Planowanie inspekcji ruchu
Wiedza o tym, co wchodzi w sieć i z sieci, jest niezbędna do utrzymania stanu zabezpieczeń. Należy przechwycić cały ruch przychodzący i wychodzący oraz przeprowadzić analizę niemal w czasie rzeczywistym na tym ruchu w celu wykrywania zagrożeń i ograniczania luk w zabezpieczeniach sieci.
W tej sekcji opisano kluczowe zagadnienia i zalecane podejścia do przechwytywania i analizowania ruchu w sieci wirtualnej platformy Azure.
Uwagi dotyczące projektowania
Azure VPN Gateway: usługa VPN Gateway umożliwia uruchamianie przechwytywania pakietów w bramie sieci VPN, określonego połączenia, wielu tuneli, ruchu jednokierunkowego lub ruchu dwukierunkowego. Maksymalnie pięć przechwytywania pakietów może być uruchamianych równolegle na bramę. Mogą być one oparte na bramie i przechwytywaniu pakietów połączeń. Aby uzyskać więcej informacji, zobacz Przechwytywanie pakietów sieci VPN.
Azure ExpressRoute: możesz użyć modułu zbierającego ruch azure, aby uzyskać wgląd w ruch przechodzący przez obwody usługi ExpressRoute. Aby przeprowadzić analizę trendów, oceń ilość ruchu przychodzącego i wychodzącego przechodzącego przez usługę ExpressRoute. Przykładowe przepływy sieciowe, które przechodzą przez zewnętrzne interfejsy routerów brzegowych firmy Microsoft dla usługi ExpressRoute. Obszar roboczy usługi Log Analytics odbiera dzienniki przepływu i możesz utworzyć własne zapytania dziennika na potrzeby dalszej analizy. Moduł zbierający ruch obsługuje zarówno obwody zarządzane przez dostawcę, jak i obwody usługi ExpressRoute Direct, które mają przepustowość 1 Gb/s lub większą. Moduł zbierający ruch obsługuje również prywatną komunikację równorzędną lub konfiguracje komunikacji równorzędnej firmy Microsoft.
Usługa Azure Network Watcher ma wiele narzędzi, które należy wziąć pod uwagę, jeśli używasz rozwiązań infrastruktury jako usługi (IaaS):
Przechwytywanie pakietów: usługa Network Watcher umożliwia tworzenie tymczasowych sesji przechwytywania pakietów na ruchu kierowanym do i z maszyny wirtualnej. Każda sesja przechwytywania pakietów ma limit czasu. Po zakończeniu sesji przechwytywanie pakietów tworzy
pcapplik, który można pobrać i przeanalizować. Przechwytywanie pakietów usługi Network Watcher nie może zapewnić ciągłego dublowania portów z tymi ograniczeniami czasu. Aby uzyskać więcej informacji, zobacz Omówienie przechwytywania pakietów.Dzienniki przepływu sieciowej grupy zabezpieczeń: dzienniki przepływu sieciowej grupy zabezpieczeń przechwytują informacje o ruchu IP przepływającym przez sieciowe grupy zabezpieczeń. Usługa Network Watcher przechowuje dzienniki przepływu sieciowej grupy zabezpieczeń jako pliki JSON na koncie usługi Azure Storage. Dzienniki przepływu sieciowej grupy zabezpieczeń można wyeksportować do zewnętrznego narzędzia do analizy. Aby uzyskać więcej informacji, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń i opcje analizy danych.
Dzienniki przepływu sieci wirtualnej: Dzienniki przepływu sieci wirtualnej zapewniają podobne możliwości w porównaniu z dziennikami przepływów sieciowej grupy zabezpieczeń. Dzienniki przepływu sieci wirtualnej umożliwiają rejestrowanie informacji o ruchu warstwy 3 przepływanym przez sieć wirtualną. Usługa Azure Storage odbiera dane przepływu z dzienników przepływu sieci wirtualnej. Możesz uzyskać dostęp do danych i wyeksportować je do dowolnego narzędzia do wizualizacji, rozwiązania do zarządzania informacjami o zabezpieczeniach i zdarzeniami lub systemu wykrywania nieautoryzowanego dostępu.
