Traffic Analytics – áttekintés

  • Cikk

A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. A traffic analytics az Azure Network Watcher folyamatnaplóit elemzi, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. A forgalomelemzéssel az alábbiakat végezheti el:

  • Az Azure-előfizetések hálózati tevékenységeinek megjelenítése.

  • Azonosítsa a gyakori pontokat.

  • Biztonságossá teheti a hálózatot a következő összetevőkkel kapcsolatos információk használatával a fenyegetések azonosításához:

    • Nyitott portok
    • Az internethez hozzáférni próbáló alkalmazások
    • Virtuális gépek (VM-ek), amelyek csatlakoznak a zsiványhálózatokhoz

  • Optimalizálhatja a hálózati üzembe helyezést a teljesítmény és a kapacitás szempontjából az Azure-régiók és az internet forgalmi mintáinak megismerésével.

  • Rögzítse a hálózati helytelen konfigurációkat, amelyek sikertelen kapcsolatokhoz vezethetnek a hálózaton.

Miért érdemes forgalomelemzést használni?

Elengedhetetlen a saját hálózat figyelése, kezelése és ismerete a kompromisszummentes biztonság, megfelelőség és teljesítmény érdekében. A saját környezet ismerete rendkívül fontos a védelem és az optimalizálás szempontjából. Gyakran ismernie kell a hálózat aktuális állapotát, beleértve a következő információkat:

  • Ki csatlakozik a hálózathoz?
  • Honnan csatlakoznak?
  • Mely portok vannak nyitva az interneten?
  • Mi a várt hálózati viselkedés?
  • Van-e szabálytalan hálózati viselkedés?
  • Hirtelen megnő a forgalom?

A felhőhálózatok eltérnek a helyszíni vállalati hálózatoktól. A helyszíni hálózatokban az útválasztók és kapcsolók támogatják a NetFlow-t és más, egyenértékű protokollokat. Ezekkel az eszközökkel adatokat gyűjthet az IP-hálózati forgalomról, amikor belép vagy kilép egy hálózati adapterről. A forgalmi adatok elemzésével létrehozhatja a hálózati forgalom és a kötet elemzését.

Az Azure-beli virtuális hálózatokban a folyamatnaplók adatokat gyűjtenek a hálózatról. Ezek a naplók egy hálózati biztonsági csoporton vagy virtuális hálózaton keresztül információt nyújtanak a bejövő és kimenő IP-forgalomról. A Traffic Analytics elemzi a nyers folyamatnaplókat, és egyesíti a naplóadatokat a biztonsággal, a topológiával és a földrajzi helyzettel kapcsolatos intelligenciával. A Traffic Analytics ezután betekintést nyújt a környezet forgalmi folyamatába.

A Traffic Analytics a következő információkat nyújtja:

  • A legtöbb kommunikáló gazdagép
  • A legtöbbet kommunikáló alkalmazásprotokollok
  • A legtöbb konvergens gazdagéppár
  • Engedélyezett és blokkolt forgalom
  • Bejövő és kimenő forgalom
  • Internetes portok megnyitása
  • A legtöbb blokkolási szabály
  • Forgalomeloszlás Azure-adatközpontonként, virtuális hálózaton, alhálózatokon vagy rogue-hálózatonként

A legfontosabb összetevők

A forgalomelemzés használatához a következő összetevőkre van szüksége:

  • Network Watcher: Regionális szolgáltatás, amellyel hálózati forgatókönyv szintjén figyelheti és diagnosztizálhatja a feltételeket az Azure-ban. A Network Watcher használatával be- és kikapcsolhatja a hálózati biztonsági csoport folyamatnaplóit. További információ: Mi az Az Azure Network Watcher?

  • Log Analytics: Az Azure Portalon az Azure Monitor-naplók adatainak kezeléséhez használt eszköz. Az Azure Monitor-naplók egy Olyan Azure-szolgáltatás, amely monitorozási adatokat gyűjt, és az adatokat egy központi adattárban tárolja. Ezek az adatok tartalmazhatnak eseményeket, teljesítményadatokat vagy az Azure API-on keresztül biztosított egyéni adatokat. Az adatok összegyűjtése után az adatok riasztáshoz, elemzéshez és exportáláshoz érhetők el. Az olyan alkalmazások monitorozása, mint a hálózati teljesítményfigyelő és a forgalomelemzés, az Azure Monitor-naplókat használják alapként. További információ: Azure Monitor-naplók. A Log Analytics lehetővé teszi a naplók lekérdezéseinek szerkesztését és futtatását. Ezzel az eszközzel is elemezheti a lekérdezési eredményeket. További információ: A Log Analytics áttekintése az Azure Monitorban.

