Azure Policy를 사용하여 가상 네트워크 흐름 로그 감사 및 배포
Azure Policy는 조직 표준을 적용하고 규모에 맞게 규정 준수를 평가하는 데 유용합니다. Azure Policy에 대한 일반적인 사용 사례에는 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스 구현이 포함됩니다. Azure 정책에 대한 자세한 내용은 Azure Policy란?과 빠른 시작:비준수 리소스를 식별하는 정책 할당을 만들기를 참조하세요.
이 문서에서는 두 가지 기본 제공 정책을 사용하여 가상 네트워크 흐름 로그 설정을 관리하는 방법을 알아봅니다. 첫 번째 정책은 흐름 로깅을 사용하도록 설정하지 않은 모든 가상 네트워크에 플래그를 지정합니다. 두 번째 정책은 흐름 로깅을 사용하도록 설정하지 않은 가상 네트워크에 가상 네트워크 흐름 로그를 자동으로 배포합니다.
필수 조건
활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
가상 네트워크. 가상 네트워크를 만들어야 할 경우 Azure Portal로 가상 네트워크 만들기를 참조하세요.
기본 제공 정책을 사용하여 가상 네트워크에 대한 흐름 로그 구성 감사
감사 흐름 로그 구성은 모든 가상 네트워크 정책에서 가상 네트워크의 흐름 로그 속성을 통해 Microsoft.Network/virtualNetworks 형식의 모든 Azure Resource Manager 개체를 확인하여 범위의 모든 기존 가상 네트워크를 감사합니다. 그런 다음 흐름 로깅을 사용하도록 설정하지 않은 모든 가상 네트워크에 플래그를 지정합니다.
기본 제공 정책을 사용하여 흐름 로그를 감사하려면 다음 단계를 따릅니다.
Azure Portal에 로그인합니다.
포털 상단의 검색 상자에 정책을 입력합니다. 검색 결과에서 정책을 선택합니다.
할당을 선택한 다음, 정책 할당을 선택합니다.
범위옆에 있는 줄임표( ... )를 선택하여 정책을 사용하여 확인하려는 가상 네트워크가 있는 Azure 구독을 선택합니다. 가상 네트워크가 있는 리소스 그룹을 선택할 수도 있습니다. 선택한 후 선택 단추를 선택합니다.
할당하려는 기본 제공 정책을 선택하려면 정책 정의 옆에 있는 줄임표(...)를 선택합니다. 검색 상자에 흐름 로그를 입력한 다음, 기본 제공 필터를 선택합니다. 검색 결과에서 모든 가상 네트워크에 대한 감사 흐름 로그 구성을 선택한 다음 추가를 선택합니다.
할당 이름에 이름을 입력하거나 기본 이름을 사용한 다음 할당된에 이름을 입력합니다.
정책에는 매개 변수가 필요 없습니다. 역할 정의도 포함되어 있지 않으므로 수정 탭에서 관리 ID에 대한 역할 할당을 만들 필요가 없습니다.
검토 및 생성를 선택한 후 생성를 선택합니다.
준수를 선택하고 준수 상태 필터를 비준수로 변경하여 모든 비규격 정책을 나열합니다. 만든 감사 정책의 이름을 검색한 다음 선택합니다.
정책 준수 페이지에서 준수 상태 필터를 비준수로 변경하여 모든 비규격 가상 네트워크를 나열합니다. 이 예제에서는 4개 중 3개의 비규격 가상 네트워크가 있습니다.
기본 제공 정책을 사용하여 가상 네트워크 흐름 로그 배포 및 구성
대상 가상 네트워크 정책을 사용하여 흐름 로그 리소스 배포는 Microsoft.Network/virtualNetworks 유형의 모든 Azure Resource Manager 개체를 확인하여 범위의 모든 기존 가상 네트워크를 확인합니다. 그런 다음 가상 네트워크의 흐름 로그 속성을 통해 연결된 흐름 로그를 확인합니다. 속성이 없으면 정책에 따라 흐름 로그를 배포합니다.
