트래픽 분석 개요

아티클
04/30/2024

트래픽 분석은 클라우드 네트워크에서 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. 특히 트래픽 분석은 Azure Network Watcher 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공합니다. 트래픽 분석을 사용하면 다음과 같은 작업을 수행할 수 있습니다.

Azure 구독에서 네트워크 활동을 시각화합니다.
핫스폿을 식별합니다.
위협을 식별하기 위해 다음 구성 요소에 대한 정보를 사용하여 네트워크를 보호합니다.
- 포트 열기
- 인터넷 액세스를 시도하는 애플리케이션
- 악성 네트워크에 연결하는 VM(가상 머신)
Azure 지역과 인터넷의 트래픽 흐름 패턴을 이해하여 성능과 용량에 맞게 네트워크 배포를 최적화합니다.
네트워크에서 연결 실패로 이어질 수 있는 네트워크 구성 오류를 정확히 찾아냅니다.

트래픽 분석이란?

보안, 규정 준수 및 성능이 저하되지 않도록 네트워크를 모니터링하고 관리하고 파악하기 위해 필요합니다. 네트워크를 보호하고 최적화하는 데 있어서 가장 중요한 것은 사용자가 자신의 정확히 아는 것입니다. 다음 정보를 포함하여 네트워크의 현재 상태를 알아야 하는 경우가 많습니다.

누가 네트워크에 연결하고 있나요?
어디에서 연결하고 있나요?
어떤 포트가 인터넷에 열려 있나요?
예상되는 네트워크 동작은 무엇인가요?
불규칙한 네트워크 동작이 있나요?
트래픽이 갑자기 증가하나요?

클라우드 네트워크는 온-프레미스 엔터프라이즈 네트워크와 다릅니다. 온-프레미스 네트워크에서 라우터와 스위치는 NetFlow 및 기타 동등한 프로토콜을 지원합니다. 이러한 디바이스를 사용하여 네트워크 인터페이스에 들어오거나 나갈 때 IP 네트워크 트래픽에 대한 데이터를 수집할 수 있습니다. 트래픽 흐름 데이터를 분석하면 네트워크 트래픽 흐름 및 볼륨을 분석할 수 있습니다.

Azure Virtual Network를 사용하면 흐름 로그가 네트워크에 대한 데이터를 수집합니다. 이러한 로그는 네트워크 보안 그룹 또는 가상 네트워크를 통한 수신 및 송신 IP 트래픽에 대한 정보를 제공합니다. 트래픽 분석은 원시 흐름 로그를 분석하고 로그 데이터를 보안, 토폴로지, 지리에 대한 인텔리전스와 결합합니다. 그런 다음 트래픽 분석은 환경의 트래픽 흐름에 대한 인사이트를 제공합니다.

트래픽 분석은 다음 정보를 제공합니다.

가장 많이 통신하는 호스트
가장 많이 통신하는 애플리케이션 프로토콜
대부분의 대화하는 호스트 쌍
허용된 트래픽 및 차단된 트래픽
인바운드 및 아웃바운드 트래픽
인터넷 포트 열기
대부분의 차단 규칙
Azure 데이터 센터, 가상 네트워크, 서브넷 또는 악성 네트워크당 트래픽 분산

핵심 구성 요소

트래픽 분석을 사용하려면 다음 구성 요소가 필요합니다.

