Condividi tramite


Gestire i log dei flussi dei gruppi di sicurezza di rete usando Criteri di Azure

Importante

Il 30 settembre 2027 i log dei flussi del gruppo di sicurezza di rete (NSG) verranno ritirati. Come parte di questo ritiro, non sarà più possibile creare nuovi log dei flussi del gruppo di sicurezza di rete a partire dal 30 giugno 2025. È consigliabile la migrazione ai log dei flussi della rete virtuale, che superano le limitazioni dei log dei flussi del gruppo di sicurezza di rete. Dopo la data di ritiro, l'analisi del traffico abilitata con i log dei flussi del gruppo di sicurezza di rete non sarà più supportata e le risorse dei log dei flussi del gruppo di sicurezza di rete esistenti nelle sottoscrizioni verranno eliminate. Tuttavia, i record dei log dei flussi del gruppo di sicurezza di rete non verranno eliminati e continueranno a seguire i rispettivi criteri di conservazione. Per altre informazioni, consultare l'annuncio ufficiale.

Criteri di Azure consente di imporre standard aziendali e di valutare la conformità su larga scala. I casi d'uso comuni per Criteri di Azure includono l'implementazione della governance per la coerenza delle risorse, la conformità alle normative, la sicurezza, i costi e la gestione. Per altre informazioni sui criteri di Azure, vedere Informazioni su Criteri di Azure e Avvio rapido: Creare un'assegnazione di criteri per identificare le risorse non conformi.

Questo articolo illustra come usare due criteri predefiniti per gestire la configurazione dei log dei flussi del gruppo di sicurezza di rete. Il primo criterio contrassegna qualsiasi gruppo di sicurezza di rete in cui non sono abilitati i log dei flussi. Il secondo criterio distribuisce automaticamente i log dei flussi del gruppo di sicurezza di rete che non hanno i log dei flussi abilitati.

Controllare i gruppi di sicurezza di rete usando un criterio predefinito

Il criterio I log dei flussi devono essere configurati per ogni gruppo di sicurezza di rete controlla tutti i gruppi di sicurezza di rete esistenti in un ambito controllando tutti gli oggetti di Azure Resource Manager di tipo Microsoft.Network/networkSecurityGroups. Questo criterio verifica quindi la presenza di log dei flussi collegati tramite la proprietà dei log di flusso del gruppo di sicurezza di rete e contrassegna qualsiasi gruppo di sicurezza di rete che non dispone di log di flusso abilitati.

Per controllare i log dei flussi usando i criteri predefiniti, seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere criteri. Selezionare Criteri nei risultati della ricerca.

    Screenshot della ricerca di Criteri di Azure nel portale di Azure.

  3. Selezionare Assegnazioni e quindi Assegna criteri.

    Screenshot della selezione del pulsante per l'assegnazione di un criterio nel portale di Azure.

  4. Selezionare i puntini di sospensione (...) accanto a Ambito per scegliere la sottoscrizione di Azure con i gruppi di sicurezza di rete da controllare. È anche possibile scegliere il gruppo di risorse con i gruppi di sicurezza di rete. Dopo aver effettuato le selezioni, scegliere il pulsante Seleziona.

    Screenshot della selezione dell'ambito dei criteri nel portale di Azure.

  5. Selezionare i puntini di sospensione (...) accanto a Definizione dei criteri per scegliere i criteri predefiniti da assegnare. Immettere il log del flusso nella casella di ricerca e quindi selezionare il filtro predefinito. Nei risultati della ricerca selezionare Log di flusso da configurare per ogni gruppo di sicurezza di rete e quindi selezionare Aggiungi.

    Screenshot della selezione dei criteri di controllo nel portale di Azure.

  6. Immettere un nome in Nome assegnazione e immettere il nome in Assegnato da.

    Questo criterio non richiede parametri. Non contiene anche definizioni di ruolo, quindi non è necessario creare assegnazioni di ruolo per l'identità gestita nella scheda Correzione.

  7. Seleziona Rivedi e crea e quindi seleziona Crea.

    Screenshot della scheda Informazioni di base per assegnare un criterio di controllo nel portale di Azure.

  8. Selezionare Conformità. Cercare il nome dell'assegnazione e quindi selezionarlo.

    Screenshot della pagina Conformità che mostra le risorse non conformi in base ai criteri di controllo.

  9. Selezionare Conformità delle risorse per ottenere un elenco di tutti i gruppi di sicurezza di rete non conformi.

    Screenshot della pagina Conformità dei criteri che mostra le risorse non conformi in base ai criteri di controllo.

