你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
计划流量检查
了解进出网络的内容对于维护安全状况至关重要。 应捕获所有入站和出站流量,并对该流量执行准实时分析,以检测威胁并缓解网络漏洞。
本部分探讨在 Azure 虚拟网络中捕获和分析流量的关键注意事项和建议方法。
设计注意事项
Azure VPN 网关 - 使用 VPN 网关,可在 VPN 网关、特定连接、多个隧道、单向流量或双向流量上运行数据包捕获。 每个网关最多可以并行运行 5 个数据包捕获。 它们可以是网关范围和每个连接的数据包捕获。 有关详细信息,请参阅 VPN 数据包捕获。
如果使用基础结构即服务 (IaaS) 解决方案,Azure 网络观察程序有多种应该考虑的工具:
数据包捕获 - 使用网络观察程序,可在进出虚拟机的流量上创建临时捕获数据包会话。 每个数据包捕获会话都有时间限制。 会话结束时,数据包捕获会创建一个可供下载和分析的
pcap
文件。 网络观察程序数据包捕获无法提供具有这些时间限制的连续端口镜像。 有关详细信息,请参阅数据包捕获概述。网络安全组 (NSG) 流日志 - NSG 流日志捕获有关流经 NSG 的 IP 流量的信息。 网络观察程序将 NSG 流日志作为 JSON 文件存储在 Azure 存储帐户中。 可以将 NSG 流日志导出到外部工具进行分析。 有关详细信息,请参阅 NSG 流日志概述和数据分析选项。
流量分析 - 流量分析引入和分析 NSG 流日志。 它创建一个关于 NSG 流日志的见解仪表板,并生成资源的地理地图视图以便进行分析。 有关详细信息,请参阅流量分析概述。
设计建议
启用流量分析。 借助该工具,可以通过现成的仪表板可视化效果和安全分析轻松捕获和分析网络流量。
如果你需要的功能比流量分析所提供的更多,可以使用我们的合作伙伴解决方案之一来补充流量分析。 可以在 Azure 市场中找到可用的合作伙伴解决方案。
定期使用网络观察程序数据包捕获来更详细地了解网络流量。 在一周的不同时间运行数据包捕获会话,以便充分了解遍历网络的流量类型。
不要开发自定义解决方案来为大型部署镜像流量。 复杂性和可支持性问题往往使自定义解决方案效率低下。
其他平台
制造工厂通常具有运营技术 (OT) 要求,包括流量镜像。 Microsoft Defender for IoT 可以连接到交换机上的镜像或终端接入点 (TAP) ,适用于工业控制系统 (ICS) 或监督控制和数据收集 (SCADA) 数据。 有关详细信息,请参阅 用于 OT 监视的流量镜像方法。
流量镜像支持应用程序开发中的高级工作负载部署策略。 使用流量镜像,可以对实时工作负载流量执行预生产回归测试,或脱机评估质量保证和安全保障流程。
使用 Azure Kubernetes 服务 (AKS) 时,请确保入口控制器支持流量镜像(如果它是工作负荷的一部分)。 支持流量镜像的常见入口控制器有 Istio、 NGINX、 Traefik。