Panoramica dell'analisi del traffico

Articolo
11/27/2023

Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nella rete cloud. In particolare, analisi del traffico analizza i log dei flussi di Azure Network Watcher per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Con Analisi del traffico è possibile:

Visualizzare l'attività della rete nelle sottoscrizioni di Azure.
Identificare le aree sensibili.
Proteggere la rete usando le informazioni sui componenti seguenti per identificare le minacce:
- Aprire le porte
- Applicazioni che tentano di accedere a Internet
- Macchine virtuali che si connettono a reti non autorizzate
Ottimizzare la distribuzione di rete per prestazioni e capacità comprendendo i modelli di flusso del traffico tra aree di Azure e Internet.
Individuare le configurazioni di rete errate che possono causare connessioni non riuscite nella rete.

Perché usare Analisi del traffico?

È fondamentale monitorare, gestire e conoscere la propria rete per la sicurezza, la conformità e le prestazioni non compromesse. Per proteggere e ottimizzare l'ambiente, è indispensabile conoscerlo. Spesso è necessario conoscere lo stato corrente della rete, incluse le informazioni seguenti:

Chi si connette alla rete?
Da dove si connettono?
Quali porte sono aperte a Internet?
Qual è il comportamento previsto della rete?
C'è un comportamento di rete irregolare?
Ci sono aumenti improvvisi del traffico?

Le reti cloud sono diverse dalle reti aziendali locali. Nelle reti locali, i router e i commutatori supportano NetFlow e altri protocolli equivalenti. È possibile usare questi dispositivi per raccogliere dati sul traffico di rete IP durante l'ingresso o l'uscita da un'interfaccia di rete. Analizzando i dati sul flusso di traffico, è possibile compilare un'analisi del flusso e del volume del traffico di rete.

Con le reti virtuali di Azure, i log dei flussi raccolgono dati sulla rete. Questi log forniscono informazioni sul traffico IP in ingresso e in uscita tramite un gruppo di sicurezza di rete o una rete virtuale. Analisi del traffico analizza i log di flusso non elaborati e combina i dati di log con informazioni dettagliate sulla sicurezza, la topologia e l'area geografica. Analisi del traffico offre quindi informazioni dettagliate sul flusso del traffico nell'ambiente in uso.

Analisi del traffico fornisce le informazioni seguenti:

La maggior parte degli host di comunicazione
Protocolli dell'applicazione con la maggior parte delle comunicazioni
La maggior parte delle coppie host conversing
Traffico consentito e bloccato
Traffico in ingresso e in uscita
Porte Internet aperte
Regole di blocco più frequenti
Distribuzione del traffico per data center di Azure, rete virtuale, subnet o rete non autorizzata

Componenti principali

Per usare l'analisi del traffico, sono necessari i componenti seguenti:

Network Watcher: un servizio a livello di area che è possibile usare per monitorare e diagnosticare le condizioni a livello di scenario di rete in Azure. È possibile usare Network Watcher per attivare e disattivare i log dei flussi del gruppo di sicurezza di rete. Per altre informazioni, vedere Che cos'è Azure Network Watcher?
Log Analytics: strumento nel portale di Azure usato per usare i dati dei log di Monitoraggio di Azure. Log di Monitoraggio di Azure è un servizio di Azure che raccoglie i dati di monitoraggio e archivia i dati in un repository centrale. Questi dati possono includere eventi, dati sulle prestazioni o dati personalizzati forniti tramite l'API di Azure. Dopo la raccolta di questi dati, è disponibile per avvisi, analisi ed esportazione. Le applicazioni di monitoraggio, ad esempio monitoraggio delle prestazioni di rete e analisi del traffico, usano i log di Monitoraggio di Azure come base. Per altre informazioni, vedere Log di Monitoraggio di Azure. Log Analytics consente di modificare ed eseguire query sui log. È anche possibile usare questo strumento per analizzare i risultati delle query. Per altre informazioni, vedere Panoramica di Log Analytics in Monitoraggio di Azure.
Area di lavoro Log Analytics: ambiente in cui sono archiviati i dati di log di Monitoraggio di Azure relativi a un account Azure. Per altre informazioni sulle aree di lavoro Log Analytics, vedere Panoramica dell'area di lavoro Log Analytics.
Inoltre, è necessario un gruppo di sicurezza di rete abilitato per la registrazione dei flussi se si usa l'analisi del traffico per analizzare i log dei flussi del gruppo di sicurezza di rete o una rete virtuale abilitata per la registrazione dei flussi se si usa l'analisi del traffico per analizzare i log dei flussi della rete virtuale (anteprima):
- Gruppo di sicurezza di rete: una risorsa che contiene un elenco di regole di sicurezza che consentono o negano il traffico di rete da o verso risorse connesse a una rete virtuale di Azure. I gruppi di sicurezza di rete possono essere associati a subnet, interfacce di rete (NIC) collegate a macchine virtuali (Resource Manager) o a singole macchine virtuali (versione classica). Per altre informazioni, vedere Panoramica dei gruppi di sicurezza di rete.
- Log dei flussi del gruppo di sicurezza di rete: informazioni registrate sul traffico IP in ingresso e in uscita tramite un gruppo di sicurezza di rete. I log dei flussi del gruppo di sicurezza di rete vengono scritti in formato JSON e includono:
  - Flussi in uscita e in ingresso per ogni regola.
  - La scheda di interfaccia di rete che si applica al flusso.
  - Informazioni sul flusso, ad esempio gli indirizzi IP di origine e di destinazione, le porte di origine e di destinazione e il protocollo.
  - Stato del traffico, ad esempio consentito o negato.
  Per altre informazioni sui log dei flussi dei gruppi di sicurezza di rete, vedere Panoramica dei log dei flussi dei gruppi di sicurezza di rete.
- Rete virtuale :una risorsa che consente a molti tipi di risorse di Azure di comunicare in modo sicuro tra loro, Internet e reti locali. Per altre informazioni, vedere Panoramica della rete virtuale.
- Log del flusso di rete virtuale (anteprima): informazioni registrate sul traffico IP in ingresso e in uscita attraverso una rete virtuale. I log dei flussi di rete virtuale vengono scritti in formato JSON e includono:
  - Flussi in uscita e in ingresso.
  - Informazioni sul flusso, ad esempio gli indirizzi IP di origine e di destinazione, le porte di origine e di destinazione e il protocollo.
  - Stato del traffico, ad esempio consentito o negato.
  Per altre informazioni sui log dei flussi di rete virtuale, vedere Panoramica dei log dei flussi di rete virtuale.
  