Distribuire e configurare i log dei flussi dei gruppi di sicurezza di rete usando un criterio predefinito

Il criterio Distribuisci una risorsa log di flusso con il gruppo di sicurezza di rete di destinazione controlla tutti i gruppi di sicurezza di rete esistenti in un ambito controllando tutti gli oggetti di Azure Resource Manager di tipo Microsoft.Network/networkSecurityGroups. Controlla quindi la presenza di log dei flussi collegati tramite la proprietà dei log dei flussi del gruppo di sicurezza di rete. Se la proprietà non esiste, il criterio distribuisce un log di flusso.

Per assegnare il criterio deployIfNotExists:

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale immettere criteri. Selezionare Criteri nei risultati della ricerca.

    Screenshot della ricerca di Criteri di Azure nel portale di Azure.

  3. Selezionare Assegnazioni e quindi Assegna criteri.

    Screenshot della selezione del pulsante per l'assegnazione di un criterio nel portale di Azure.

  4. Selezionare i puntini di sospensione (...) accanto a Ambito per scegliere la sottoscrizione di Azure con i gruppi di sicurezza di rete da controllare. È anche possibile scegliere il gruppo di risorse con i gruppi di sicurezza di rete. Dopo aver effettuato le selezioni, scegliere il pulsante Seleziona.

    Screenshot della selezione dell'ambito dei criteri nel portale di Azure.

  5. Selezionare i puntini di sospensione (...) accanto a Definizione dei criteri per scegliere i criteri predefiniti da assegnare. Immettere il log del flusso nella casella di ricerca e quindi selezionare il filtro predefinito. Nei risultati della ricerca selezionare Distribuisci una risorsa log di flusso con gruppo di sicurezza di rete di destinazione e quindi selezionare Aggiungi.

    Screenshot della selezione dei criteri di distribuzione nel portale di Azure.

  6. Immettere un nome in Nome assegnazione e immettere il nome in Assegnato da.

    Screenshot della scheda Informazioni di base per assegnare un criterio di distribuzione nel portale di Azure.

  7. Fare clic due volte sul pulsante Avanti oppure selezionare la scheda Parametri. Quindi immettere o selezionare i valori seguenti:

    Impostazione Valore
    Area gruppo di sicurezza di rete Selezionare l'area del gruppo di sicurezza di rete di destinazione con i criteri.
    ID della risorsa di archiviazione Immettere l'ID risorsa completo dell'account di archiviazione. L'account di archiviazione deve trovarsi nella stessa area del gruppo di sicurezza di rete. Il formato dell'ID risorsa di archiviazione è /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Gruppo di risorse di Network Watcher Selezionare il gruppo di risorse dell'istanza di Azure Network Watcher.
    Nome Network Watcher Immettere il nome dell'istanza di Network Watcher.

    Screenshot della scheda Parametri per l'assegnazione di un criterio di distribuzione nel portale di Azure.

  8. Selezionare Avanti o la scheda Correzione. Immettere o selezionare i valori seguenti:

    Impostazione Valore
    Creare un'attività di correzione Selezionare la casella di controllo se si vuole che i criteri influiscano sulle risorse esistenti.
    Creare un'identità gestita Selezionare la casella di controllo .
    Tipo di identità gestita Selezionare il tipo di identità gestita da usare.
    Posizione identità assegnata dal sistema Selezionare l'area dell'identità assegnata dal sistema.
    Scope Selezionare l'ambito dell'identità assegnata dall'utente.
    Identità assegnate dall'utente esistente Selezionare l'identità assegnata dall'utente.

    Nota

    Per usare questo criterio è necessaria l'autorizzazione Collaboratore o Proprietario.

    Screenshot della scheda Correzione per l'assegnazione di un criterio di distribuzione nel portale di Azure.

  9. Seleziona Rivedi e crea e quindi seleziona Crea.

  10. Selezionare Conformità. Cercare il nome dell'assegnazione e quindi selezionarlo.

    Screenshot della pagina Conformità che mostra le risorse non conformi in base ai criteri di distribuzione.

  11. Selezionare Conformità delle risorse per ottenere un elenco di tutti i gruppi di sicurezza di rete non conformi.

    Screenshot della pagina Conformità dei criteri che mostra le risorse non conformi.

  12. Lasciare i criteri eseguiti per valutare e distribuire i log dei flussi per tutti i gruppi di sicurezza di rete non conformi. Quindi selezionare di nuovo Conformità delle risorse per controllare lo stato dei gruppi di sicurezza di rete (se i criteri hanno completato la correzione non sono visibili).

    Screenshot della pagina Conformità dei criteri che mostra che tutte le risorse sono conformi.