Azure Policy を使用した仮想ネットワークフローログの監査とデプロイ

[アーティクル]
05/07/2024

Azure Policy は、組織の標準を適用してコンプライアンスを大規模に評価するのに役立ちます。 Azure Policy の一般的なユースケースには、リソースの整合性、規制コンプライアンス、セキュリティ、コスト、管理のガバナンスの実装が含まれています。 Azure Policy の詳細については、「Azure Policy とは」と「クイックスタート: 準拠していないリソースを識別するためのポリシー割り当てを作成する」を参照してください。

この記事では、2 つの組み込みポリシーを使用して、仮想ネットワークフローログのセットアップを管理する方法について説明します。最初のポリシーは、フローログが有効になっていない仮想ネットワークにフラグを設定します。 2 番目のポリシーでは、フローログが有効になっていない仮想ネットワークに仮想ネットワークフローログが自動的にデプロイされます。

前提条件

アクティブなサブスクリプションが含まれる Azure アカウント。無料でアカウントを作成できます。
仮想ネットワーク。仮想ネットワークを作成する必要がある場合は、Azure portal を使用した仮想ネットワークの作成に関するページを参照してください。

組み込みポリシーを使用して仮想ネットワークのフローログ構成を監査する

すべての仮想ネットワークのフローログ構成を監査するポリシーでは、仮想ネットワークのフローログプロパティを使用して、リンクされたフローログに対して Microsoft.Network/virtualNetworks の種類のすべての Azure Resource Manager オブジェクトを確認することで、スコープ内のすべての既存の仮想ネットワークを監査します。その後、フローログが有効になっていない仮想ネットワークにフラグを設定します。

組み込みポリシーを使用してフローログを監査するには、次の手順に従います。

Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「ポリシー」と入力します。検索結果から [ポリシー] を選択します。
[割り当て] を選択し、[ポリシーの割り当て] を選択します。
[スコープ] の横にある省略記号 (...) を選択して、ポリシーを使用して確認する仮想ネットワークを含む Azure サブスクリプションを選択します。仮想ネットワークを含むリソースグループを選択することもできます。選択した後、[選択] ボタンを選択します。
[ポリシー定義] の横にある省略記号 (...) を選択して、割り当てる組み込みポリシーを選択します。検索ボックスに「フローログ」と入力し、[組み込み] フィルターを選択します。検索結果から、[すべての仮想ネットワークのフローログ構成を監査する] を選択し、[追加] を選択します。
[割り当て名] に名前を入力するか、既定の名前を使用して、[割り当て担当者] に自分の名前を入力します。

このポリシーにパラメーターは必要ありません。また、ロール定義も含まれていないため、[修復] タブでマネージド ID のロールの割り当てを作成する必要はありません。
[確認と作成] を選択し、次に [作成] を選択します。
[コンプライアンス] を選択し、[コンプライアンスの状態] フィルターを [非準拠] に変更して、非準拠ポリシーをすべて一覧表示します。作成した監査ポリシーの名前を検索して選択します。
ポリシーのコンプライアンスページで、[コンプライアンスの状態] フィルターを [非準拠] に変更して、非準拠のすべての仮想ネットワークを一覧表示します。この例では、4 つのうち 3 つが非準拠の仮想ネットワークです。

組み込みポリシーを使用して仮想ネットワークフローログをデプロイして構成する

ターゲット仮想ネットワークを使用してフローログリソースをデプロイするポリシーでは、Microsoft.Network/virtualNetworks の種類のすべての Azure Resource Manager オブジェクトをチェックすることで、スコープ内のすべての既存の仮想ネットワークをチェックします。次に、仮想ネットワークのフローログプロパティを使用して、リンクされたフローログを確認します。プロパティが存在しない場合は、ポリシーによってフローログが展開されます。

重要

トラフィックの重複記録や追加コストを避けるために、同じ基になるワークロードで仮想ネットワークフローログを有効にする前に、ネットワークセキュリティグループフローログを無効にすることをお勧めします。たとえば、サブネットのネットワークセキュリティグループでネットワークセキュリティグループフローログを有効にした場合、同じサブネットまたは親仮想ネットワークで仮想ネットワークフローログを有効にすると、重複したログが取得される可能性があります (ネットワークセキュリティグループフローログと仮想ネットワークフローログの両方が、その特定のサブネットでサポートされているすべてのワークロードに対して生成されます)。

deployIfNotExists ポリシーを割り当てるには、次の手順に従います。

Azure portal にサインインします。
ポータルの上部にある検索ボックスに、「ポリシー」と入力します。検索結果から [ポリシー] を選択します。
[割り当て] を選択し、[ポリシーの割り当て] を選択します。
[スコープ] の横にある省略記号 (...) を選択して、ポリシーを使用して確認する仮想ネットワークを含む Azure サブスクリプションを選択します。仮想ネットワークを含むリソースグループを選択することもできます。選択した後、[選択] ボタンを選択します。
[ポリシー定義] の横にある省略記号 (...) を選択して、割り当てる組み込みポリシーを選択します。検索ボックスに「フローログ」と入力し、[組み込み] フィルターを選択します。検索結果から、[ターゲット仮想ネットワークを使用してフローログリソースをデプロイする] を選択し、[追加] を選択します。

Note

このポリシーを使用するには、"共同作成者" または "所有者" のアクセス許可が必要です。
[割り当て名] に名前を入力するか、既定の名前を使用して、[割り当て担当者] に自分の名前を入力します。

[次へ] ボタンを 2 回選択するか、[パラメーター] タブを選択します。次の値を選択します。

設定	値
効果	DeployIfNotExists を選択すると、ポリシーの実行が有効になります。その他の使用可能なオプションは、[無効] です。
仮想ネットワークリージョン	ポリシーで対象とする仮想ネットワークのリージョンを選択します。
ストレージアカウント	ストレージアカウントを選択します。ストレージアカウントは、仮想ネットワークと同じリージョンに存在する必要があります。
Network Watcher RG	Network Watcher インスタンスのリソースグループを選択します。ポリシーにより作成されたフローログは、このリソースグループに保存されます。
Network Watcher	選択したリージョンの Network Watcher インスタンスを選択します。
フローログを保持する日数	フローログデータをストレージアカウントに保持する日数を選択します。既定の値は 30 日です。アイテム保持ポリシーを適用しない場合は、「0」と入力します。

[次へ] または [修復] タブを選択します。
[修復タスクを作成する] のチェックをオンにします。
[確認と作成] を選択し、次に [作成] を選択します。
[コンプライアンス] を選択し、[コンプライアンスの状態] フィルターを [非準拠] に変更して、非準拠ポリシーをすべて一覧表示します。作成したデプロイポリシーの名前を検索して選択します。
ポリシーのコンプライアンスページで、[コンプライアンスの状態] フィルターを [非準拠] に変更して、非準拠のすべての仮想ネットワークを一覧表示します。この例では、4 つのうち 3 つが非準拠の仮想ネットワークです。

Note

ポリシーは、指定されたスコープ内の仮想ネットワークを評価し、準拠していない仮想ネットワークのフローログをデプロイするのに時間がかかります。
Network Watcher のログの下にある フローログ に移動して、ポリシーによってデプロイされたフローログを確認します。
ポリシーコンプライアンスページで、指定したスコープ内のすべての仮想ネットワークが準拠していることを確認します。

Note

Azure Policy コンプライアンスページでリソースコンプライアンスの状態を更新するには、最大 24 時間かかる場合があります。詳細については、「評価結果を理解する」を参照してください。