Condividi tramite

Controllare e distribuire i log dei flussi di rete virtuale usando Criteri di Azure

Azure Policy permette di imporre gli standard organizzativi e di verificare la conformità su larga scala. I casi d'uso comuni per Azure Policy includono l'implementazione della governance per la consistenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione. Per altre informazioni sui criteri di Azure, vedere Che cos'è Criteri di Azure? e Avvio rapido: Creare un'assegnazione di criteri per identificare le risorse non conformi.

Questo articolo illustra come usare due criteri predefiniti per gestire la configurazione dei log dei flussi di rete virtuale. Il primo criterio contrassegna qualsiasi rete virtuale che non dispone della registrazione dei flussi abilitata. Il secondo criterio distribuisce automaticamente i log dei flussi di rete virtuale alle reti virtuali in cui non è abilitata la registrazione dei flussi.

Prerequisiti

Configurazione dei log dei flussi di controllo per le reti virtuali usando un criterio predefinito

La configurazione dei log di flusso di controllo per ogni criterio di rete virtuale esegue un audit di tutte le reti virtuali esistenti in un ambito, verificando tutti gli oggetti di Azure Resource Manager di tipo Microsoft.Network/virtualNetworks per i log di flusso collegati tramite la proprietà di log di flusso della rete virtuale. Contrassegna quindi qualsiasi rete virtuale che non dispone della registrazione dei flussi abilitata.

Per controllare i log dei flussi usando i criteri predefiniti, seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere criteri. Selezionare Policy nei risultati della ricerca.

    Screenshot che mostra come cercare Criteri di Azure nel portale di Azure.

  3. Selezionare Assegnazioni e quindi Assegna criterio.

    Screenshot che mostra come assegnare un criterio nel portale di Azure.

  4. Selezionare i puntini di sospensione (...) accanto a Ambito per scegliere la sottoscrizione Azure che include le reti virtuali da controllare utilizzando il criterio. È anche possibile scegliere il gruppo di risorse con le reti virtuali. Dopo aver effettuato le selezioni, selezionare il pulsante Seleziona .

    Screenshot che mostra come definire l'ambito dei criteri nel portale di Azure.

  5. Selezionare i puntini di sospensione (...) accanto a Definizione dei criteri per scegliere i criteri predefiniti da assegnare. Immettere il log del flusso nella casella di ricerca e quindi selezionare il filtro predefinito. Nei risultati della ricerca selezionare Audit flow logs configuration for every virtual network (Configurazione dei log dei flussi di controllo per ogni rete virtuale) e quindi selezionare Aggiungi.

    Screenshot che mostra come selezionare i criteri di controllo nella portale di Azure.

  6. Immettere un nome in Nome dell'assegnazione o usare il nome predefinito e quindi immettere il proprio nome in Assegnato da.

    Questo criterio non richiede parametri. Non contiene anche definizioni di ruolo, quindi non è necessario creare assegnazioni di ruolo per l'identità gestita nella scheda Correzione.

  7. Seleziona Rivedi e crea e quindi seleziona Crea.

    Screenshot che mostra la scheda Base dell'assegnazione di un criterio di controllo nel portale di Azure.

  8. Selezionare Conformità e modificare il filtro Stato di conformità in Non conforme per elencare tutti i criteri non conformi. Cercare il nome dei criteri di controllo creati e quindi selezionarlo.

    Screenshot che mostra la pagina Conformità, che elenca i criteri non conformi, inclusi i criteri di controllo.

  9. Nella pagina conformità dei criteri modificare il filtro Stato di conformità in Non conforme per elencare tutte le reti virtuali non conformi. In questo esempio sono presenti tre reti virtuali non conformi su quattro.

    Screenshot che mostra le reti virtuali non conformi in base ai criteri di controllo.

Distribuire e configurare i log dei flussi di rete virtuale usando un criterio predefinito

Il criterio Distribuisci una risorsa log di flusso con rete virtuale di destinazione controlla tutte le reti virtuali esistenti in un ambito esaminando tutte le risorse di Azure Resource Manager di tipo Microsoft.Network/virtualNetworks. Controlla quindi la presenza di log dei flussi collegati tramite la proprietà log del flusso della rete virtuale. Se la proprietà non esiste, la politica implementa un log di flusso.

Importante

È consigliabile disabilitare i log dei flussi dei gruppi di sicurezza di rete prima di abilitare i log dei flussi di rete virtuale sugli stessi carichi di lavoro sottostanti per evitare la registrazione del traffico duplicata e costi aggiuntivi. Ad esempio, se si abilitano i log dei flussi del gruppo di sicurezza di rete nel gruppo di sicurezza di rete di una subnet, si abilitano i log del flusso di rete virtuale nella stessa subnet o nella stessa rete virtuale padre, è possibile ottenere la registrazione duplicata (sia i log del flusso del gruppo di sicurezza di rete che i log dei flussi di rete virtuali generati per tutti i carichi di lavoro supportati in tale subnet).

