Azure Policy를 사용하여 NSG 흐름 로그 관리

Azure Policy는 조직 표준을 적용하고 규모에 맞게 규정 준수를 평가하는 데 유용합니다. Azure Policy에 대한 일반적인 사용 사례에는 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스 구현이 포함됩니다. Azure Policy에 대한 자세한 내용은 Azure Policy란? 및 빠른 시작: 비준수 리소스를 식별하는 정책 할당 만들기를 참조하세요.

이 문서에서는 두 가지 기본 제공 정책을 사용하여 NSG(네트워크 보안 그룹) 흐름 로그의 설정을 관리하는 방법을 알아봅니다. 첫 번째 정책은 흐름 로그를 사용하도록 설정하지 않은 모든 네트워크 보안 그룹에 플래그를 지정합니다. 두 번째 정책은 흐름 로그를 사용하도록 설정하지 않은 NSG 흐름 로그를 자동으로 배포합니다.

기본 제공 정책을 사용하여 네트워크 보안 그룹 감사

모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 정책은 형식 Microsoft.Network/networkSecurityGroups의 모든 Azure Resource Manager 개체를 확인하여 범위 내에 있는 모든 기존 네트워크 보안 그룹을 감사합니다. 그런 다음, 이 정책은 네트워크 보안 그룹의 흐름 로그 속성을 통해 연결된 흐름 로그를 확인하고, 흐름 로그를 사용하도록 설정하지 않은 모든 네트워크 보안 그룹에 플래그를 지정합니다.

기본 제공 정책을 사용하여 흐름 로그를 감사하려면 다음 단계를 따릅니다.

1. Azure Portal에 로그인합니다.

2. 포털 상단의 검색 상자에 정책을 입력합니다. 검색 결과에서 정책을 선택합니다.

   

3. 할당을 선택한 다음, 정책 할당을 선택합니다.

   

4. 범위 옆에 있는 줄임표(...)를 선택하여 정책을 감사할 네트워크 보안 그룹이 있는 Azure 구독을 선택합니다. 네트워크 보안 그룹이 있는 리소스 그룹을 선택할 수도 있습니다. 선택한 후 선택 단추를 선택합니다.

   

5. 할당하려는 기본 제공 정책을 선택하려면 정책 정의 옆에 있는 줄임표(...)를 선택합니다. 검색 상자에 흐름 로그를 입력한 다음, 기본 제공 필터를 선택합니다. 검색 결과에서 모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함을 선택하고 추가를 선택합니다.

   

6. 할당 이름에 이름을 입력하고 할당자에는 사용자의 이름을 입력합니다.

   정책에는 매개 변수가 필요 없습니다. 역할 정의도 포함되어 있지 않으므로 수정 탭에서 관리 ID에 대한 역할 할당을 만들 필요가 없습니다.

7. 검토 및 생성를 선택한 후 생성를 선택합니다.

   

8. 준수를 선택합니다. 할당된 이름을 검색해 선택합니다.

   

9. 리소스 준수를 선택하여 모든 비준수 네트워크 보안 그룹 목록을 가져옵니다.

   

기본 제공 정책을 사용하여 NSG 흐름 로그 배포 및 구성

대상 네트워크 보안 그룹을 사용하여 흐름 로그 리소스 배포 정책은 형식 Microsoft.Network/networkSecurityGroups의 모든 Azure Resource Manager 개체를 확인하여 범위 내에 있는 모든 기존 네트워크 보안 그룹을 확인합니다. 그런 다음, 네트워크 보안 그룹의 흐름 로그 속성을 통해 연결된 흐름 로그를 확인합니다. 속성이 없으면 정책에 따라 흐름 로그를 배포합니다.

deployIfNotExists 정책을 할당하려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.

2. 포털 상단의 검색 상자에 정책을 입력합니다. 검색 결과에서 정책을 선택합니다.

   

3. 할당을 선택한 다음, 정책 할당을 선택합니다.

   

4. 범위 옆에 있는 줄임표(...)를 선택하여 정책을 감사할 네트워크 보안 그룹이 있는 Azure 구독을 선택합니다. 네트워크 보안 그룹이 있는 리소스 그룹을 선택할 수도 있습니다. 선택한 후 선택 단추를 선택합니다.

   

5. 할당하려는 기본 제공 정책을 선택하려면 정책 정의 옆에 있는 줄임표(...)를 선택합니다. 검색 상자에 흐름 로그를 입력한 다음, 기본 제공 필터를 선택합니다. 검색 결과에서 대상 네트워크 보안 그룹을 사용하여 흐름 로그 리소스 배포를 선택한 다음, 추가를 선택합니다.

   

6. 할당 이름에 이름을 입력하고 할당자에는 사용자의 이름을 입력합니다.

   

7. 다음 단추를 두 번 선택하거나 매개 변수 탭을 선택합니다. 그런 다음, 값을 입력하거나 선택합니다.

   설정	값
   NSG 지역	정책을 사용하여 대상으로 지정하는 네트워크 보안 그룹의 지역을 선택합니다.
   스토리지 ID	스토리지 계정의 전체 리소스 ID를 입력합니다. 스토리지 계정은 네트워크 보안 그룹과 동일한 지역에 있어야 합니다. 스토리지 리소스 ID의 형식은 /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>입니다.
   Network Watcher RG	Azure Network Watcher 인스턴스의 리소스 그룹을 선택합니다.
   Network Watcher 이름:	Network Watcher 인스턴스의 이름을 입력합니다.

   

8. 다음 또는 수정 탭을 선택합니다. 다음 값을 입력하거나 선택합니다.

   설정	값
   수정 작업 만들기	정책이 기존 리소스에 영향을 주려는 경우 이 확인란을 선택합니다.
   관리 ID 만들기	확인란을 선택합니다.
   관리 ID 유형	사용하려는 관리 ID 형식을 선택합니다.
   시스템 할당 ID 위치	시스템 할당 ID의 지역을 선택합니다.
   범위	사용자 할당 ID의 범위를 선택합니다.
   기존 사용자 할당 ID	사용자가 할당한 ID를 선택합니다.

   참고 항목

   이 정책을 사용하려면 contributor 또는 소유자 권한이 있어야 합니다.

   

9. 검토 및 생성를 선택한 후 생성를 선택합니다.

10. 준수를 선택합니다. 할당된 이름을 검색해 선택합니다.

    

11. 리소스 준수를 선택하여 모든 비준수 네트워크 보안 그룹 목록을 가져옵니다.

    

12. 정책을 실행하여 모든 비준수 네트워크 보안 그룹에 대한 흐름 로그를 평가하고 배포합니다. 그런 다음, 리소스 준수를 다시 선택하여 네트워크 보안 그룹의 상태를 검사합니다(정책 수정이 완료된 경우 비준수 네트워크 보안 그룹이 표시되지 않음).

    

관련 콘텐츠

• NSG 흐름 로그에 대한 자세한 내용은 네트워크 보안 그룹 대한 흐름 로그를 참조하세요.
• 트래픽 분석에서 기본 제공 정책을 사용하는 방법에 대한 자세한 내용은 Azure Policy를 사용하여 트래픽 분석 관리를 참조하세요.
• ARM(Azure Resource Manager) 템플릿을 사용하여 흐름 로그 및 트래픽 분석을 배포하는 방법을 알아보려면 Azure Resource Manager 템플릿을 사용하여 NSG 흐름 로그 구성을 참조하세요.