다음을 통해 공유


Azure Policy를 사용하여 NSG 흐름 로그 관리

Important

2027년 9월 30일에 NSG(네트워크 보안 그룹) 흐름 로그가 사용 중지됩니다. 이러한 사용 중지의 일환으로 2025년 6월 30일부터 새로운 NSG 흐름 로그를 더 이상 만들 수 없습니다. NSG 흐름 로그의 제한을 극복하는 가상 네트워크 흐름 로그마이그레이션하는 것이 좋습니다. 사용 중지일 이후에는 NSG 흐름 로그를 사용한 트래픽 분석이 더 이상 지원되지 않으며, 구독에 포함된 기존 NSG 흐름 로그 리소스는 삭제됩니다. 그러나 NSG 흐름 로그 레코드는 삭제되지 않으며 각각의 보존 정책을 계속 따릅니다. 자세한 내용은 공식 공지를 참조하세요.

Azure Policy는 조직 표준을 적용하고 규모에 맞게 규정 준수를 평가하는 데 유용합니다. Azure Policy에 대한 일반적인 사용 사례에는 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스 구현이 포함됩니다. Azure Policy에 대한 자세한 내용은 Azure Policy란?빠른 시작: 비준수 리소스를 식별하는 정책 할당 만들기를 참조하세요.

이 문서에서는 두 가지 기본 제공 정책을 사용하여 NSG(네트워크 보안 그룹) 흐름 로그의 설정을 관리하는 방법을 알아봅니다. 첫 번째 정책은 흐름 로그를 사용하도록 설정하지 않은 모든 네트워크 보안 그룹에 플래그를 지정합니다. 두 번째 정책은 흐름 로그를 사용하도록 설정하지 않은 NSG 흐름 로그를 자동으로 배포합니다.

기본 제공 정책을 사용하여 네트워크 보안 그룹 감사

모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 정책은 형식 Microsoft.Network/networkSecurityGroups의 모든 Azure Resource Manager 개체를 확인하여 범위 내에 있는 모든 기존 네트워크 보안 그룹을 감사합니다. 그런 다음, 이 정책은 네트워크 보안 그룹의 흐름 로그 속성을 통해 연결된 흐름 로그를 확인하고, 흐름 로그를 사용하도록 설정하지 않은 모든 네트워크 보안 그룹에 플래그를 지정합니다.

기본 제공 정책을 사용하여 흐름 로그를 감사하려면 다음 단계를 따릅니다.

  1. Azure Portal에 로그인합니다.

  2. 포털 상단의 검색 상자에 정책을 입력합니다. 검색 결과에서 정책을 선택합니다.

    Azure Portal에서 Azure Policy를 검색하는 스크린샷.

  3. 할당을 선택한 다음, 정책 할당을 선택합니다.

    Azure Portal에서 정책을 할당하기 위한 단추를 선택하는 스크린샷.

  4. 범위 옆에 있는 줄임표(...)를 선택하여 정책을 감사할 네트워크 보안 그룹이 있는 Azure 구독을 선택합니다. 네트워크 보안 그룹이 있는 리소스 그룹을 선택할 수도 있습니다. 선택한 후 선택 단추를 선택합니다.

    Azure Portal에서 정책 범위를 선택하는 스크린샷.

  5. 할당하려는 기본 제공 정책을 선택하려면 정책 정의 옆에 있는 줄임표(...)를 선택합니다. 검색 상자에 흐름 로그를 입력한 다음, 기본 제공 필터를 선택합니다. 검색 결과에서 모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함을 선택하고 추가를 선택합니다.

    Azure Portal에서 감사 정책을 선택하는 스크린샷.

  6. 할당 이름에 이름을 입력하고 할당자에는 사용자의 이름을 입력합니다.

    정책에는 매개 변수가 필요 없습니다. 역할 정의도 포함되어 있지 않으므로 수정 탭에서 관리 ID에 대한 역할 할당을 만들 필요가 없습니다.

  7. 검토 및 생성를 선택한 후 생성를 선택합니다.

    Azure Portal에서 감사 정책을 할당하는 기본 사항 탭의 스크린샷.

  8. 준수를 선택합니다. 할당된 이름을 검색해 선택합니다.

    감사 정책에 따라 비준수 리소스를 보여 주는 준수 페이지의 스크린샷.

  9. 리소스 준수를 선택하여 모든 비준수 네트워크 보안 그룹 목록을 가져옵니다.

    감사 정책을 기반으로 하는 비규격 리소스를 보여 주는 정책 준수 페이지의 스크린샷.