Per assegnare il criterio deployIfNotExists , seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere criteri. Selezionare Policy nei risultati della ricerca.

    Screenshot che mostra come cercare Criteri di Azure nel portale di Azure.

  3. Selezionare Assegnazioni e quindi Assegna criterio.

    Screenshot che mostra come assegnare un criterio nel portale di Azure.

  4. Selezionare i puntini di sospensione (...) accanto a Ambito per scegliere la sottoscrizione Azure che include le reti virtuali da controllare utilizzando il criterio. È anche possibile scegliere il gruppo di risorse con le reti virtuali. Dopo aver effettuato le selezioni, selezionare il pulsante Seleziona .

    Screenshot che mostra come definire l'ambito dei criteri nel portale di Azure.

  5. Selezionare i puntini di sospensione (...) accanto a Definizione dei criteri per scegliere i criteri predefiniti da assegnare. Immettere il log del flusso nella casella di ricerca e quindi selezionare il filtro predefinito. Nei risultati della ricerca selezionare Deploy a flow log resource with target virtual network (Distribuisci una risorsa log di flusso con la rete virtuale di destinazione) e quindi selezionare Aggiungi.

    Screenshot che mostra come selezionare i criteri di distribuzione nel portale di Azure.

    Nota

    Per usare questo criterio è necessaria l'autorizzazione Collaboratore o Proprietario.

  6. Immettere un nome in Nome dell'assegnazione o usare il nome predefinito e quindi immettere il proprio nome in Assegnato da.

    Screenshot che mostra la scheda Informazioni di base dell'assegnazione di un criterio di distribuzione nel portale di Azure.

  7. Fare clic due volte sul pulsante Avanti oppure selezionare la scheda Parametri . Selezionare quindi i valori seguenti:

    Impostazione Valore
    Effetto Selezionare DeployIfNotExists per abilitare l'esecuzione del criterio. L'altra opzione disponibile è: Disabilitata.
    Regione Rete virtuale Selezionare l'area della rete virtuale a cui si punta con il criterio.
    Account di archiviazione Selezionare l'account di archiviazione. L'account di archiviazione deve trovarsi nella stessa area della rete virtuale.
    Osservatore di rete RG Selezionare il gruppo di risorse dell'istanza di Network Watcher. I log dei flussi creati dai criteri vengono salvati in questo gruppo di risorse.
    Osservatore di Rete Selezionare l'istanza di Network Watcher dell'area selezionata.
    Numero di giorni per conservare i log dei flussi Selezionare il numero di giorni in cui si desidera mantenere i dati dei log del flusso nell'account di archiviazione. Il valore predefinito è 30 giorni. Se non si vogliono applicare criteri di conservazione, immettere 0.

    Screenshot che mostra la scheda Parametri dell'assegnazione di un criterio di distribuzione nel portale di Azure.

  8. Selezionare Avanti o la scheda Correzione.

  9. Selezionare la casella di controllo Crea un'attività di correzione.

    Screenshot che mostra la scheda Correzione dell'assegnazione di un criterio di distribuzione nel portale di Azure.

  10. Seleziona Rivedi e crea e quindi seleziona Crea.

  11. Selezionare Conformità e modificare il filtro Stato di conformità in Non conforme per elencare tutti i criteri non conformi. Cerca il nome del criterio di distribuzione che hai creato e quindi selezionalo.

    Screenshot che mostra la pagina Conformità, che elenca le politiche non conformi, inclusa la politica di distribuzione.

  12. Nella pagina conformità dei criteri modificare il filtro Stato di conformità in Non conforme per elencare tutte le reti virtuali non conformi. In questo esempio sono presenti tre reti virtuali non conformi su quattro.

    Screenshot che mostra le reti virtuali non conformi in base ai criteri di distribuzione.

    Nota

    Il criterio richiede tempo per valutare le reti virtuali nell'ambito specificato e distribuire i log dei flussi per le reti virtuali non conformi.

  13. Andare a Log di flusso sotto Log in Network Watcher per visualizzare i log di flusso distribuiti dal criterio.

    Screenshot che mostra l'elenco dei log di flusso in Network Watcher.

  14. Nella pagina conformità dei criteri verificare che tutte le reti virtuali nell'ambito specificato siano conformi.

    Screenshot che mostra che non sono presenti reti virtuali non conformi dopo che i log dei flussi sono stati distribuiti dalla policy di distribuzione nell'ambito definito.

    Nota

    L'aggiornamento dello stato di conformità delle risorse nella pagina di conformità Criteri di Azure può richiedere fino a 24 ore. Per altre informazioni, vedere Informazioni sui risultati della valutazione.

Contenuto correlato

  • Last updated on