Network Watcher: Azure의 네트워크 시나리오 수준에서 상태를 모니터링하고 진단하는 데 사용할 수 있는 지역 서비스입니다. Network Watcher를 사용하여 네트워크 보안 그룹 흐름 로그를 켜고 끌 수 있습니다. 자세한 내용은 Azure Network Watcher란?을 참조하세요.
Log Analytics: Azure Monitor 로그 데이터 작업에 사용하는 Azure Portal의 도구입니다. Azure Monitor 로그는 모니터링 데이터를 수집하고 중앙 리포지토리에 데이터를 저장하는 Azure 서비스입니다. 이 데이터에는 Azure API를 통해 제공되는 이벤트, 성능 데이터 또는 사용자 지정 데이터가 포함될 수 있습니다. 이 데이터를 수집한 후에는 경고, 분석 및 내보내기에 사용할 수 있습니다. 네트워크 성능 모니터 및 트래픽 분석과 같은 모니터링 애플리케이션은 Azure Monitor 로그를 기반으로 사용합니다. 자세한 내용은 Azure Monitor 로그를 참조하세요. Log Analytics는 로그에 대한 쿼리를 편집하고 실행하는 방법을 제공합니다. 이 도구를 사용하여 쿼리 결과를 분석할 수도 있습니다. 자세한 내용은 Azure Monitor의 Log Analytics 개요를 참조하세요.
Log Analytics 작업 영역: Azure 계정과 관련된 Azure Monitor 로그 데이터를 저장하는 환경입니다. Log Analytics 작업 영역에 대한 자세한 내용은 Log Analytics 작업 영역 개요를 참조하세요.
또한 트래픽 분석을 사용하여 네트워크 보안 그룹 흐름 로그를 분석하는 경우 흐름 로깅을 위해 활성화된 네트워크 보안 그룹이 필요하며, 트래픽 분석을 사용하여 VNet 흐름 로그(미리 보기)를 분석하는 경우에는 흐름 로깅을 위해 활성화된 가상 네트워크가 필요합니다.
- NSG(네트워크 보안 그룹): Azure Virtual Network에 연결된 리소스와의 네트워크 트래픽을 허용하거나 거부하는 보안 규칙 목록이 포함된 리소스입니다. 네트워크 보안 그룹은 VM(리소스 관리자) 또는 개별 VM(클래식)에 연결된 서브넷, NIC(네트워크 인터페이스)와 연결될 수 있습니다. 자세한 내용은 네트워크 보안 그룹 개요를 참조하세요.
- 네트워크 보안 그룹 흐름 로그: 네트워크 보안 그룹을 통한 수신 및 송신 IP 트래픽에 대해 기록된 정보입니다. 네트워크 보안 그룹 흐름 로그는 JSON 형식으로 작성되며 다음을 포함합니다.
  - 규칙 단위 기반의 아웃바운드 및 인바운드 흐름
  - 흐름이 적용되는 NIC
  - 원본 및 대상 IP 주소, 원본 및 대상 포트, 프로토콜과 같은 흐름에 대한 정보입니다.
  - 허용 또는 거부와 같은 트래픽 상태입니다.
  네트워크 보안 그룹 흐름 로깅에 대한 자세한 내용은 네트워크 보안 그룹 흐름 로그 개요를 참조하세요.
- VNet(가상 네트워크): 다양한 형식의 Azure 리소스가 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있게 해주는 리소스입니다. 자세한 내용은 Virtual Network 개요를 참조하세요.
- 가상 네트워크 흐름 로그: 가상 네트워크를 통한 수신 및 송신 IP 트래픽에 대해 기록된 정보입니다. 가상 네트워크 흐름 로그는 JSON 형식으로 작성되며 다음을 포함합니다.
  - 아웃바운드 및 인바운드 흐름.
  - 원본 및 대상 IP 주소, 원본 및 대상 포트, 프로토콜과 같은 흐름에 대한 정보입니다.
  - 허용 또는 거부와 같은 트래픽 상태입니다.
  가상 네트워크 흐름 로깅에 대한 자세한 내용은 가상 네트워크 흐름 로그 개요를 참조하세요.
  
  참고 항목
  
  네트워크 보안 그룹 흐름 로그와 가상 네트워크 흐름 로그 간의 차이점에 대한 자세한 내용은 네트워크 보안 그룹 흐름 로그와 비교한 가상 네트워크 흐름 로그를 참조하세요.

트래픽 분석의 작동 원리

트래픽 분석은 원시 흐름 로그를 검사합니다. 그런 다음 공통 원본 IP 주소, 대상 IP 주소, 대상 포트 및 프로토콜이 있는 흐름을 집계하여 로그 볼륨을 줄입니다.

예를 들어 IP 주소 10.10.10.10의 호스트 1과 IP 주소 10.10.20.10의 호스트 2가 포함될 수 있습니다. 이 두 호스트가 1시간 동안 100번 통신한다고 가정해 보겠습니다. 이 경우 원시 흐름 로그에는 100개의 항목이 있습니다. 이러한 호스트가 100개의 상호 작용 각각에 대해 포트 80에서 HTTP 프로토콜을 사용하는 경우 축소된 로그에는 하나의 항목이 있습니다. 해당 항목은 호스트 1과 호스트 2가 포트 80에서 HTTP 프로토콜을 사용하여 1시간 동안 100번 통신했음을 나타냅니다.

