Bagikan melalui

Mengelola log alur NSG menggunakan Azure Policy

  • Artikel

Penting

Pada 30 September 2027, log alur kelompok keamanan jaringan (NSG) akan dihentikan. Sebagai bagian dari penghentian ini, Anda tidak akan lagi dapat membuat log alur NSG baru mulai 30 Juni 2025. Sebaiknya migrasi ke log alur jaringan virtual, yang mengatasi keterbatasan log alur NSG. Setelah tanggal penghentian, analitik lalu lintas yang diaktifkan dengan log alur NSG tidak akan lagi didukung, dan sumber daya log alur NSG yang ada di langganan Anda akan dihapus. Namun, rekaman log alur NSG tidak akan dihapus dan akan terus mengikuti kebijakan retensi masing-masing. Untuk informasi selengkapnya, lihat pengumuman resmi.

Azure Policy membantu Anda menerapkan standar organisasi dan menilai kepatuhan dalam skala besar. Penggunaan umum Azure Policy meliputi menerapkan tata kelola untuk konsistensi sumber daya, kepatuhan terhadap peraturan, keamanan, biaya, dan manajemen. Untuk mempelajari selengkapnya tentang kebijakan Azure, lihat Apa itu Azure Policy? dan Mulai Cepat: Membuat penetapan kebijakan untuk mengidentifikasi sumber daya yang tidak patuh.

Dalam artikel ini, Anda mempelajari cara menggunakan dua kebijakan bawaan untuk mengelola penyiapan log alur kelompok keamanan jaringan (NSG) Anda. Kebijakan pertama menandai grup keamanan jaringan apa pun yang tidak mengaktifkan log alur. Kebijakan kedua secara otomatis menyebarkan log alur NSG yang tidak mengaktifkan log alur.

Mengaudit grup keamanan jaringan menggunakan kebijakan bawaan

Log Alur harus dikonfigurasi untuk setiap kebijakan grup keamanan jaringan mengaudit semua grup keamanan jaringan yang ada dalam cakupan dengan memeriksa semua objek Azure Resource Manager jenis Microsoft.Network/networkSecurityGroups. Kebijakan ini kemudian memeriksa log alur tertaut melalui properti log alur dari kelompok keamanan jaringan, dan menandai grup keamanan jaringan apa pun yang tidak mengaktifkan log alur.

Untuk mengaudit log alur Anda menggunakan kebijakan bawaan, ikuti langkah-langkah berikut:

  1. Masuk ke portal Azure.

  2. Di kotak pencarian di bagian atas portal, masukkan kebijakan. Pilih Kebijakan dari hasil pencarian.

    Cuplikan layar yang memperlihatkan cara mencari Azure Policy di portal Azure.

  3. Pilih Penugasan, lalu pilih Tetapkan kebijakan.

    Cuplikan layar memilih tombol untuk menetapkan kebijakan di portal Azure.

  4. Pilih elipsis (...) di samping Cakupan untuk memilih langganan Azure Anda yang memiliki grup keamanan jaringan yang ingin Anda audit kebijakannya. Anda juga dapat memilih grup sumber daya yang memiliki grup keamanan jaringan. Setelah Anda membuat pilihan, pilih tombol Pilih .

    Cuplikan layar memilih cakupan kebijakan di portal Azure.

  5. Pilih elipsis (...) di samping Definisi kebijakan untuk memilih kebijakan bawaan yang ingin Anda tetapkan. Masukkan log alur di kotak pencarian, lalu pilih filter Bawaan. Dari hasil pencarian, pilih Log alur harus dikonfigurasi untuk setiap grup keamanan jaringan, lalu pilih Tambahkan.

    Cuplikan layar memilih kebijakan audit di portal Azure.

  6. Masukkan nama di Nama penugasan, dan masukkan nama Anda di Ditetapkan oleh.

    Kebijakan ini tidak memerlukan parameter apa pun. Ini juga tidak berisi definisi peran apa pun, jadi Anda tidak perlu membuat penetapan peran untuk identitas terkelola pada tab Remediasi .

  7. Pilih Tinjau + buat, lalu pilih Buat.

    Cuplikan layar tab Dasar untuk menetapkan kebijakan audit di portal Azure.

  8. Pilih Kepatuhan. Cari nama tugas Anda, lalu pilih.

    Cuplikan layar halaman Kepatuhan yang memperlihatkan sumber daya yang tidak patuh berdasarkan kebijakan audit.

  9. Pilih Kepatuhan sumber daya untuk mendapatkan daftar semua grup keamanan jaringan yang tidak patuh.

    Cuplikan layar halaman Kepatuhan kebijakan yang menunjukkan sumber daya yang tidak patuh berdasarkan kebijakan audit.