Zalecenia dotyczące projektowania
Preferuj dzienniki przepływu sieci wirtualnej za pośrednictwem dzienników przepływów sieciowej grupy zabezpieczeń. Dzienniki przepływu sieci wirtualnej:
Uproszczenie zakresu monitorowania ruchu. Rejestrowanie można włączyć na poziomie sieci wirtualnej, aby nie trzeba było włączać rejestrowania przepływów na wielu poziomach, aby obejmowały zarówno poziomy podsieci, jak i karty sieciowej.
Dodaj widoczność dla scenariuszy, w których nie można używać dzienników przepływu sieciowej grupy zabezpieczeń z powodu ograniczeń platformy wdrożeń sieciowej grupy zabezpieczeń.
Podaj dodatkowe szczegóły dotyczące stanu szyfrowania sieci wirtualnej i obecności reguł administratora zabezpieczeń usługi Azure Virtual Network Manager.
Aby zapoznać się z porównaniem, zobacz Dzienniki przepływu sieci wirtualnej w porównaniu z dziennikami przepływów sieciowej grupy zabezpieczeń.
Nie włączaj dzienników przepływu sieci wirtualnej i dzienników przepływów sieciowej grupy zabezpieczeń jednocześnie w tym samym zakresie docelowym. Jeśli włączysz dzienniki przepływu sieciowej grupy zabezpieczeń w sieciowej grupie zabezpieczeń podsieci, a następnie włączysz dzienniki przepływu sieci wirtualnej w tej samej podsieci lub nadrzędnej sieci wirtualnej, zduplikujesz rejestrowanie i dodasz dodatkowe koszty.
Włącz analizę ruchu. Narzędzie umożliwia łatwe przechwytywanie i analizowanie ruchu sieciowego za pomocą gotowej do użycia wizualizacji pulpitu nawigacyjnego i analizy zabezpieczeń.
Jeśli potrzebujesz większej liczby możliwości niż oferuje analiza ruchu, możesz uzupełnić analizę ruchu za pomocą jednego z naszych rozwiązań partnerskich. Dostępne rozwiązania partnerskie można znaleźć w witrynie Azure Marketplace.
Regularnie używaj funkcji przechwytywania pakietów usługi Network Watcher, aby uzyskać bardziej szczegółowe informacje na temat ruchu sieciowego. Uruchamiaj sesje przechwytywania pakietów w różnych porach tygodnia, aby uzyskać dobrą wiedzę na temat typów ruchu przechodzącego przez sieć.
Nie twórz niestandardowego rozwiązania do dublowania ruchu w przypadku dużych wdrożeń. Problemy ze złożonością i możliwościami obsługi zwykle sprawiają, że rozwiązania niestandardowe są nieefektywne.
Inne platformy
Zakłady produkcyjne często mają wymagania dotyczące technologii operacyjnej (OT), które obejmują dublowanie ruchu. Usługa Microsoft Defender dla IoT może łączyć się z dublowaniem na przełączniku lub w punkcie dostępu terminalu (TAP) dla systemów kontroli przemysłowej (ICS) lub kontroli nadzoru i pozyskiwania danych (SCADA). Aby uzyskać więcej informacji, zobacz Metody dublowania ruchu na potrzeby monitorowania OT.
Dublowanie ruchu obsługuje zaawansowane strategie wdrażania obciążeń w tworzeniu aplikacji. Dzięki dublowaniu ruchu można przeprowadzić testowanie regresji przedprodukcyjnej na ruchu obciążenia na żywo lub ocenić procesy zapewniania jakości i zapewniania bezpieczeństwa w trybie offline.
W przypadku korzystania z usługi Azure Kubernetes Service (AKS) upewnij się, że kontroler ruchu przychodzącego obsługuje dublowanie ruchu, jeśli jest częścią obciążenia. Typowe kontrolery ruchu przychodzącego, które obsługują dublowanie ruchu, to Istio, NGINX, Traefik.