Sdílet prostřednictvím

Auditování a nasazení protokolů toku virtuální sítě pomocí Služby Azure Policy

  • Článek

Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém měřítku. Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Další informace o zásadách Azure najdete v tématu Co je Azure Policy? a Rychlý start: Vytvoření přiřazení zásad pro identifikaci nevyhovujících prostředků.

V tomto článku se dozvíte, jak pomocí dvou předdefinovaných zásad spravovat nastavení protokolů toku virtuální sítě. První zásada označí všechny virtuální sítě, které nemají povolené protokolování toku. Druhá zásada automaticky nasadí protokoly toku virtuální sítě do virtuálních sítí, které nemají povolené protokolování toku.

Požadavky

Konfigurace protokolů toku auditu pro virtuální sítě pomocí předdefinovaných zásad

Konfigurace protokolů toku auditu pro každou zásadu virtuální sítě audituje všechny existující virtuální sítě v oboru kontrolou všech objektů Azure Resource Manageru typu Microsoft.Network/virtualNetworks pro protokoly propojených toků prostřednictvím vlastnosti protokolu toku virtuální sítě. Pak označí všechny virtuální sítě, které nemají povolené protokolování toku.

Pokud chcete protokoly toku auditovat pomocí předdefinovaných zásad, postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte zásadu. Ve výsledcích hledání vyberte Zásadu .

    Snímek obrazovky, který ukazuje, jak vyhledat Azure Policy na webu Azure Portal

  3. Vyberte Přiřazení a pak vyberte Přiřadit zásadu.

    Snímek obrazovky znázorňující, jak přiřadit zásadu na webu Azure Portal

  4. Vyberte tři tečky (...) vedle oboru a zvolte předplatné Azure s virtuálními sítěmi, které chcete zkontrolovat pomocí zásad. Můžete také zvolit skupinu prostředků, která má virtuální sítě. Po provedení výběru vyberte tlačítko Vybrat .

    Snímek obrazovky znázorňující, jak definovat rozsah zásad na webu Azure Portal

  5. Vyberte tři tečky (...) vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte protokol toku a vyberte předdefinovaný filtr. Ve výsledcích hledání vyberte konfigurace protokolů toku auditu pro každou virtuální síť a pak vyberte Přidat.

    Snímek obrazovky, který ukazuje, jak vybrat zásady auditu na webu Azure Portal

  6. Zadejte název do pole Název přiřazení nebo použijte výchozí název a zadejte své jméno do pole Přiřazeno.

    Tato zásada nevyžaduje žádné parametry. Neobsahuje také žádné definice rolí, takže nemusíte vytvářet přiřazení rolí pro spravovanou identitu na kartě Náprava .

  7. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

    Snímek obrazovky znázorňující kartu Základy přiřazování zásad auditu na webu Azure Portal

  8. Vyberte Dodržování předpisů a změňte filtr stavu dodržování předpisů na Nekompatibilní , aby se vypsaly všechny zásady nedodržující předpisy. Vyhledejte název vytvořené zásady auditu a vyberte ji.

    Snímek obrazovky se stránkou Dodržování předpisů, která obsahuje zásady nedodržující předpisy, včetně zásad auditu

  9. Na stránce dodržování předpisů zásad změňte filtr stavu dodržování předpisů na nedodržující předpisy a vypište všechny virtuální sítě nesplňující požadavky. V tomto příkladu existují tři nedodržující virtuální sítě ze čtyř.

    Snímek obrazovky znázorňující nekompatibilní virtuální sítě založené na zásadách auditu

Nasazení a konfigurace protokolů toku virtuální sítě pomocí předdefinovaných zásad

Nasazení prostředku protokolu toku s cílovými zásadami virtuální sítě kontroluje všechny existující virtuální sítě v oboru kontrolou všech objektů Azure Resource Manageru typu Microsoft.Network/virtualNetworks. Pak zkontroluje protokoly propojených toků prostřednictvím vlastnosti protokolu toku virtuální sítě. Pokud vlastnost neexistuje, zásada nasadí protokol toku.

Důležité

Před povolením protokolů toku virtuální sítě ve stejných základních úlohách doporučujeme zakázat protokoly toku skupiny zabezpečení sítě, abyste se vyhnuli duplicitnímu záznamu provozu a dalším nákladům. Pokud například povolíte protokoly toku skupiny zabezpečení sítě ve skupině zabezpečení sítě podsítě, povolíte protokoly toku virtuální sítě ve stejné podsíti nebo nadřazené virtuální síti, můžete získat duplicitní protokolování (protokoly toku skupiny zabezpečení sítě i protokoly toku virtuální sítě generované pro všechny podporované úlohy v dané podsíti).

