Compartilhar via

Planejar a inspeção de tráfego

  • Artigo

Saber o que entra e sai da rede é essencial para manter sua postura de segurança. Você deve capturar todo o tráfego de entrada e saída e executar uma análise quase em tempo real desse tráfego para detectar ameaças e atenuar vulnerabilidades de rede.

Esta seção explora as principais considerações e as abordagens recomendadas para capturar e analisar o tráfego em uma rede virtual do Azure.

Considerações sobre o design

Gateway de VPN do Azure - o Gateway de VPN permite executar uma captura de pacotes em um gateway de VPN, uma conexão específica, vários túneis, tráfego unidirecional ou tráfego bidirecional. No máximo, cinco capturas de pacotes podem ser executadas em paralelo por gateway. Elas podem ser capturas de pacotes por conexão e em todo o gateway. Para obter mais informações, consulte Captura de pacotes de VPN.

O Observador de Rede do Azure tem várias ferramentas que você deve considerar caso esteja usando soluções de IaaS (infraestrutura como serviço):

  • Captura de pacotes – o Observador de Rede permite criar sessões temporárias de pacote de captura no tráfego direcionado e proveniente de uma máquina virtual. Cada sessão de captura de pacotes tem um limite de tempo. Quando a sessão termina, a captura de pacotes cria um arquivo pcap que você pode baixar e analisar. A captura de pacotes do Observador de Rede não pode fornecer espelhamento contínuo de porta com essas restrições de tempo. Para obter mais informações, consulte Visão geral da captura de pacotes.

  • Logs de fluxo do NSG (Grupo de Segurança de Rede) – os logs de fluxo do NSG capturam informações sobre o tráfego IP que flui pelos NSGs. O Observador de Rede armazena logs de fluxo do NSG como arquivos JSON na conta de Armazenamento do Azure. Você pode exportar os logs de fluxo do NSG para uma ferramenta externa para análise. Para obter mais informações, consulte a visão geral e as opções de análise de dados dos logs de fluxo do NSG.

  • Análise de Tráfego – a Análise de Tráfego ingere e analisa logs de fluxo do NSG. Ela cria uma painel de insights sobre os logs de fluxo do NSG e gera uma exibição de mapa geográfico de seus recursos para facilitar a análise. Para obter mais informações, consulte Visão geral da Análise de Tráfego.

Recomendações sobre design

  • Habilitar a Análise de Tráfego. A ferramenta permite capturar e analisar facilmente o tráfego de rede com um painel de visualização e análise de segurança prontos para uso.

  • Se você precisar de mais recursos do que os oferecidos pela Análise de Tráfego, poderá complementar a Análise de Tráfego com uma de nossas soluções de parceiros. Você pode encontrar soluções de parceiros disponíveis no Azure Marketplace.

  • Use a captura de pacotes do Observador de Rede regularmente para ter uma compreensão mais detalhada do tráfego de rede. Execute sessões de captura de pacotes em vários momentos ao longo da semana para ter uma boa compreensão dos tipos de tráfego que atravessam sua rede.

  • Não desenvolva uma solução personalizada para espelhar o tráfego de implantações grandes. Os problemas de complexidade e suporte tendem a tornar as soluções personalizadas ineficientes.

Outras plataformas

  • As fábricas geralmente têm requisitos de OT (tecnologia operacional) que incluem espelhamento de tráfego. Microsoft Defender para IoT podem se conectar a um espelho em um comutador ou um TAP (ponto de acesso de terminal) para sistemas de controle industrial (ICS) ou dados de controle de supervisão e aquisição de dados (SCADA). Para obter mais informações, consulte métodos de espelhamento de tráfego para monitoramento de OT.

  • O espelhamento de tráfego dá suporte a estratégias avançadas de implantação de carga de trabalho no desenvolvimento de aplicativos. Com o espelhamento de tráfego, você pode executar testes de regressão de pré-produção no tráfego de carga de trabalho ao vivo ou avaliar os processos de garantia de qualidade e garantia de segurança offline.

  • Ao usar Serviço de Kubernetes do Azure (AKS), verifique se o controlador de entrada dá suporte ao espelhamento de tráfego se ele fizer parte da carga de trabalho. Os controladores de entrada comuns que dão suporte ao espelhamento de tráfego são Istio, NGINX, Traefik.