  Nota
  
  Per informazioni sulle differenze tra i log dei flussi del gruppo di sicurezza di rete e i log dei flussi della rete virtuale, vedere Log dei flussi di rete virtuale rispetto ai log dei flussi del gruppo di sicurezza di rete

Come funziona Analisi del traffico

Analisi del traffico esamina i log di flusso non elaborati. Riduce quindi il volume di log aggregando i flussi con un indirizzo IP di origine comune, un indirizzo IP di destinazione, una porta di destinazione e un protocollo.

Ad esempio, l'host 1 nell'indirizzo IP 10.10.10.10 e l'host 2 all'indirizzo IP 10.10.20.10. Si supponga che questi due host comunichino 100 volte in un periodo di un'ora. In questo caso, il log del flusso non elaborato include 100 voci. Se questi host usano il protocollo HTTP sulla porta 80 per ognuna di queste 100 interazioni, il log ridotto ha una voce. Tale voce indica che Host 1 e Host 2 hanno comunicato 100 volte in un periodo di un'ora usando il protocollo HTTP sulla porta 80.

I log ridotti vengono migliorati con informazioni geografiche, di sicurezza e topologia e quindi archiviate in un'area di lavoro Log Analytics. Il diagramma seguente illustra il flusso di dati:

Diagramma che illustra il flusso dei dati del traffico di rete da un log del gruppo di sicurezza di rete a un dashboard di analisi. I passaggi intermedi includono l'aggregazione e il miglioramento.

Prerequisiti

Analisi del traffico prevede i prerequisiti seguenti:

Una sottoscrizione abilitata per Network Watcher. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.
Log dei flussi del gruppo di sicurezza di rete abilitati per i gruppi di sicurezza di rete che si desidera monitorare o i log dei flussi di rete virtuale abilitati per la rete virtuale da monitorare. Per altre informazioni, vedere Creare un log di flusso o Abilitare i log dei flussi della rete virtuale.
Un'area di lavoro Log Analytics di Azure con accesso in lettura e scrittura. Per altre informazioni, vedere Creare un'area di lavoro Log Analytics.
Uno dei ruoli predefiniti di Azure seguenti deve essere assegnato all'account:

Modello di distribuzione Ruolo

Gestione risorse Proprietario

Collaboratore

Collaboratore rete 1^e Collaboratore^{monitoraggio 2}

Se nessun ruolo predefinito precedente viene assegnato all'account, assegnare un ruolo personalizzato all'account. Il ruolo personalizzato deve supportare le azioni seguenti a livello di sottoscrizione:
- Microsoft.Network/applicationGateways/read
- Microsoft.Network/connections/read
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/localNetworkGateways/read
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/routeTables/read
- Microsoft.Network/virtualNetworkGateways/read
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/expressRouteCircuits/read
- Microsoft.OperationalInsights/workspaces/read¹
- Microsoft.OperationalInsights/workspaces/sharedkeys/action¹
- Microsoft.Insights/dataCollectionRules/read²
- Microsoft.Insights/dataCollectionRules/write²
- Microsoft.Insights/dataCollectionRules/delete²
- Microsoft.Insights/dataCollectionEndpoints/read²
- Microsoft.Insights/dataCollectionEndpoints/write²
- Microsoft.Insights/dataCollectionEndpoints/delete²
¹ Collaboratore rete non copre Microsoft.OperationalInsights/workspaces/* le azioni.

² È necessario solo quando si usa l'analisi del traffico per analizzare i log dei flussi della rete virtuale (anteprima). Per altre informazioni, vedere Regole di raccolta dati in Monitoraggio di Azure ed endpoint di raccolta dati in Monitoraggio di Azure.

Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente.

Attenzione

Le risorse dell'endpoint di raccolta dati e raccolta dati vengono create e gestite dall'analisi del traffico. Se si esegue un'operazione su queste risorse, l'analisi del traffico potrebbe non funzionare come previsto.

Modello di distribuzione	Ruolo
Gestione risorse	Proprietario
	Collaboratore
	Collaboratore rete 1^e Collaboratore^{monitoraggio 2}

Prezzi

Per informazioni dettagliate sui prezzi, vedere Prezzi di Network Watcher e Prezzi di Monitoraggio di Azure.

Analisi del traffico (domande frequenti)

Per ottenere risposte alle domande più frequenti sull'analisi del traffico, vedere Domande frequenti sull'analisi del traffico.

Per informazioni su come usare l'analisi del traffico, vedere Scenari di utilizzo.
Per comprendere lo schema e l'elaborazione dei dettagli dell'analisi del traffico, vedere Schema e aggregazione dei dati in Analisi del traffico.