축소된 로그는 지리, 보안 및 토폴로지 정보를 통해 강화된 다음, Log Analytics 작업 영역에 저장됩니다. 다음 다이어그램은 데이터 흐름을 보여 줍니다.

네트워크 트래픽 데이터가 네트워크 보안 그룹 로그에서 분석 대시보드로 흐르는 방식을 보여 주는 다이어그램. 중간 단계에는 집계 및 향상이 포함됩니다.

필수 조건

트래픽 분석을 사용하려면 다음 필수 구성 요소가 필요합니다.

Network Watcher 지원 구독. 자세한 내용은 Azure Network Watcher 사용 또는 사용 안 함을 참조하세요.
모니터링하려는 네트워크 보안 그룹에 대해 활성화된 네트워크 보안 그룹 흐름 로그 또는 모니터링하려는 가상 네트워크에 대해 활성화된 가상 네트워크 흐름 로그입니다. 자세한 내용은 네트워크 보안 그룹 흐름 로그 만들기 또는 가상 네트워크 흐름 로그 만들기를 참조하세요.
읽기 및 쓰기 권한이 있는 Azure Log Analytics 작업 영역. 자세한 내용은 Log Analytics 작업 영역 만들기를 참조하세요.
다음 Azure 기본 제공 역할 중 하나를 계정에 할당해야 합니다.

배포 모델 역할

Resource Manager 소유자

기여자

네트워크 기여자¹ 및 모니터링 기여자²

위의 기본 제공 역할이 계정에 할당되지 않은 경우 계정에 사용자 지정 역할을 할당합니다. 사용자 지정 역할은 구독 수준에서 다음 작업을 지원해야 합니다.
- Microsoft.Network/applicationGateways/read
- Microsoft.Network/connections/read
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/localNetworkGateways/read
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/routeTables/read
- Microsoft.Network/virtualNetworkGateways/read
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/expressRouteCircuits/read
- Microsoft.OperationalInsights/workspaces/read¹
- Microsoft.OperationalInsights/workspaces/sharedkeys/action¹
- Microsoft.Insights/dataCollectionRules/read²
- Microsoft.Insights/dataCollectionRules/write²
- Microsoft.Insights/dataCollectionRules/delete²
- Microsoft.Insights/dataCollectionEndpoints/read²
- Microsoft.Insights/dataCollectionEndpoints/write²
- Microsoft.Insights/dataCollectionEndpoints/delete²
¹ 네트워크 기여자는 Microsoft.OperationalInsights/workspaces/* 작업을 다루지 않습니다.

² 트래픽 분석을 사용하여 가상 네트워크 흐름 로그를 분석하는 경우에만 필요합니다. 자세한 내용은 Azure Monitor의 데이터 수집 규칙 및 Azure Monitor의 데이터 수집 엔드포인트를 참조하세요.

구독을 위해 사용자에게 할당된 역할을 확인하는 방법을 알아보려면 Azure Portal을 사용하여 Azure 역할 할당 나열을 참조하세요. 역할 할당을 볼 수 없으면 해당 구독 관리자에게 문의하세요.

주의

데이터 수집 규칙 및 데이터 수집 엔드포인트 리소스는 트래픽 분석을 통해 만들어지고 관리됩니다. 이러한 리소스에 대해 작업을 수행하면 트래픽 분석이 예상대로 작동하지 않을 수 있습니다.

배포 모델	역할
Resource Manager	소유자
	기여자
	네트워크 기여자¹ 및 모니터링 기여자²

가격 책정

가격 책정에 대한 자세한 내용은 Network Watcher 가격 책정 및 Azure Monitor 가격 책정을 참조하세요.

트래픽 분석(FAQ)

트래픽 분석에 대해 가장 질문과 대답에 대한 답변을 가져오려면 트래픽 분석 FAQ를 참조하세요.

트래픽 분석을 사용하는 방법을 알아보려면 사용 시나리오를 참조하세요.
트래픽 분석의 스키마 및 처리 세부 정보를 이해하려면 트래픽 분석의 스키마 및 데이터 집계를 참조하세요.