トラフィックの検査を計画する
ネットワークの送受信内容を把握することは、セキュリティ体制を維持するために不可欠です。 すべての受信トラフィックと送信トラフィックをキャプチャし、そのトラフィックに対してほぼリアルタイムの分析を実行して脅威を検出し、ネットワークの脆弱性を軽減する必要があります。
このセクションでは、Azure 仮想ネットワーク内のトラフィックをキャプチャおよび分析するための主な考慮事項と推奨される方法について説明します。
設計上の考慮事項
Azure VPN Gateway - VPN Gatewayでは、VPN ゲートウェイ、特定の接続、複数のトンネル、一方向トラフィック、または双方向トラフィックでパケット キャプチャを実行できます。 ゲートウェイごとに最大 5 つのパケット キャプチャを並列実行することができます。 ゲートウェイ全体および接続ごとのパケット キャプチャを指定できます。 詳細については、「 VPN パケット キャプチャ」を参照してください。
Azure Network Watcher には、サービスとしてのインフラストラクチャ (IaaS) ソリューションを使用している場合に考慮する必要がある複数のツールがあります:
パケット キャプチャ - Network Watcherを使用すると、仮想マシンとの間で送受信されるトラフィックに対して一時的なキャプチャ パケット セッションを作成できます。 各パケット キャプチャ セッションには時間制限があります。 セッションが終了すると、パケット キャプチャによって、ダウンロードおよび分析できる
pcap
ファイルが作成されます。 Network Watcherパケット キャプチャは、これらの時間制約を伴う継続的なポート ミラーリングを提供することはできません。 詳細については、 パケット キャプチャの概要を参照してください。ネットワーク セキュリティ グループ (NSG) フロー ログ - NSG フロー ログは、NSG を通過する IP トラフィックに関する情報をキャプチャします。 Network Watcherは、NSG フロー ログを JSON ファイルとして Azure Storage アカウントに格納します。 NSG フロー ログは、分析用の外部ツールにエクスポートできます。 詳細については、NSG フロー ログの 概要 と データ分析オプションに関するページを参照してください。
Traffic Analytics - Traffic Analytics では、NSG フロー ログを取り込んで分析します。 NSG フロー ログに関する分析情報のダッシュボードが作成され、簡単に分析できるようにリソースの地域マップ ビューが生成されます。 詳細については、Traffic Analyticsの概要を参照してください。
設計の推奨事項
Traffic Analyticsを有効にする。 このツールを使用すると、すぐに使用できるダッシュボードの視覚化とセキュリティ分析を使用して、ネットワーク トラフィックを簡単にキャプチャおよび分析できます。
Traffic Analytics が提供する機能よりも多くの機能が必要な場合は、パートナー ソリューションの 1 つで Traffic Analytics を補完できます。 Azure Marketplace で利用可能なパートナーソリューションを検索できます。
Network Watcherパケット キャプチャを定期的に使用して、ネットワーク トラフィックをより詳細に理解します。 1 週間を通してさまざまな時間にパケット キャプチャ セッションを実行して、ネットワークを通過するトラフィックの種類をよく理解します。
大規模なデプロイのトラフィックをミラーリングするカスタム ソリューションを開発しないでください。 複雑さとサポート可能性の問題により、カスタム ソリューションが非効率的になる傾向があります。
その他のプラットフォーム
多くの場合、製造プラントには、トラフィック ミラーリングを含む運用技術 (OT) 要件があります。 Microsoft Defender for IoT は、産業用コントロールシステム (ICS) または監督用コントロールおよびデータ取得 (SCADA) データ用のスイッチまたはターミナル アクセス ポイント (TAP) のミラーに接続できます。 詳細については、 OT モニタリングのためのトラフィック ミラーリング方法に関するページを参照してください。
トラフィック ミラーリングは、アプリケーション開発における高度なワークロードデプロイ戦略をサポートします。 トラフィック ミラーリングを使用すると、ライブ ワークロード トラフィックに対して実稼働前回帰テストを実行したり、品質保証とセキュリティ保証プロセスをオフラインで評価したりできます。
Azure Kubernetes Service (AKS) を使用する場合は、ワークロードの一部である場合は、イングレス コントローラーがトラフィック ミラーリングをサポートしていることを確認します。 トラフィック ミラーリングをサポートする一般的なイングレス コントローラーは、 Istio、 NGINX、 Traefikです。