  • Log Analytics-munkaterület: Az Azure Monitor egy Azure-fiókra vonatkozó naplóadatait tároló környezet. A Log Analytics-munkaterületekkel kapcsolatos további információkért lásd a Log Analytics-munkaterület áttekintését.

  • Emellett a forgalomnaplózáshoz engedélyezve kell lennie egy hálózati biztonsági csoportnak, ha forgalomelemzést használ a hálózati biztonsági csoportok folyamatnaplóinak elemzéséhez, vagy egy olyan virtuális hálózatra, amely engedélyezve van a forgalomnaplózáshoz, ha forgalomelemzést használ a virtuális hálózati folyamatnaplók elemzéséhez:

    • Hálózati biztonsági csoport (NSG):: Olyan biztonsági szabályok listáját tartalmazó erőforrás, amely engedélyezi vagy letiltja az Azure-beli virtuális hálózathoz csatlakozó erőforrások hálózati forgalmát. A hálózati biztonsági csoportok társíthatók a virtuális gépekhez (Resource Manager) csatlakoztatott alhálózatokhoz, hálózati adapterekhez (hálózati adapterekhez) vagy egyéni (klasszikus) virtuális gépekhez. További információ: Hálózati biztonsági csoport áttekintése.

    • Hálózati biztonsági csoport folyamatnaplói: Rögzített adatok a hálózati biztonsági csoporton keresztüli bejövő és kimenő IP-forgalomról. A hálózati biztonsági csoport folyamatnaplói JSON formátumban vannak megírva, és a következőket tartalmazzák:

      • Kimenő és bejövő folyamatok szabályonként.
      • Az a hálózati adapter, amelyre a folyamat vonatkozik.
      • Információk a folyamatról, például a forrás- és cél IP-címekről, a forrás- és célportokról, valamint a protokollról.
      • A forgalom állapota, például engedélyezett vagy elutasítva.

      A hálózati biztonsági csoport folyamatnaplóiról további információt a hálózati biztonsági csoport folyamatnaplóinak áttekintésében talál.

    • Virtuális hálózat (VNet): Olyan erőforrás, amely lehetővé teszi, hogy számos Azure-erőforrás biztonságosan kommunikáljon egymással, az internettel és a helyszíni hálózatokkal. További információ: Virtuális hálózat áttekintése.

    • Virtuális hálózati folyamatnaplók: Rögzített adatok a virtuális hálózaton keresztüli bejövő és kimenő IP-forgalomról. A virtuális hálózati folyamatnaplók JSON formátumban vannak megírva, és a következőket tartalmazzák:

      • Kimenő és bejövő folyamatok.
      • Információk a folyamatról, például a forrás- és cél IP-címekről, a forrás- és célportokról, valamint a protokollról.
      • A forgalom állapota, például engedélyezett vagy elutasítva.

      A virtuális hálózati folyamatnaplókkal kapcsolatos további információkért tekintse meg a virtuális hálózati folyamatok naplóinak áttekintését.

      Feljegyzés

      A hálózati biztonsági csoport folyamatnaplói és a virtuális hálózati folyamatnaplók közötti különbségekkel kapcsolatos információkért tekintse meg a virtuális hálózati forgalom naplóit a hálózati biztonsági csoport folyamatnaplóihoz képest.

A forgalomelemzés működése

A Traffic Analytics a nyers folyamatnaplókat vizsgálja. Ezt követően csökkenti a naplókötetet a közös forrás IP-címmel, cél IP-címmel, célporttal és protokolllal rendelkező folyamatok összesítésével.

