트래픽 분석

트래픽 분석은 클라우드 네트워크에서 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. 특히 트래픽 분석은 Azure Network Watcher NSG(네트워크 보안 그룹) 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공합니다. 트래픽 분석을 사용하면 다음과 같은 작업을 수행할 수 있습니다.

  • Azure 구독에서 네트워크 활동을 시각화합니다.

  • 핫스폿을 식별합니다.

  • 위협을 식별하기 위해 다음 구성 요소에 대한 정보를 사용하여 네트워크를 보호합니다.

    • 포트 열기
    • 인터넷 액세스를 시도하는 애플리케이션
    • 악성 네트워크에 연결하는 VM(가상 머신)
  • Azure 지역과 인터넷의 트래픽 흐름 패턴을 이해하여 성능과 용량에 맞게 네트워크 배포를 최적화합니다.

  • 네트워크에서 연결 실패로 이어질 수 있는 네트워크 구성 오류를 정확히 찾아냅니다.

참고

이제 트래픽 분석은 10분 간격으로 NSG 흐름 로그 데이터 수집을 지원합니다.

참고

Azure와 상호 작용하려면 Azure Az PowerShell 모듈을 사용하는 것이 좋습니다. 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법에 대한 자세한 내용은 Azure PowerShell을 AzureRM에서 Azure로 마이그레이션을 참조하세요.

트래픽 분석이란?

보안, 규정 준수 및 성능이 저하되지 않도록 네트워크를 모니터링하고 관리하고 파악하기 위해 필요합니다. 네트워크를 보호하고 최적화하는 데 있어서 가장 중요한 것은 사용자가 자신의 정확히 아는 것입니다. 다음 정보를 포함하여 네트워크의 현재 상태를 알아야 하는 경우가 많습니다.

  • 누가 네트워크에 연결하고 있나요?
  • 어디에서 연결하고 있나요?
  • 어떤 포트가 인터넷에 열려 있나요?
  • 예상되는 네트워크 동작은 무엇인가요?
  • 불규칙한 네트워크 동작이 있나요?
  • 트래픽이 갑자기 증가하나요?

클라우드 네트워크는 온-프레미스 엔터프라이즈 네트워크와 다릅니다. 온-프레미스 네트워크에서 라우터와 스위치는 NetFlow 및 기타 동등한 프로토콜을 지원합니다. 이러한 디바이스를 사용하여 네트워크 인터페이스에 들어오거나 나갈 때 IP 네트워크 트래픽에 대한 데이터를 수집할 수 있습니다. 트래픽 흐름 데이터를 분석하면 네트워크 트래픽 흐름 및 볼륨을 분석할 수 있습니다.

Azure Virtual Network에서 NSG 흐름 로그는 네트워크에 대한 데이터를 수집합니다. 이러한 로그는 개별 네트워크 인터페이스, VM 또는 서브넷과 연결된 NSG를 통한 수신 및 송신 IP 트래픽에 대한 정보를 제공합니다. 원시 NSG 흐름 로그를 분석한 후 트래픽 분석은 로그 데이터를 보안, 토폴로지 및 지리에 대한 인텔리전스와 결합합니다. 그런 다음 트래픽 분석은 환경의 트래픽 흐름에 대한 인사이트를 제공합니다.

트래픽 분석은 다음 정보를 제공합니다.

  • 가장 많이 통신하는 호스트
  • 가장 많이 통신하는 애플리케이션 프로토콜
  • 대부분의 대화하는 호스트 쌍
  • 허용된 트래픽 및 차단된 트래픽
  • 인바운드 및 아웃바운드 트래픽
  • 인터넷 포트 열기
  • 대부분의 차단 규칙
  • Azure 데이터 센터, 가상 네트워크, 서브넷 또는 악성 네트워크당 트래픽 분산

핵심 구성 요소

  • NSG(네트워크 보안 그룹): Azure Virtual Network에 연결된 리소스에 대한 네트워크 트래픽을 허용하거나 거부하는 보안 규칙 목록이 포함된 리소스입니다. NSG는 서브넷, 개별 VM(클래식) 또는 VM(Resource Manager)에 연결된 개별 NIC(네트워크 인터페이스)와 연결될 수 있습니다. 자세한 내용은 네트워크 보안 그룹 개요를 참조하세요.

  • NSG 흐름 로그: NSG를 통한 수신 및 송신 IP 트래픽에 대한 기록된 정보입니다. NSG 흐름 로그는 JSON 형식으로 작성되며 다음을 포함합니다.

