Analýza provozu

Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitě uživatelů a aplikací ve vašich cloudových sítích. Analýzy provozu konkrétně analyzují protokoly toku skupiny zabezpečení sítě (NSG) Azure Network Watcher a poskytují tak přehled o toku provozu ve vašem cloudu Azure. Pomocí analýzy provozu můžete:

  • Vizualizujte síťovou aktivitu napříč předplatnými Azure.

  • Identifikace horkých míst

  • Zabezpečte síť pomocí informací o následujících komponentách k identifikaci hrozeb:

    • Otevřené porty
    • Aplikace, které se pokoušejí o přístup k internetu
    • Virtuální počítače, které se připojují k neautorům sítí
  • Optimalizujte nasazení sítě pro zajištění výkonu a kapacity tím, že rozumíte vzorům toku provozu napříč oblastmi Azure a internetem.

  • Určení chybných konfigurací sítě, které můžou vést k selhání připojení ve vaší síti

Poznámka

Analýza provozu teď podporuje shromažďování dat toků NSG s frekvencí každých 10 minut.

Poznámka

K interakci s Azure se doporučuje modul Azure Az PowerShell. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShell. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Proč analýza provozu?

Je důležité monitorovat, spravovat a znát vlastní síť pro nekompromisní zabezpečení, dodržování předpisů a výkon. Znalost vlastního prostředí je pro ochranu a optimalizaci velmi důležitá. Často potřebujete znát aktuální stav sítě, včetně následujících informací:

  • Kdo se připojuje k síti?
  • Odkud se připojují?
  • Které porty jsou otevřené na internetu?
  • Jaké je očekávané chování sítě?
  • Existuje nějaké nepravidelné chování sítě?
  • Dochází k náhlému nárůstu provozu?

Cloudové sítě se liší od místních podnikových sítí. V místních sítích podporují směrovače a přepínače NetFlow a další ekvivalentní protokoly. Tato zařízení můžete použít ke shromažďování dat o síťovém provozu PROTOKOLU IP při vstupu nebo ukončení síťového rozhraní. Analýzou dat toku provozu můžete vytvořit analýzu toku a objemu síťového provozu.

S virtuálními sítěmi Azure shromáždí protokoly toku NSG data o síti. Tyto protokoly poskytují informace o příchozím a výstupním provozu IP prostřednictvím skupiny zabezpečení sítě, která je přidružená k jednotlivým síťovým rozhraním, virtuálním počítačům nebo podsítím. Analýza nezpracovaných protokolů toku NSG kombinuje data protokolu s inteligentními informacemi o zabezpečení, topologii a zeměpisné oblasti. Analýza provozu vám pak poskytne přehled o toku provozu ve vašem prostředí.

Analýza provozu poskytuje následující informace:

  • Většina komunikujících hostitelů
  • Většina komunikačních aplikačních protokolů
  • Většina párů hostitelů konversující
  • Povolený a blokovaný provoz
  • Příchozí a odchozí provoz
  • Otevření internetových portů
  • Většina blokujících pravidel
  • Distribuce provozu podle datacentra Azure, virtuální sítě, podsítí nebo neautorické sítě

Klíčové komponenty

  • Skupina zabezpečení sítě (NSG): Prostředek, který obsahuje seznam pravidel zabezpečení, která povolují nebo zakazují síťový provoz do prostředků připojených k virtuální síti Azure. Skupiny zabezpečení sítě můžou být přidružené k podsítím, jednotlivým virtuálním počítačům (classic) nebo jednotlivým síťovým rozhraním připojeným k virtuálním počítačům (Resource Manager). Další informace najdete v tématu Přehled skupiny zabezpečení sítě.

  • Protokoly toku NSG: Zaznamenané informace o příchozím a výstupním provozu IP prostřednictvím skupiny zabezpečení sítě. Protokoly toku NSG se zapisují ve formátu JSON a zahrnují:

    • Odchozí a příchozí toky na základě pravidel.
    • Síťová karta, na kterou se tok vztahuje.
    • Informace o toku, jako je zdrojová a cílová IP adresa, zdrojový a cílový port a protokol.
    • Stav provozu, například povolený nebo odepřený.