Ilyen lehet például az 1. gazdagép a 10.10.10.10 IP-címen és a 2. gazdagép a 10.10.20.10 IP-címen. Tegyük fel, hogy ez a két gazdagép 100-szor kommunikál egy óra alatt. Ebben az esetben a nyers folyamatnapló 100 bejegyzést tartalmaz. Ha ezek a gazdagépek a 80-as porton a HTTP protokollt használják mind a 100 interakcióhoz, a csökkentett napló egy bejegyzéssel rendelkezik. Ez a bejegyzés azt állítja, hogy az 1. gazdagép és a 2. gazdagép 100-szor kommunikált egy óra alatt a 80-as portON található HTTP protokoll használatával.

A csökkentett naplókat földrajzi, biztonsági és topológiai adatokkal bővítik, majd egy Log Analytics-munkaterületen tárolják. Az alábbi ábra az adatfolyamot mutatja be:

Diagram, amely bemutatja, hogyan áramlik a hálózati forgalom adatai egy hálózati biztonsági csoport naplójából egy elemzési irányítópultra. A középső lépések közé tartozik az összesítés és a fejlesztés.

Előfeltételek

A forgalomelemzéshez a következő előfeltételek szükségesek:

  • Network Watcher-kompatibilis előfizetés. További információ: Az Azure Network Watcher engedélyezése vagy letiltása.

  • A figyelni kívánt hálózati biztonsági csoportokhoz engedélyezett hálózati biztonsági csoportok vagy a figyelni kívánt virtuális hálózat virtuális hálózati folyamatnaplói engedélyezettek. További információ: Hálózati biztonsági csoport folyamatnaplójának létrehozása vagy Virtuális hálózati folyamatnapló létrehozása.

  • Egy Azure Log Analytics-munkaterület olvasási és írási hozzáféréssel. További információ: Log Analytics-munkaterület létrehozása.

  • Az alábbi beépített Azure-szerepkörök egyikét kell hozzárendelni a fiókjához:

    Üzembehelyezési modell Szerepkör
    Resource Manager Tulajdonos
    Közreműködő
    1. hálózati közreműködőés 2. monitorozási közreműködő

    Ha az előző beépített szerepkörök egyike sem van hozzárendelve a fiókjához, rendeljen hozzá egy egyéni szerepkört a fiókjához. Az egyéni szerepkörnek az előfizetés szintjén a következő műveleteket kell támogatnia:

    • Microsoft.Network/applicationGateways/read
    • Microsoft.Network/connections/read
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/localNetworkGateways/read
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/routeTables/read
    • Microsoft.Network/virtualNetworkGateways/read
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/expressRouteCircuits/read
    • Microsoft.OperationalInsights/workspaces/read1
    • Microsoft.OperationalInsights/workspaces/sharedkeys/action1
    • Microsoft.Insights/dataCollectionRules/read2
    • Microsoft.Insights/dataCollectionRules/write2
    • Microsoft.Insights/dataCollectionRules/delete2
    • Microsoft.Insights/dataCollectionEndpoints/read2
    • Microsoft.Insights/dataCollectionEndpoints/write2
    • Microsoft.Insights/dataCollectionEndpoints/delete2

    1 A hálózati közreműködő nem fedi le Microsoft.OperationalInsights/workspaces/* a műveleteket.

    2 Csak akkor szükséges, ha forgalomelemzést használ a virtuális hálózati folyamatnaplók elemzéséhez. További információ: Adatgyűjtési szabályok az Azure Monitorban és adatgyűjtési végpontok az Azure Monitorban.

    Ha tudni szeretné, hogyan ellenőrizheti a felhasználóhoz hozzárendelt szerepköröket egy előfizetéshez, olvassa el az Azure-szerepkör-hozzárendelések listázása az Azure Portalon című témakört. Ha nem látja a szerepkör-hozzárendeléseket, forduljon az adott előfizetés rendszergazdájához.

    Figyelemfelhívás

    Az adatgyűjtési szabályt és az adatgyűjtési végpont erőforrásait a forgalomelemzés hozza létre és kezeli. Ha bármilyen műveletet hajt végre ezeken az erőforrásokon, előfordulhat, hogy a forgalomelemzés nem a várt módon működik.

Díjszabás

A díjszabás részleteiért tekintse meg a Network Watcher díjszabását és az Azure Monitor díjszabását.

Forgalomelemzés (GYIK)

A forgalomelemzéssel kapcsolatos leggyakrabban feltett kérdésekre a Traffic Analytics gyakori kérdéseiben talál választ.

Kapcsolódó tartalom