Condividi tramite

Pianificare l'analisi del traffico

  • Articolo

Sapere cosa entra e esce dalla rete è essenziale per mantenere il comportamento di sicurezza. È necessario acquisire tutto il traffico in ingresso e in uscita ed eseguire analisi quasi in tempo reale sul traffico per rilevare le minacce e attenuare le vulnerabilità di rete.

Questa sezione illustra le considerazioni chiave e gli approcci consigliati per l'acquisizione e l'analisi del traffico all'interno di una rete virtuale di Azure.

Considerazioni relative alla progettazione

Azure Gateway VPN: Gateway VPN consente di eseguire un'acquisizione di pacchetti in un gateway VPN, una connessione specifica, più tunnel, traffico unidirezionale o traffico bidirezionale. Un massimo di cinque acquisizioni di pacchetti può essere eseguito in parallelo per ogni gateway. Possono essere acquisizioni di pacchetti a livello di gateway e per ogni connessione. Per altre informazioni, vedere Acquisizione pacchetti VPN.

Azure Network Watcher include più strumenti da considerare se si usano soluzioni IaaS (Infrastructure-as-a-Service):

  • Acquisizione pacchetti: Network Watcher consente di creare sessioni di pacchetti di acquisizione temporanea sul traffico diretto da e verso una macchina virtuale. Ogni sessione di acquisizione pacchetti ha un limite di tempo. Al termine della sessione, l'acquisizione pacchetti crea un pcap file che è possibile scaricare e analizzare. Network Watcher l'acquisizione di pacchetti non può offrire il mirroring delle porte continuo con questi vincoli di tempo. Per altre informazioni, vedere Panoramica dell'acquisizione di pacchetti.

  • Log dei flussi del gruppo di sicurezza di rete ( NSG) - I log dei flussi del gruppo di sicurezza di rete acquisiscno informazioni sul traffico IP che scorre attraverso i gruppi di sicurezza di rete. Network Watcher archivia i log dei flussi del gruppo di sicurezza di rete come file JSON nell'account di archiviazione di Azure. È possibile esportare i log del flusso del gruppo di sicurezza di rete in uno strumento esterno per l'analisi. Per altre informazioni, vedere Panoramica dei log dei flussi del gruppo di sicurezza di rete e opzioni di analisi dei dati.

  • Analisi del traffico - Analisi del traffico inserisce e analizza i log dei flussi del gruppo di sicurezza di rete. Crea un dashboard di informazioni dettagliate sui log dei flussi del gruppo di sicurezza di rete e genera una visualizzazione mappa geografica delle risorse per un'analisi semplice. Per altre informazioni, vedere Panoramica di Analisi del traffico.

Suggerimenti per la progettazione

  • Abilitare Analisi del traffico. Lo strumento consente di acquisire e analizzare facilmente il traffico di rete con la visualizzazione predefinita del dashboard e l'analisi della sicurezza.

  • Se sono necessarie più funzionalità rispetto alle offerte di Analisi del traffico, è possibile integrare Analisi del traffico con una delle soluzioni partner. Le soluzioni partner disponibili sono disponibili nella Azure Marketplace.

  • Usare Network Watcher'acquisizione di pacchetti regolarmente per ottenere una comprensione più dettagliata del traffico di rete. Eseguire sessioni di acquisizione pacchetti in vari momenti durante la settimana per ottenere una buona comprensione dei tipi di traffico che attraversano la rete.

  • Non sviluppare una soluzione personalizzata per il mirroring del traffico per distribuzioni di grandi dimensioni. I problemi di complessità e supporto tendono a rendere inefficienti le soluzioni personalizzate.

Altre piattaforme

  • Gli impianti di produzione hanno spesso requisiti di tecnologia operativa (OT) che includono il mirroring del traffico. Microsoft Defender per IoT può connettersi a un mirror su un commutatore o un punto di accesso terminale (TAP) per sistemi di controllo industriale (ICS) o dati di controllo e acquisizione dei dati (SCADA). Per altre informazioni, vedere Metodi di mirroring del traffico per il monitoraggio OT.

  • Il mirroring del traffico supporta strategie avanzate di distribuzione del carico di lavoro nello sviluppo di applicazioni. Con il mirroring del traffico, è possibile eseguire test di regressione pre-produzione sul traffico del carico di lavoro in tempo reale o valutare i processi di controllo della qualità e controllo della sicurezza offline.

  • Quando si usa servizio Azure Kubernetes (servizio Azure Kubernetes), assicurarsi che il controller di ingresso supporti il mirroring del traffico se fa parte del carico di lavoro. I controller di ingresso comuni che supportano il mirroring del traffico sono Istio, NGINX, Traefik.