Condividi tramite

Controllare e distribuire i log dei flussi di rete virtuale usando Criteri di Azure

  • Articolo

Criteri di Azure consente di imporre standard aziendali e di valutare la conformità su larga scala. I casi d'uso comuni per Criteri di Azure includono l'implementazione della governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione. Per altre informazioni sui criteri di Azure, vedere Che cos'è Criteri di Azure? e Avvio rapido: Creare un'assegnazione di criteri per identificare le risorse non conformi.

Questo articolo illustra come usare due criteri predefiniti per gestire la configurazione dei log dei flussi di rete virtuale. Il primo criterio contrassegna qualsiasi rete virtuale che non dispone della registrazione dei flussi abilitata. Il secondo criterio distribuisce automaticamente i log dei flussi di rete virtuale alle reti virtuali in cui non è abilitata la registrazione dei flussi.

Prerequisiti

Configurazione dei log dei flussi di controllo per le reti virtuali usando un criterio predefinito

La configurazione dei log del flusso di controllo per ogni criterio di rete virtuale controlla tutte le reti virtuali esistenti in un ambito controllando tutti gli oggetti di Azure Resource Manager di tipo Microsoft.Network/virtualNetworks per i log dei flussi collegati tramite la proprietà log del flusso della rete virtuale. Contrassegna quindi qualsiasi rete virtuale che non dispone della registrazione dei flussi abilitata.

Per controllare i log dei flussi usando i criteri predefiniti, seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere criteri. Selezionare Criteri nei risultati della ricerca.

    Screenshot che mostra come cercare Criteri di Azure nel portale di Azure.

  3. Selezionare Assegnazioni e quindi Assegna criteri.

    Screenshot che mostra come assegnare un criterio nel portale di Azure.

  4. Selezionare i puntini di sospensione (...) accanto a Ambito per scegliere la sottoscrizione di Azure con le reti virtuali da controllare usando i criteri. È anche possibile scegliere il gruppo di risorse con le reti virtuali. Dopo aver effettuato le selezioni, selezionare il pulsante Seleziona .

    Screenshot che mostra come definire l'ambito dei criteri nel portale di Azure.

  5. Selezionare i puntini di sospensione (...) accanto a Definizione dei criteri per scegliere i criteri predefiniti da assegnare. Immettere il log del flusso nella casella di ricerca e quindi selezionare il filtro predefinito. Nei risultati della ricerca selezionare Audit flow logs configuration for every virtual network (Configurazione dei log dei flussi di controllo per ogni rete virtuale) e quindi selezionare Aggiungi.

    Screenshot che mostra come selezionare i criteri di controllo nella portale di Azure.

  6. Immettere un nome in Nome assegnazione o usare il nome predefinito e quindi immettere il nome in Assegnato da.

    Questo criterio non richiede parametri. Non contiene anche definizioni di ruolo, quindi non è necessario creare assegnazioni di ruolo per l'identità gestita nella scheda Correzione.

  7. Seleziona Rivedi e crea e quindi seleziona Crea.

    Screenshot che mostra la scheda Informazioni di base dell'assegnazione di un criterio di controllo nella portale di Azure.

  8. Selezionare Conformità e modificare il filtro Stato di conformità in Non conforme per elencare tutti i criteri non conformi. Cercare il nome dei criteri di controllo creati e quindi selezionarlo.

    Screenshot che mostra la pagina Conformità, che elenca i criteri non conformi, inclusi i criteri di controllo.

  9. Nella pagina conformità dei criteri modificare il filtro Stato di conformità in Non conforme per elencare tutte le reti virtuali non conformi. In questo esempio sono presenti tre reti virtuali non conformi su quattro.

    Screenshot che mostra le reti virtuali non conformi in base ai criteri di controllo.

Distribuire e configurare i log dei flussi di rete virtuale usando un criterio predefinito

Il criterio Distribuisci una risorsa log di flusso con rete virtuale di destinazione controlla tutte le reti virtuali esistenti in un ambito controllando tutti gli oggetti di Azure Resource Manager di tipo Microsoft.Network/virtualNetworks. Controlla quindi la presenza di log dei flussi collegati tramite la proprietà log del flusso della rete virtuale. Se la proprietà non esiste, il criterio distribuisce un log di flusso.

Importante

È consigliabile disabilitare i log dei flussi dei gruppi di sicurezza di rete prima di abilitare i log dei flussi di rete virtuale sugli stessi carichi di lavoro sottostanti per evitare la registrazione del traffico duplicata e costi aggiuntivi. Ad esempio, se si abilitano i log dei flussi del gruppo di sicurezza di rete nel gruppo di sicurezza di rete di una subnet, si abilitano i log del flusso di rete virtuale nella stessa subnet o nella stessa rete virtuale padre, è possibile ottenere la registrazione duplicata (sia i log del flusso del gruppo di sicurezza di rete che i log dei flussi di rete virtuali generati per tutti i carichi di lavoro supportati in tale subnet).