기본 제공 정책을 사용하여 NSG 흐름 로그 배포 및 구성

대상 네트워크 보안 그룹을 사용하여 흐름 로그 리소스 배포 정책은 형식 Microsoft.Network/networkSecurityGroups의 모든 Azure Resource Manager 개체를 확인하여 범위 내에 있는 모든 기존 네트워크 보안 그룹을 확인합니다. 그런 다음, 네트워크 보안 그룹의 흐름 로그 속성을 통해 연결된 흐름 로그를 확인합니다. 속성이 없으면 정책에 따라 흐름 로그를 배포합니다.

deployIfNotExists 정책을 할당하려면 다음을 수행합니다.

  1. Azure Portal에 로그인합니다.

  2. 포털 상단의 검색 상자에 정책을 입력합니다. 검색 결과에서 정책을 선택합니다.

    Azure Portal에서 Azure Policy를 검색하는 스크린샷.

  3. 할당을 선택한 다음, 정책 할당을 선택합니다.

    Azure Portal에서 정책을 할당하기 위한 단추를 선택하는 스크린샷.

  4. 범위 옆에 있는 줄임표(...)를 선택하여 정책을 감사할 네트워크 보안 그룹이 있는 Azure 구독을 선택합니다. 네트워크 보안 그룹이 있는 리소스 그룹을 선택할 수도 있습니다. 선택한 후 선택 단추를 선택합니다.

    Azure Portal에서 정책 범위를 선택하는 스크린샷.

  5. 할당하려는 기본 제공 정책을 선택하려면 정책 정의 옆에 있는 줄임표(...)를 선택합니다. 검색 상자에 흐름 로그를 입력한 다음, 기본 제공 필터를 선택합니다. 검색 결과에서 대상 네트워크 보안 그룹을 사용하여 흐름 로그 리소스 배포를 선택한 다음, 추가를 선택합니다.

    Azure Portal에서 배포 정책을 선택하는 스크린샷.

  6. 할당 이름에 이름을 입력하고 할당자에는 사용자의 이름을 입력합니다.

    Azure Portal에서 배포 정책을 할당하는 기본 사항 탭의 스크린샷.

  7. 다음 단추를 두 번 선택하거나 매개 변수 탭을 선택합니다. 그런 다음, 값을 입력하거나 선택합니다.

    설정
    NSG 지역 정책을 사용하여 대상으로 지정하는 네트워크 보안 그룹의 지역을 선택합니다.
    스토리지 ID 스토리지 계정의 전체 리소스 ID를 입력합니다. 스토리지 계정은 네트워크 보안 그룹과 동일한 지역에 있어야 합니다. 스토리지 리소스 ID의 형식은 /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>입니다.
    Network Watcher RG Azure Network Watcher 인스턴스의 리소스 그룹을 선택합니다.
    Network Watcher 이름: Network Watcher 인스턴스의 이름을 입력합니다.

    Azure Portal에서 배포 정책을 할당하는 매개 변수 탭의 스크린샷.

  8. 다음 또는 수정 탭을 선택합니다. 다음 값을 입력하거나 선택합니다.

    설정
    수정 작업 만들기 정책이 기존 리소스에 영향을 주려는 경우 이 확인란을 선택합니다.
    관리 ID 만들기 확인란을 선택합니다.
    관리 ID 유형 사용하려는 관리 ID 형식을 선택합니다.
    시스템 할당 ID 위치 시스템 할당 ID의 지역을 선택합니다.
    범위 사용자 할당 ID의 범위를 선택합니다.
    기존 사용자 할당 ID 사용자가 할당한 ID를 선택합니다.

    참고 항목

    이 정책을 사용하려면 contributor 또는 소유자 권한이 있어야 합니다.

    Azure Portal에서 배포 정책을 할당하기 위한 수정 탭의 스크린샷.

  9. 검토 및 생성를 선택한 후 생성를 선택합니다.

  10. 준수를 선택합니다. 할당된 이름을 검색해 선택합니다.

    배포 정책을 기반으로 하는 비규격 리소스를 보여 주는 준수 페이지의 스크린샷.

  11. 리소스 준수를 선택하여 모든 비준수 네트워크 보안 그룹 목록을 가져옵니다.

    비준수 리소스를 보여 주는 정책 준수 페이지의 스크린샷.

  12. 정책을 실행하여 모든 비준수 네트워크 보안 그룹에 대한 흐름 로그를 평가하고 배포합니다. 그런 다음, 리소스 준수를 다시 선택하여 네트워크 보안 그룹의 상태를 검사합니다(정책 수정이 완료된 경우 비준수 네트워크 보안 그룹이 표시되지 않음).

    모든 리소스가 규격임을 보여 주는 정책 준수 페이지의 스크린샷.