Pokud chcete přiřadit zásadu deployIfNotExists , postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Do vyhledávacího pole v horní části portálu zadejte zásadu. Ve výsledcích hledání vyberte Zásadu .

    Snímek obrazovky, který ukazuje, jak vyhledat Azure Policy na webu Azure Portal

  3. Vyberte Přiřazení a pak vyberte Přiřadit zásadu.

    Snímek obrazovky znázorňující, jak přiřadit zásadu na webu Azure Portal

  4. Vyberte tři tečky (...) vedle oboru a zvolte předplatné Azure s virtuálními sítěmi, které chcete zkontrolovat pomocí zásad. Můžete také zvolit skupinu prostředků, která má virtuální sítě. Po provedení výběru vyberte tlačítko Vybrat .

    Snímek obrazovky znázorňující, jak definovat rozsah zásad na webu Azure Portal

  5. Vyberte tři tečky (...) vedle definice zásady a zvolte předdefinované zásady, které chcete přiřadit. Do vyhledávacího pole zadejte protokol toku a vyberte předdefinovaný filtr. Ve výsledcích hledání vyberte Nasadit prostředek protokolu toku s cílovou virtuální sítí a pak vyberte Přidat.

    Snímek obrazovky, který ukazuje, jak vybrat zásadu nasazení na webu Azure Portal

    Poznámka:

    K používání této zásady potřebujete oprávnění přispěvatele nebo vlastníka .

  6. Zadejte název do pole Název přiřazení nebo použijte výchozí název a zadejte své jméno do pole Přiřazeno.

    Snímek obrazovky znázorňující kartu Základy přiřazování zásad nasazení na webu Azure Portal

  7. Dvakrát vyberte tlačítko Další nebo vyberte kartu Parametry . Pak vyberte následující hodnoty:

    Nastavení Hodnota
    Účinek Výběrem možnosti DeployIfNotExists povolte spuštění zásady. Další dostupná možnost je: Zakázaná.
    Oblast virtuální sítě Vyberte oblast vaší virtuální sítě, na kterou cílíte pomocí zásad.
    Účet úložiště Vyberte účet úložiště. Účet úložiště musí být ve stejné oblasti jako virtuální síť.
    Network Watcher RG Vyberte skupinu prostředků vaší instance služby Network Watcher. Protokoly toku vytvořené zásadou se uloží do této skupiny prostředků.
    Network Watcher Vyberte instanci služby Network Watcher vybrané oblasti.
    Počet dnů uchovávání toků Vyberte počet dní, po který chcete uchovávat data protokolů toku v účtu úložiště. Výchozí hodnota je 30 dní. Pokud nechcete použít žádné zásady uchovávání informací, zadejte 0.

    Snímek obrazovky znázorňující kartu Parametry přiřazování zásad nasazení na webu Azure Portal

  8. Vyberte Další nebo kartu Náprava .

  9. Zaškrtněte políčko Vytvořit úlohu nápravy.

    Snímek obrazovky znázorňující kartu Náprava přiřazení zásad nasazení na webu Azure Portal

  10. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

  11. Vyberte Dodržování předpisů a změňte filtr stavu dodržování předpisů na Nekompatibilní , aby se vypsaly všechny zásady nedodržující předpisy. Vyhledejte název vytvořené zásady nasazení a vyberte ji.

    Snímek obrazovky se stránkou Dodržování předpisů, která obsahuje zásady nedodržující předpisy, včetně zásad nasazení

  12. Na stránce dodržování předpisů zásad změňte filtr stavu dodržování předpisů na nedodržující předpisy a vypište všechny virtuální sítě nesplňující požadavky. V tomto příkladu existují tři nedodržující virtuální sítě ze čtyř.

    Snímek obrazovky znázorňující nekompatibilní virtuální sítě založené na zásadách nasazení

    Poznámka:

    Vyhodnocení virtuálních sítí v zadaném oboru a nasazení protokolů toku pro nekompatibilní virtuální sítě nějakou dobu trvá.

  13. V části Protokoly ve službě Network Watcher přejděte do protokolů toku a zobrazte protokoly toku, které zásady nasadily.

    Snímek obrazovky se seznamem protokolů toku ve službě Network Watcher

  14. Na stránce dodržování zásad ověřte, že jsou všechny virtuální sítě v zadaném oboru kompatibilní.

    Snímek obrazovky, který ukazuje, že po nasazení protokolů toku nasazených zásadami nasazení v definovaném oboru neexistují žádné virtuální sítě, které nedodržují předpisy.

    Poznámka:

    Aktualizace stavu dodržování předpisů pro prostředky na stránce dodržování předpisů pro Azure Policy může trvat až 24 hodin. Další informace najdete v tématu Vysvětlení výsledků vyhodnocení.

Související obsah