Per assegnare il criterio deployIfNotExists , seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere criteri. Selezionare Criteri nei risultati della ricerca.

    Screenshot che mostra come cercare Criteri di Azure nel portale di Azure.

  3. Selezionare Assegnazioni e quindi Assegna criteri.

    Screenshot che mostra come assegnare un criterio nel portale di Azure.

  4. Selezionare i puntini di sospensione (...) accanto a Ambito per scegliere la sottoscrizione di Azure con le reti virtuali da controllare usando i criteri. È anche possibile scegliere il gruppo di risorse con le reti virtuali. Dopo aver effettuato le selezioni, selezionare il pulsante Seleziona .

    Screenshot che mostra come definire l'ambito dei criteri nel portale di Azure.

  5. Selezionare i puntini di sospensione (...) accanto a Definizione dei criteri per scegliere i criteri predefiniti da assegnare. Immettere il log del flusso nella casella di ricerca e quindi selezionare il filtro predefinito. Nei risultati della ricerca selezionare Deploy a flow log resource with target virtual network (Distribuisci una risorsa log di flusso con la rete virtuale di destinazione) e quindi selezionare Aggiungi.

    Screenshot che mostra come selezionare i criteri di distribuzione nel portale di Azure.

    Nota

    Per usare questo criterio è necessaria l'autorizzazione Collaboratore o Proprietario.

  6. Immettere un nome in Nome assegnazione o usare il nome predefinito e quindi immettere il nome in Assegnato da.

    Screenshot che mostra la scheda Informazioni di base dell'assegnazione di un criterio di distribuzione nel portale di Azure.

  7. Fare clic due volte sul pulsante Avanti oppure selezionare la scheda Parametri . Selezionare quindi i valori seguenti:

    Impostazione Valore
    Effetto Selezionare DeployIfNotExists per abilitare l'esecuzione dei criteri. L'altra opzione disponibile è: Disabilitata.
    area Rete virtuale Selezionare l'area della rete virtuale di destinazione con i criteri.
    Account di archiviazione Selezionare l'account di archiviazione. L'account di archiviazione deve trovarsi nella stessa area della rete virtuale.
    Network Watcher RG Selezionare il gruppo di risorse dell'istanza di Network Watcher. I log dei flussi creati dai criteri vengono salvati in questo gruppo di risorse.
    Network Watcher Selezionare l'istanza di Network Watcher dell'area selezionata.
    Numero di giorni per conservare i log dei flussi Selezionare il numero di giorni in cui si desidera mantenere i dati dei log del flusso nell'account di archiviazione. Il valore predefinito è 30 giorni. Se non si vogliono applicare criteri di conservazione, immettere 0.

    Screenshot che mostra la scheda Parametri dell'assegnazione di un criterio di distribuzione nel portale di Azure.

  8. Selezionare Avanti o la scheda Correzione.

  9. Selezionare La casella di controllo Crea un'attività di correzione.

    Screenshot che mostra la scheda Correzione dell'assegnazione di un criterio di distribuzione nel portale di Azure.

  10. Seleziona Rivedi e crea e quindi seleziona Crea.

  11. Selezionare Conformità e modificare il filtro Stato di conformità in Non conforme per elencare tutti i criteri non conformi. Cercare il nome dei criteri di distribuzione creati e quindi selezionarlo.

    Screenshot che mostra la pagina Conformità, che elenca i criteri non conformi, inclusi i criteri di distribuzione.

  12. Nella pagina conformità dei criteri modificare il filtro Stato di conformità in Non conforme per elencare tutte le reti virtuali non conformi. In questo esempio sono presenti tre reti virtuali non conformi su quattro.

    Screenshot che mostra le reti virtuali non conformi in base ai criteri di distribuzione.

    Nota

    Il criterio richiede tempo per valutare le reti virtuali nell'ambito specificato e distribuire i log dei flussi per le reti virtuali non conformi.

  13. Passare a Log di flusso in Log in Network Watcher per visualizzare i log dei flussi distribuiti dai criteri.

    Screenshot che mostra l'elenco dei log di flusso in Network Watcher.

  14. Nella pagina conformità dei criteri verificare che tutte le reti virtuali nell'ambito specificato siano conformi.

    Screenshot che mostra che non sono presenti reti virtuali non conformi dopo i log dei flussi distribuiti dei criteri di distribuzione nell'ambito definito.

    Nota

    L'aggiornamento dello stato di conformità delle risorse nella pagina di conformità Criteri di Azure può richiedere fino a 24 ore. Per altre informazioni, vedere Informazioni sui risultati della valutazione.

Contenuto correlato