Important
중복 트래픽 기록 및 추가 비용을 방지하려면 동일한 기본 워크로드에서 가상 네트워크 흐름 로그를 사용하도록 설정하기 전에 네트워크 보안 그룹 흐름 로그를 사용하지 않도록 설정하는 것이 좋습니다. 예를 들어, 서브넷의 네트워크 보안 그룹에서 네트워크 보안 그룹 흐름 로그를 사용하도록 설정한 다음 동일한 서브넷 또는 상위 가상 네트워크에서 가상 네트워크 흐름 로그를 사용하도록 설정하면 중복된 로깅이 발생할 수 있습니다(특정 서브넷에서 지원되는 모든 워크로드에 대해 생성된 네트워크 보안 그룹 흐름 로그와 가상 네트워크 흐름 로그 모두).
deployIfNotExists 정책을 할당하려면 다음 단계를 따릅니다.
Azure Portal에 로그인합니다.
포털 상단의 검색 상자에 정책을 입력합니다. 검색 결과에서 정책을 선택합니다.
할당을 선택한 다음, 정책 할당을 선택합니다.
범위옆에 있는 줄임표( ... )를 선택하여 정책을 사용하여 확인하려는 가상 네트워크가 있는 Azure 구독을 선택합니다. 가상 네트워크가 있는 리소스 그룹을 선택할 수도 있습니다. 선택한 후 선택 단추를 선택합니다.
할당하려는 기본 제공 정책을 선택하려면 정책 정의 옆에 있는 줄임표(...)를 선택합니다. 검색 상자에 흐름 로그를 입력한 다음, 기본 제공 필터를 선택합니다. 검색 결과에서 대상 가상 네트워크가 있는 흐름 로그 리소스 배포를 선택한 다음 추가를 선택합니다.
참고 항목
이 정책을 사용하려면 contributor 또는 소유자 권한이 있어야 합니다.
할당 이름에 이름을 입력하거나 기본 이름을 사용한 다음 할당된에 이름을 입력합니다.
다음 단추를 두 번 선택하거나 매개 변수 탭을 선택합니다. 그런 다음, 다음 값을 선택합니다.
설정 값 효과 DeployIfNotExists를 선택하여 정책 실행을 사용하도록 설정합니다. 사용 가능한 다른 옵션은 사용 안 함입니다. 가상 네트워크 지역 정책을 사용하여 대상으로 지정하는 가상 네트워크의 지역을 선택합니다. Storage 계정 스토리지 계정을 선택합니다. 스토리지 계정은 가상 네트워크와 동일한 지역에 있어야 합니다. Network Watcher RG Network Watcher 인스턴스의 리소스 그룹을 선택합니다. 정책에 의해 만들어진 흐름 로그는 이 리소스 그룹에 저장됩니다. Network Watcher 선택한 지역의 Network Watcher 인스턴스를 선택합니다. 흐름 로그 보존 일수 스토리지 계정에 흐름 로그 데이터를 보관하려는 일 수를 선택합니다. 기본값은 30일입니다. 보존 정책을 적용하지 않으려면 0을 입력합니다. 
다음 또는 수정 탭을 선택합니다.
수정 작업 만들기 확인란을 선택합니다.
검토 및 생성를 선택한 후 생성를 선택합니다.
준수를 선택하고 준수 상태 필터를 비준수로 변경하여 모든 비규격 정책을 나열합니다. 만든 배포 정책의 이름을 검색한 다음 선택합니다.
정책 준수 페이지에서 준수 상태 필터를 비준수로 변경하여 모든 비규격 가상 네트워크를 나열합니다. 이 예제에서는 4개 중 3개의 비규격 가상 네트워크가 있습니다.
참고 항목
이 정책은 지정된 범위의 가상 네트워크를 평가하고 규정을 준수하지 않는 가상 네트워크에 대한 플로우 로그를 배포하는 데 다소 시간이 걸립니다.
Network Watcher의 로그 아래에서 흐름 로그로 이동하여 정책에 의해 배포된 흐름 로그를 확인합니다.
정책 준수 페이지에서 지정된 범위의 모든 가상 네트워크가 규정을 준수하는지 확인합니다.
참고 항목
Azure Policy 규정 준수 페이지에서 리소스 준수 상태를 업데이트하는 데 최대 24시간이 걸릴 수 있습니다. 자세한 내용은 평가 결과 이해를 참조하세요.
관련 콘텐츠
- 가상 네트워크 흐름 로그.
- Azure Portal을 사용하여 가상 네트워크 흐름 로그를 관리합니다.