Información general sobre el análisis de tráfico

Artículo
11/27/2023

El análisis de tráfico es una solución basada en la nube que proporciona visibilidad sobre la actividad de usuarios y aplicaciones en las redes en la nube. En concreto, el análisis de tráfico analiza los registros de flujo de NSG de Azure Network Watcher para proporcionar información sobre el flujo de tráfico en su nube de Azure. Con Análisis de tráfico, puede:

Visualizar la actividad de la red en las suscripciones de Azure.
Identificar las zonas activas.
Proteger la red mediante el uso de información sobre los siguientes componentes para identificar amenazas:
- Abrir puertos
- Aplicaciones que intentan acceder a Internet.
- Máquinas virtuales (VM) que se conectan a redes no autorizadas.
Optimizar la implementación el rendimiento y la capacidad en la implementación de la red mediante la comprensión de los patrones de flujo de tráfico entre regiones de Azure e Internet.
Identificar los errores de configuración de la red que dan lugar a errores de conexión.

Motivos para usar Análisis de tráfico

Es esencial supervisar, administrar y conocer su propia red para no poner en peligro la seguridad, el cumplimiento y el rendimiento. Conocer su propio entorno es de gran importancia para protegerlo y optimizarlo. A menudo, debe conocer el estado actual de la red, incluida la siguiente información:

¿Quién se conecta a la red?
¿Desde dónde se conectan?
¿Qué puertos están abiertos a Internet?
¿Cuál es el comportamiento de red esperado?
¿Hay algún comportamiento irregular de la red?
¿Hay algún aumento repentino en el tráfico?

Las redes en la nube son diferentes de las redes empresariales locales. En las redes locales, los enrutadores y conmutadores admiten NetFlow y otros protocolos equivalentes. Puede usar estos dispositivos para recopilar datos sobre el tráfico de red IP a medida que entra o sale de una interfaz de red. Mediante el análisis de los datos de flujo de tráfico, puede crear un análisis del flujo y volumen del tráfico de red.

Con las redes virtuales de Azure, los registros de flujo de grupo de seguridad de red recopilan datos sobre la red. Estos registros proporcionan información sobre el tráfico IP de entrada y salida a través de un grupo de seguridad de red o una red virtual. Análisis de tráfico analiza los registros de flujo de NSG sin procesar y combina los datos de registro con inteligencia sobre seguridad, topología y geografía. Después, el análisis de tráfico extrae información sobre el flujo de tráfico en su entorno.

El análisis de tráfico proporciona la siguiente información:

Los hosts que más se comunican
Los protocolos de aplicación que más se comunican
Los pares de host más conversadores
El tráfico permitido y bloqueado
Tráfico entrante y saliente
Apertura de puertos de Internet
Las reglas menos permisivas
La distribución del tráfico por centro de datos, red virtual, subred o red no autorizada de Azure

Componentes claves

Para usar el análisis de tráfico, necesita los siguientes componentes:

Network Watcher: un servicio regional que puede usar para supervisar y diagnosticar problemas a nivel de escenario de red en Azure. Puede usar Network Watcher para activar y desactivar los registros de flujo de grupo de seguridad de red. Para más información, consulte ¿Qué es Azure Network Watcher?
Log Analytics: una herramienta de Azure Portal que se usa para trabajar con los datos de registros de Azure Monitor. Los registros de Azure Monitor es un servicio de Azure que recopila datos de supervisión y almacena los datos en un repositorio central. Estos datos pueden incluir eventos, datos de rendimiento o datos personalizados proporcionados mediante la API de Azure. Una vez recopilados estos datos, están disponibles para analizarlos, exportarlos y generar alertas sobre ellos. Las aplicaciones de supervisión, como Network Performance Monitor y el análisis de tráfico, usan como base los registros de Azure Monitor. Para más información, consulte Registros de Azure Monitor. Log Analytics proporciona una manera de editar y ejecutar consultas en los registros. También puede usar esta herramienta para analizar los resultados de la consulta. Para más información, consulte Introducción a Log Analytics en Azure Monitor.
Área de trabajo de Log Analytics: el entorno que almacena los datos de registro de Azure Monitor que pertenecen a una cuenta de Azure. Para más información sobre las áreas de trabajo de Log Analytics, consulte Introducción al área de trabajo de Log Analytics.
Además, necesita un grupo de seguridad de red habilitado para el registro de flujos si usa análisis de tráfico para analizar registros de flujo de NSG o una red virtual habilitada para el registro de flujos si usa análisis de tráfico para analizar registros de flujo de red virtual (versión preliminar):
- Grupo de seguridad de red (NSG): un recurso que contiene una lista de reglas de seguridad que permiten o deniegan el tráfico de red a los recursos conectados a una red virtual de Azure o desde allí. Los grupos de seguridad de red se pueden asociar a subredes, interfaces de red (NIC) que están asociadas a máquinas virtuales (Resource Manager) o máquinas virtuales individuales (modelo clásico). Para más información, consulte Introducción a los grupos de seguridad de red.
- Registros de flujo de NSG: información registrada sobre el tráfico de IP de entrada y salida a través de un grupo de seguridad de red. Estos registros de flujo se escriben en formato JSON y muestran:
  - Flujos de entrada y de salida por regla.
  - La NIC a la que se aplica el flujo.
  - Información sobre el flujo, como la dirección IP de origen y destino, el puerto de origen y destino, y el protocolo.
  - Estado del tráfico, como permitido o denegado.
  Para más información sobre los registros de flujo de NSG, vea Introducción a los registros de flujo de NSG.
- Azure Virtual Network (VNet) permite que diversos tipos de recursos de Azure se comuniquen de forma segura entre sí, con Internet y con las redes locales. Para más información, consulte Información general sobre Virtual Network.
- Registros de flujo de red virtual (versión preliminar):información registrada sobre el tráfico IP de entrada y salida a través de una red virtual. Estos registros de flujo se escriben en formato JSON y muestran:
  - Flujos salientes e entrantes.
  - Información sobre el flujo, como la dirección IP de origen y destino, el puerto de origen y destino, y el protocolo.
  - Estado del tráfico, como permitido o denegado.
  Para más información sobre los registros de flujo de VNet, vea Introducción a los registros de flujo de VNet.
  