    Další informace o protokolech toku NSG najdete v protokolech toku NSG.

  • Log Analytics: Nástroj v Azure Portal, který používáte pro práci s daty protokolů služby Azure Monitor. Protokoly Azure Monitoru jsou služba Azure, která shromažďuje data monitorování a ukládá je v centrálním úložišti. Tato data můžou zahrnovat události, údaje o výkonu nebo vlastní data, která jsou poskytována prostřednictvím rozhraní AZURE API. Po shromáždění těchto dat je k dispozici pro upozorňování, analýzu a export. Monitorování aplikací, jako je monitorování výkonu sítě a analýza provozu, používají protokoly Azure Monitoru jako základ. Další informace najdete v protokolech služby Azure Monitor. Log Analytics poskytuje způsob, jak upravovat a spouštět dotazy na protokoly. Tento nástroj můžete použít také k analýze výsledků dotazu. Další informace najdete v tématu Přehled Log Analytics ve službě Azure Monitor.

  • Pracovní prostor služby Log Analytics: Prostředí, ve které se ukládají data protokolu služby Azure Monitor, která se týkají účtu Azure. Další informace o pracovních prostorech služby Log Analytics najdete v tématu Vytvoření pracovního prostoru služby Log Analytics.

  • Network Watcher: Regionální služba, kterou můžete použít k monitorování a diagnostice podmínek na úrovni scénáře sítě v Azure. Protokoly toku NSG můžete zapnout a vypnout pomocí Network Watcher. Další informace najdete v tématu Network Watcher.

Jak funguje analýza provozu

Analýza provozu zkoumá nezpracované protokoly toku NSG. Potom zmenší svazek protokolu agregací toků, které mají společnou zdrojovou IP adresu, cílovou IP adresu, cílový port a protokol.

Příkladem může být hostitel 1 s IP adresou 10.10.10.10 a hostitelem 2 na IP adrese 10.10.20.10. Předpokládejme, že tito dva hostitelé komunikují 100krát za jednu hodinu. Protokol nezpracovaného toku má v tomto případě 100 položek. Pokud tito hostitelé používají protokol HTTP na portu 80 pro každou z těchto 100 interakcí, má omezený protokol jednu položku. Tato položka uvádí, že Hostitel 1 a Hostitel 2 komunikovaly 100krát za jednu hodinu pomocí protokolu HTTP na portu 80.

Omezené protokoly se vylepšují s informacemi o zeměpisné oblasti, zabezpečení a topologii a pak jsou uložené v pracovním prostoru služby Log Analytics. Následující diagram znázorňuje tok dat:

Diagram znázorňující tok dat síťového provozu z protokolu N S G do řídicího panelu analýzy Střední kroky zahrnují agregaci a vylepšení.

Požadavky

Než použijete analýzu provozu, ujistěte se, že vaše prostředí splňuje následující požadavky.

Požadavky na přístup uživatelů

K vašemu účtu je potřeba přiřadit jednu z následujících předdefinovaných rolí Azure :

Model nasazení Role
Resource Manager Vlastník
Přispěvatel
Čtenář
Přispěvatel sítě

Pokud se k vašemu účtu nepřiřadí žádná z předchozích předdefinovaných rolí, přiřaďte k účtu vlastní roli . Vlastní role by měla podporovat následující akce na úrovni předplatného:

  • Microsoft.Network/applicationGateways/read
  • Microsoft.Network/connections/read
  • Microsoft.Network/loadBalancers/read
  • Microsoft.Network/localNetworkGateways/read
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/publicIPAddresses/read"
  • Microsoft.Network/routeTables/read
  • Microsoft.Network/virtualNetworkGateways/read
  • Microsoft.Network/virtualNetworks/read
  • Microsoft.Network/expressRouteCircuits/read

Informace o tom, jak zkontrolovat přístupová oprávnění uživatelů, najdete v tématu Nejčastější dotazy k analýze provozu.

Nejčastější dotazy

Odpovědi na nejčastější dotazy týkající se analýzy provozu najdete v tématu Nejčastější dotazy k analýze provozu.

Další kroky