    • 규칙 단위 기반의 아웃바운드 및 인바운드 흐름
    • 흐름이 적용되는 NIC
    • 원본 및 대상 IP 주소, 원본 및 대상 포트, 프로토콜과 같은 흐름에 대한 정보입니다.
    • 허용 또는 거부와 같은 트래픽 상태입니다.

    NSG 흐름 로그에 대한 자세한 내용은 NSG 흐름 로그를 참조하세요.

  • Log Analytics: Azure Monitor 로그 데이터 작업에 사용하는 Azure Portal의 도구입니다. Azure Monitor 로그는 모니터링 데이터를 수집하고 중앙 리포지토리에 데이터를 저장하는 Azure 서비스입니다. 이 데이터에는 Azure API를 통해 제공되는 이벤트, 성능 데이터 또는 사용자 지정 데이터가 포함될 수 있습니다. 이 데이터를 수집한 후에는 경고, 분석 및 내보내기에 사용할 수 있습니다. 네트워크 성능 모니터 및 트래픽 분석과 같은 모니터링 애플리케이션은 Azure Monitor 로그를 기반으로 사용합니다. 자세한 내용은 Azure Monitor 로그를 참조하세요. Log Analytics는 로그에 대한 쿼리를 편집하고 실행하는 방법을 제공합니다. 이 도구를 사용하여 쿼리 결과를 분석할 수도 있습니다. 자세한 내용은 Azure Monitor의 Log Analytics 개요를 참조하세요.

  • Log Analytics 작업 영역: Azure 계정과 관련된 Azure Monitor 로그 데이터를 저장하는 환경입니다. Log Analytics 작업 영역에 대한 자세한 내용은 Log Analytics 작업 영역 만들기를 참조하세요.

  • Network Watcher: Azure의 네트워크 시나리오 수준에서 상태를 모니터링하고 진단하는 데 사용할 수 있는 지역 서비스입니다. Network Watcher를 사용하여 NSG 흐름 로그를 켜고 끌 수 있습니다. 자세한 내용은 Network Watcher를 참조하세요.

트래픽 분석의 작동 원리

트래픽 분석은 원시 NSG 흐름 로그를 검사합니다. 그런 다음 공통 원본 IP 주소, 대상 IP 주소, 대상 포트 및 프로토콜이 있는 흐름을 집계하여 로그 볼륨을 줄입니다.

예를 들어 IP 주소 10.10.10.10의 호스트 1과 IP 주소 10.10.20.10의 호스트 2가 포함될 수 있습니다. 이 두 호스트가 1시간 동안 100번 통신한다고 가정해 보겠습니다. 이 경우 원시 흐름 로그에는 100개의 항목이 있습니다. 이러한 호스트가 100개의 상호 작용 각각에 대해 포트 80에서 HTTP 프로토콜을 사용하는 경우 축소된 로그에는 하나의 항목이 있습니다. 해당 항목은 호스트 1과 호스트 2가 포트 80에서 HTTP 프로토콜을 사용하여 1시간 동안 100번 통신했음을 나타냅니다.

축소된 로그는 지리, 보안 및 토폴로지 정보를 통해 강화된 다음, Log Analytics 작업 영역에 저장됩니다. 다음 다이어그램은 데이터 흐름을 보여 줍니다.

네트워크 트래픽 데이터가 NSG 로그에서 분석 대시보드로 흐르는 방법을 보여 주는 다이어그램. 중단 단계는 집계 및 향상을 포함합니다.

필수 구성 요소

트래픽 분석을 사용하기 전에 환경이 다음 요구 사항을 충족하는지 확인합니다.

사용자 액세스 요구 사항

다음 Azure 기본 제공 역할 중 하나를 계정에 할당해야 합니다.

배포 모델 역할
리소스 관리자 소유자
참가자
판독기
네트워크 참가자

위의 기본 제공 역할이 계정에 할당되지 않은 경우 계정에 사용자 지정 역할을 할당합니다. 사용자 지정 역할은 구독 수준에서 다음 작업을 지원해야 합니다.

  • Microsoft.Network/applicationGateways/read
  • Microsoft.Network/connections/read
  • Microsoft.Network/loadBalancers/read
  • Microsoft.Network/localNetworkGateways/read
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/publicIPAddresses/read"
  • Microsoft.Network/routeTables/read
  • Microsoft.Network/virtualNetworkGateways/read
  • Microsoft.Network/virtualNetworks/read
  • Microsoft.Network/expressRouteCircuits/read

사용자 액세스 권한을 확인하는 방법에 대한 자세한 내용은 트래픽 분석 FAQ를 참조하세요.

질문과 대답

트래픽 분석에 대해 질문과 대답에 대한 답변을 가져오려면 트래픽 분석 FAQ를 참조하세요.

다음 단계