Partager via

Auditer et déployer des journaux de flux de réseau virtuel en utilisant Azure Policy

  • Article

Azure Policy vous aide à appliquer les normes organisationnelles et à évaluer la conformité à grande échelle. Les cas d’usage courants pour Azure Policy incluent la mise en œuvre de la gouvernance pour la cohérence des ressources, la conformité réglementaire, la sécurité, le coût et la gestion. Pour plus d’informations sur Azure Policy, consultez Qu’est-ce qu’Azure Policy ? et Démarrage rapide : Créer une attribution de stratégie pour identifier des ressources non conformes.

Dans cet article, vous allez apprendre à utiliser deux stratégies intégrées pour gérer votre configuration des journaux de flux de réseaux virtuels. La première stratégie signale tout réseau virtuel dont la journalisation des flux n’est pas activée. La deuxième stratégie déploie automatiquement les journaux de flux de réseaux virtuels sur les réseaux virtuels dont la journalisation des flux n’est pas activée.

Prérequis

Auditer la configuration des journaux de flux pour les réseaux virtuels à l’aide d’une stratégie intégrée

La stratégie Auditer la configuration des journaux de flux pour chaque réseau virtuel audite tous les réseaux virtuels existants dans une étendue en vérifiant tous les objets Azure Resource Manager de type Microsoft.Network/virtualNetworks pour les journaux de flux liés via la propriété de journal de flux du réseau virtuel. Elle signale ensuite tout réseau virtuel dont la journalisation des flux n’est pas activée.

Pour auditer vos journaux de flux à l’aide de la stratégie intégrée, procédez comme suit :

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez stratégie. Sélectionnez Stratégie à partir des résultats de la recherche.

    Capture d’écran montrant comment rechercher Azure Policy dans le portail Azure.

  3. Sélectionnez Affectations, puis Affecter une stratégie.

    Capture d’écran montrant comment affecter une stratégie dans le portail Azure.

  4. Sélectionnez les points de suspension (...) en regard de Étendue pour choisir votre abonnement Azure qui contient les réseaux virtuels que vous souhaitez vérifier à l’aide de la stratégie. Vous pouvez également choisir le groupe de ressources qui contient les réseaux virtuels. Une fois que vous avez fait vos sélections, choisissez le bouton Sélectionner.

    Capture d’écran montrant comment définir l’étendue de la stratégie dans le portail Azure.

  5. Sélectionnez les points de suspension (...) à côté de Définition de stratégie pour choisir la stratégie intégrée que vous souhaitez affecter. Entrez journal de flux dans la zone de recherche, puis sélectionnez le filtre Intégrer. Dans les résultats de la recherche, sélectionnez Auditer la configuration des journaux de flux pour chaque réseau virtuel, puis Ajouter.

    Capture d’écran montrant comment sélectionner la stratégie d’audit dans le portail Azure.

  6. Entrez un nom dans Nom de l’affectation ou utilisez le nom par défaut, puis entrez votre nom dans Affectée par.

    La stratégie ne nécessite aucun paramètre. Elle ne contient pas non plus de définitions de rôles, vous n’avez donc pas besoin de créer des affectations de rôle pour l’identité managée sous l’onglet Correction.

  7. Sélectionnez Examiner + créer, puis sélectionnez Créer.

    Capture d’écran montrant l’onglet Informations de base pour l’affectation d’une stratégie d’audit dans le portail Azure.

  8. Sélectionnez Conformité et définissez le filtre État de conformité sur Non conforme pour répertorier toutes les stratégies non conformes. Recherchez le nom de la stratégie d’audit que vous avez créée, puis sélectionnez-la.

    Capture d’écran montrant la page Conformité, qui répertorie les stratégies non conformes, y compris la stratégie d’audit.

  9. Dans la page de conformité de stratégie, définissez le filtre État de conformité sur Non conforme pour répertorier tous les réseaux virtuels non conformes. Dans cet exemple, trois réseaux virtuels sur quatre sont non conformes.

    Capture d’écran montrant les réseaux virtuels non conformes d’après la stratégie d’audit.

Déployer et configurer des journaux de flux de réseaux virtuels à l’aide d’une stratégie intégrée

La stratégie Déployer une ressource de journal de flux avec un réseau virtuel cible vérifie tous les réseaux virtuels existants dans une étendue en vérifiant tous les objets Azure Resource Manager de type Microsoft.Network/virtualNetworks. Elle vérifie ensuite les journaux de flux liés via la propriété Journaux de flux du réseau virtuel. Si la propriété n’existe pas, la stratégie déploie un journal de flux.

Important

Nous recommandons de désactiver les journaux de flux du groupe de sécurité réseau avant d’activer les journaux de flux du réseau virtuel sur les mêmes charges de travail sous-jacente afin d’éviter l’enregistrement du trafic en double et les coûts supplémentaires. Par exemple, si vous activez les journaux de flux du groupe de sécurité réseau sur le groupe de sécurité réseau d’un sous-réseau, vous activez les journaux de flux du réseau virtuel sur le même sous-réseau ou le même réseau virtuel parent, vous pouvez obtenir la journalisation en double (journaux de flux du groupe de sécurité réseau et journaux de flux du réseau virtuel générés pour toutes les charges de travail prises en charge dans ce sous-réseau particulier).