  Nota:
  
  Para obtener información sobre las diferencias entre los registros de flujo de NSG y los registros de flujo de red virtual, consulte Registros de flujo de red virtual en comparación con los registros de flujo de NSG.

Funcionamiento de Análisis de tráfico

El análisis de tráfico examina los registros de flujo de grupo de seguridad de red sin procesar. A continuación, reduce el volumen de registro mediante la agregación de flujos que tienen una dirección IP de origen, una dirección IP de destino, un puerto de destino y un protocolo comunes.

Un ejemplo podría ser el Host 1 en la dirección IP 10.10.10.10 y el Host 2 en la dirección IP 10.10.20.10. Supongamos que estos dos hosts se comunican 100 veces durante una hora. El registro de flujo sin procesar tiene 100 entradas en este caso. Si estos hosts usan el protocolo HTTP en el puerto 80 en cada una de esas 100 interacciones, el registro reducido tiene una entrada. Esa entrada indica que el Host 1 y el Host 2 se comunicaron 100 veces durante una hora mediante el protocolo HTTP en el puerto 80.

Los registros reducidos se mejoran con información geográfica, de seguridad y topología y, luego, se almacenan en un área de trabajo de Log Analytics. En el diagrama siguiente, se muestra el flujo de datos:

Diagrama que muestra cómo fluyen los datos de tráfico de red desde un registro de NSG a un panel de análisis. Entre los pasos intermedios se incluyen la agregación y la mejora.

Requisitos previos

Los requisitos previos de Análisis de tráfico son los siguientes:

Una suscripción activa a Network Watcher. Para obtener más información, consulte Habilitar o deshabilitar Azure Network Watcher.
Registros de flujo de NSG habilitados para los grupos de seguridad de red que quiere supervisar o los registros de flujo de red virtual habilitados para la red virtual que desea supervisar. Para más información, consulte Creación de un registro de flujo o Habilitación de registrosde flujo de red virtual.
Un área de trabajo de Azure Log Analytics con acceso de lectura y escritura. Para más información, consulte Creación de un área de trabajo de Log Analytics.
Uno de los siguientes roles integrados de Azure debe asignarse a su cuenta:

Modelo de implementación Role

Resource Manager Propietario

Colaborador

Colaborador^{de red 1} y Colaborador^{de supervisión 2}

Si ninguno de los roles integrados anteriores se asigna a su cuenta, asigne un rol personalizado a su cuenta. El rol personalizado debe admitir las siguientes acciones a nivel de suscripción:
- Microsoft.Network/applicationGateways/read
- Microsoft.Network/connections/read
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/localNetworkGateways/read
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/routeTables/read
- Microsoft.Network/virtualNetworkGateways/read
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/expressRouteCircuits/read
- Microsoft.OperationalInsights/workspaces/read¹
- Microsoft.OperationalInsights/workspaces/sharedkeys/action¹
- Microsoft.Insights/dataCollectionRules/read²
- Microsoft.Insights/dataCollectionRules/write²
- Microsoft.Insights/dataCollectionRules/delete²
- Microsoft.Insights/dataCollectionEndpoints/read²
- Microsoft.Insights/dataCollectionEndpoints/write²
- Microsoft.Insights/dataCollectionEndpoints/delete²
^{El colaborador de red} no cubre las acciones de Microsoft.OperationalInsights/workspaces/*.

² Solo es necesario cuando se usa análisis de tráfico para analizar los registros de flujo de red virtual (versión preliminar). Para más información, consulte Reglas de recopilación de datos en Azure Monitor y puntos de conexión de recopilación de datos en Azure Monitor.

Para obtener información sobre cómo comprobar los roles asignados a un usuario para una suscripción, consulte Enumeración de asignaciones de roles de Azure mediante el Azure Portal: Si no puede ver las asignaciones de roles, póngase en contacto con el administrador de la suscripción correspondiente.

Precaución

Los recursos de punto de conexión de recopilación de datos y regla de recopilación de datos se crean y administran mediante análisis de tráfico. Si realiza alguna operación en estos recursos, es posible que el análisis de tráfico no funcione según lo previsto.

Modelo de implementación	Role
Resource Manager	Propietario
	Colaborador
	Colaborador^{de red 1} y Colaborador^{de supervisión 2}

Precios

Para más información sobre los precios, consulte Precios de Network Watcher y Preciosde Azure Monitor.

Preguntas más frecuentes sobre análisis de tráfico

Para obtener respuestas a las preguntas más frecuentes sobre el análisis de tráfico, consulte Preguntas más frecuentes sobre el análisis de tráfico.

Para aprender a usar el análisis de tráfico, consulte Escenarios de uso.
Para comprender el esquema y los detalles de procesamiento del análisis de tráfico, consulte Esquema y agregación de datos de análisis de tráfico.