Menyebarkan dan mengonfigurasi log alur NSG menggunakan kebijakan bawaan

Kebijakan Sebarkan sumber daya log alur dengan grup keamanan jaringan target memeriksa semua grup keamanan jaringan yang ada dalam cakupan dengan memeriksa semua objek Azure Resource Manager jenis Microsoft.Network/networkSecurityGroups. Kemudian memeriksa log alur tertaut melalui properti log alur dari kelompok keamanan jaringan. Jika properti tidak ada, kebijakan akan menyebarkan log alur.

Untuk menetapkan kebijakan deployIfNotExists :

  1. Masuk ke portal Azure.

  2. Di kotak pencarian di bagian atas portal, masukkan kebijakan. Pilih Kebijakan dari hasil pencarian.

    Cuplikan layar yang memperlihatkan cara mencari Azure Policy di portal Azure.

  3. Pilih Penugasan, lalu pilih Tetapkan kebijakan.

    Cuplikan layar memilih tombol untuk menetapkan kebijakan di portal Azure.

  4. Pilih elipsis (...) di samping Cakupan untuk memilih langganan Azure Anda yang memiliki grup keamanan jaringan yang ingin Anda audit kebijakannya. Anda juga dapat memilih grup sumber daya yang memiliki grup keamanan jaringan. Setelah Anda membuat pilihan, pilih tombol Pilih .

    Cuplikan layar memilih cakupan kebijakan di portal Azure.

  5. Pilih elipsis (...) di samping Definisi kebijakan untuk memilih kebijakan bawaan yang ingin Anda tetapkan. Masukkan log alur di kotak pencarian, lalu pilih filter Bawaan. Dari hasil pencarian, pilih Sebarkan sumber daya log alur dengan grup keamanan jaringan target, lalu pilih Tambahkan.

    Cuplikan layar memilih kebijakan penyebaran di portal Azure.

  6. Masukkan nama di Nama penugasan, dan masukkan nama Anda di Ditetapkan oleh.

    Cuplikan layar tab Dasar untuk menetapkan kebijakan penyebaran di portal Azure.

  7. Pilih tombol Berikutnya dua kali, atau pilih tab Parameter . Kemudian masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Wilayah NSG Pilih wilayah grup keamanan jaringan yang Anda targetkan dengan kebijakan.
    Id penyimpanan Masukkan ID sumber daya lengkap akun penyimpanan. Akun penyimpanan harus berada di wilayah yang sama dengan grup keamanan jaringan. Format ID sumber daya penyimpanan adalah /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Network Watchers RG Pilih grup sumber daya instans Azure Network Watcher Anda.
    Nama Network Watcher Masukkan nama instans Network Watcher Anda.

    Cuplikan layar tab Parameter untuk menetapkan kebijakan penyebaran di portal Azure.

  8. Pilih Berikutnya atau tab Remediasi . Masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Membuat tugas remediasi Pilih kotak centang jika Anda ingin kebijakan memengaruhi sumber daya yang ada.
    Membuat Identitas Terkelola Pilih kotak centang.
    Jenis Identitas Terkelola Pilih jenis identitas terkelola yang ingin Anda gunakan.
    Lokasi identitas yang ditetapkan sistem Pilih wilayah identitas yang ditetapkan sistem Anda.
    Cakupan Pilih cakupan identitas yang ditetapkan pengguna Anda.
    Identitas yang ditetapkan pengguna yang sudah ada Pilih identitas yang ditetapkan pengguna Anda.

    Catatan

    Anda memerlukan izin Kontributor atau Pemilik untuk menggunakan kebijakan ini.

    Cuplikan layar tab Remediasi untuk menetapkan kebijakan penyebaran di portal Azure.

  9. Pilih Tinjau + buat, lalu pilih Buat.

  10. Pilih Kepatuhan. Cari nama tugas Anda, lalu pilih.

    Cuplikan layar halaman Kepatuhan yang memperlihatkan sumber daya yang tidak patuh berdasarkan kebijakan penyebaran.

  11. Pilih Kepatuhan sumber daya untuk mendapatkan daftar semua grup keamanan jaringan yang tidak patuh.

    Cuplikan layar halaman Kepatuhan kebijakan yang memperlihatkan sumber daya yang tidak patuh.

  12. Biarkan kebijakan berjalan untuk mengevaluasi dan menyebarkan log alur untuk semua grup keamanan jaringan yang tidak patuh. Kemudian pilih Kepatuhan sumber daya lagi untuk memeriksa status grup keamanan jaringan (Anda tidak melihat grup keamanan jaringan yang tidak patuh jika kebijakan menyelesaikan remediasinya).

    Cuplikan layar halaman Kepatuhan kebijakan yang menunjukkan semua sumber daya sesuai.

Konten terkait