Pour attribuer la stratégie deployIfNotExists, procédez comme suit :

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez stratégie. Sélectionnez Stratégie à partir des résultats de la recherche.

    Capture d’écran montrant comment rechercher Azure Policy dans le portail Azure.

  3. Sélectionnez Affectations, puis Affecter une stratégie.

    Capture d’écran montrant comment affecter une stratégie dans le portail Azure.

  4. Sélectionnez les points de suspension (...) en regard de Étendue pour choisir votre abonnement Azure qui contient les réseaux virtuels que vous souhaitez vérifier à l’aide de la stratégie. Vous pouvez également choisir le groupe de ressources qui contient les réseaux virtuels. Une fois que vous avez fait vos sélections, choisissez le bouton Sélectionner.

    Capture d’écran montrant comment définir l’étendue de la stratégie dans le portail Azure.

  5. Sélectionnez les points de suspension (...) à côté de Définition de stratégie pour choisir la stratégie intégrée que vous souhaitez affecter. Entrez journal de flux dans la zone de recherche, puis sélectionnez le filtre Intégrer. Dans les résultats de la recherche, sélectionnez Déployer une ressource de journal de flux avec un réseau virtuel cible, puis Ajouter.

    Capture d’écran montrant comment sélectionner la stratégie de déploiement dans le portail Azure.

    Remarque

    Vous avez besoin de l’autorisation Contributeur ou Propriétaire pour utiliser cette stratégie.

  6. Entrez un nom dans Nom de l’affectation ou utilisez le nom par défaut, puis entrez votre nom dans Affectée par.

    Capture d’écran montrant l’onglet Informations de base pour l’affectation d’une stratégie de déploiement dans le portail Azure.

  7. Sélectionnez deux fois le bouton Suivant, ou sélectionnez l’onglet Paramètres. Ensuite, sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Effet Sélectionnez DeployIfNotExists pour activer l’exécution de la stratégie. L’autre option disponible est la suivante : Désactivé.
    Région du réseau virtuel Sélectionnez la région du réseau virtuel que vous ciblez avec la stratégie.
    Compte de stockage Sélectionnez le compte de stockage. Le compte de stockage doit se trouver dans la même région que le réseau virtuel.
    Groupe de ressources Network Watcher Sélectionnez le groupe de ressources de votre instance Network Watcher. Les journaux de flux créés par la stratégie sont enregistrés dans ce groupe de ressources.
    Network Watcher Sélectionnez l’instance Network Watcher de la région sélectionnée.
    Nombre de jours de conservation des journaux de flux Sélectionnez le nombre de jours pendant lesquels vous souhaitez conserver vos données de journaux de flux dans le compte de stockage. La valeur par défaut est de 30 jours. Si vous ne souhaitez appliquer aucune stratégie de rétention, entrez 0.

    Capture d’écran montrant l’onglet Paramètres pour l’affectation d’une stratégie de déploiement dans le portail Azure.

  8. Sélectionnez Suivant ou l’onglet Correction.

  9. Cochez la case Créer une tâche de correction.

    Capture d’écran montrant l’onglet Correction pour l’affectation d’une stratégie de déploiement dans le portail Azure.

  10. Sélectionnez Examiner + créer, puis sélectionnez Créer.

  11. Sélectionnez Conformité et définissez le filtre État de conformité sur Non conforme pour répertorier toutes les stratégies non conformes. Recherchez le nom de la stratégie de déploiement que vous avez créée, puis sélectionnez-la.

    Capture d’écran montrant la page Conformité, qui répertorie les stratégies non conformes, y compris la stratégie de déploiement.

  12. Dans la page de conformité de stratégie, définissez le filtre État de conformité sur Non conforme pour répertorier tous les réseaux virtuels non conformes. Dans cet exemple, trois réseaux virtuels sur quatre sont non conformes.

    Capture d’écran montrant les réseaux virtuels non conformes d’après la stratégie de déploiement.

    Remarque

    La stratégie prend un certain temps pour évaluer les réseaux virtuels dans l’étendue spécifiée et déployer les journaux de flux pour les réseaux virtuels non conformes.

  13. Accédez à Journaux de flux sous Journaux dans Network Watcher pour voir les journaux de flux déployés par la stratégie.

    Capture d’écran montrant la liste des journaux de flux dans Network Watcher.

  14. Dans la page de conformité des stratégies, vérifiez que tous les réseaux virtuels de l’étendue spécifiée sont conformes.

    Capture d’écran montrant qu’il n’existe aucun réseau virtuel non conforme après que la stratégie de déploiement a déployé les journaux de flux dans l’étendue définie.

    Remarque

    La mise à jour de l’état de conformité des ressources dans la page de conformité Azure Policy peut prendre jusqu’à 24 heures. Pour plus d’informations, consultez Comprendre les résultats d’évaluation.

Contenu connexe