployIfNotExists

Pro konfiguraci protokolů toku NSG jsou k dispozici dvě zásady deployIfNotExists :

  • Nakonfigurujte skupiny zabezpečení sítě tak, aby pro analýzu provozu používaly konkrétní pracovní prostor, účet úložiště a zásady uchovávání protokolů toků: Tato zásada označí skupinu zabezpečení sítě, která nemá povolenou analýzu provozu. V případě skupiny zabezpečení sítě s příznakem buď odpovídající prostředek toku NSG neexistuje, nebo existuje prostředek toku NSG, ale analýza provozu na něm není povolená. Pokud chcete, aby zásady ovlivnily existující prostředky, můžete vytvořit úlohu nápravy .

    Nápravu je možné přiřadit při přiřazování zásad nebo po přiřazení a vyhodnocení zásady. Náprava umožňuje analýzu provozu u všech prostředků označených příznakem se zadanými parametry. Pokud už má skupina zabezpečení sítě povolené protokoly toků do konkrétního ID úložiště, ale nemá povolenou analýzu provozu, pak náprava umožňuje analýzu provozu v této skupině zabezpečení sítě s poskytnutými parametry. Pokud se ID úložiště zadané v parametrech liší od ID úložiště povoleného pro protokoly toku, přepíše se druhé id úložiště zadané v úloze nápravy. Pokud nechcete přepisovat, povolte zásady analýzy provozu pomocí konfigurace skupin zabezpečení sítě.

  • Nakonfigurujte skupiny zabezpečení sítě tak, aby povolovaly analýzu provozu: Tato zásada se podobá předchozí zásadě s tím rozdílem, že během nápravy nepřepíše nastavení protokolů toku u skupin zabezpečení sítě s příznakem, které mají povolené protokoly toku, ale analýza provozu je zakázaná s parametrem zadaným v přiřazení zásad.

Poznámka:

Network Watcher je regionální služba, takže dvě zásady deployIfNotExists budou platit pro skupiny zabezpečení sítě, které existují v konkrétní oblasti. Pro skupiny zabezpečení sítě v jiné oblasti vytvořte v této oblasti další přiřazení zásad.

Pokud chcete přiřadit některou ze dvou zásad deployIfNotExists , postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte zásadu. Ve výsledcích hledání vyberte Zásadu .

    Snímek obrazovky s hledáním zásad na webu Azure Portal

  3. Vyberte Přiřazení a pak vyberte možnost Přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka Přiřadit zásadu na webu Azure Portal

  4. Vyberte tři tečky ... vedle oboru a zvolte předplatné Azure, které obsahuje protokoly toku, které mají zásady auditovat. Můžete také zvolit skupinu prostředků, která obsahuje protokoly toku. Po provedení výběru zvolte tlačítko Vybrat .

    Snímek obrazovky s výběrem oboru zásad na webu Azure Portal

  5. Vyberte tři tečky ... vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte analýzu provozu a vyberte předdefinovaný filtr. Vevýsledcíchch

    Snímek obrazovky s výběrem zásady deployIfNotExists na webu Azure Portal

  6. Zadejte jméno do pole Jméno přiřazení a vaše jméno v části Přiřazeno.

    Snímek obrazovky s kartou Základy přiřazování zásad nasazení na webu Azure Portal

  7. Dvakrát vyberte tlačítko Další nebo vyberte kartu Parametry . Pak zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Účinnost Vyberte DeployIfNotExists.
    Oblast skupiny zabezpečení sítě Vyberte oblast vaší skupiny zabezpečení sítě, na kterou cílíte pomocí zásad.
    ID prostředku úložiště Zadejte úplné ID prostředku účtu úložiště. Účet úložiště musí být ve stejné oblasti jako skupina zabezpečení sítě. Formát ID prostředku úložiště je: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Interval zpracování analýzy provozu v minutách Vyberte frekvenci, s jakou se zpracovávají protokoly do pracovního prostoru. Aktuálně dostupné hodnoty jsou 10 a 60 minut. Výchozí hodnota je 60 minut.
    ID prostředku pracovního prostoru Zadejte úplné ID prostředku pracovního prostoru, kde musí být povolená analýza provozu. Formát ID prostředku pracovního prostoru je: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    Oblast pracovního prostoru Vyberte oblast pracovního prostoru analýzy provozu.
    ID pracovního prostoru Zadejte ID pracovního prostoru analýzy provozu.
    Skupina prostředků Network Watcher Vyberte skupinu prostředků služby Network Watcher.
    Název Network Watcheru Zadejte název služby Network Watcher.
    Počet dnů uchovávání protokolů toku Zadejte počet dnů, po které chcete uchovávat data protokolů toku v účtu úložiště. Pokud chcete uchovávat data navždy, zadejte 0.

    Poznámka:

    Oblast pracovního prostoru analýzy provozu nemusí být stejná jako oblast cílové skupiny zabezpečení sítě.

    Snímek obrazovky s kartou Parametry přiřazení zásady nasazení na webu Azure Portal

  8. Vyberte kartu Další nebo Náprava . Zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Vytvoření úlohy nápravy Zaškrtněte políčko, pokud chcete, aby zásady ovlivnily existující prostředky.
    Vytvořit spravovanou identitu Zaškrtněte políčko.
    Typ spravované identity Vyberte typ spravované identity, kterou chcete použít.
    Umístění identity přiřazené systémem Vyberte oblast identity přiřazené systémem.
    Obor Vyberte obor identity přiřazené uživatelem.
    Existující identity přiřazené uživatelem Vyberte identitu přiřazenou uživatelem.

    Poznámka:

    K používání této zásady potřebujete oprávnění přispěvatele nebo vlastníka .

    Snímek obrazovky s kartou Náprava přiřazení zásady nasazení na webu Azure Portal

  9. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

  10. Vyberte Dodržování předpisů. Vyhledejte název zadání a vyberte ho.

    Snímek obrazovky se stránkou Dodržování předpisů zobrazující zásadu nasazení na webu Azure Portal

  11. Výběrem možnosti Dodržování předpisů prostředků získáte seznam všech protokolů toku, které nedodržují předpisy.

    Snímek obrazovky zobrazující podrobnosti o zásadách nasazení na webu Azure Portal

Řešení problému

Úloha nápravy selže s kódem PolicyAuthorizationFailed chyby: Ukázkový příklad chyby: Identita prostředku přiřazení /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ zásad nemá potřebná oprávnění k vytvoření nasazení.

V takovém scénáři musí být spravovaná identita ručně udělena přístup. Přejděte do příslušného předplatného nebo skupiny prostředků (obsahující prostředky uvedené v parametrech zásad) a udělte přispěvateli přístup ke spravované identitě vytvořené zásadou.