Sdílet prostřednictvím

Plánování kontroly provozu

  • Článek

Znalost toho, co se děje ve vaší síti a z vaší sítě, je nezbytné k udržování stavu zabezpečení. Měli byste zachytit veškerý příchozí a odchozí provoz a provést analýzu provozu téměř v reálném čase, abyste mohli detekovat hrozby a zmírnit ohrožení zabezpečení sítě.

Tato část popisuje klíčové aspekty a doporučené přístupy k zachytávání a analýze provozu ve virtuální síti Azure.

Aspekty návrhu

Azure VPN Gateway: Služba VPN Gateway umožňuje spustit zachytávání paketů na bráně VPN, konkrétní připojení, více tunelů, jednosměrný provoz nebo obousměrný provoz. Paralelně na bránu může běžet maximálně pět zachytávání paketů. Můžou to být celé brány a zachytávání paketů připojení. Další informace najdete v tématu zachytávání paketů VPN.

Azure ExpressRoute: Pomocí služby Azure Traffic Collector můžete získat přehled o provozu, který prochází okruhy ExpressRoute. Pokud chcete provést analýzu trendu, vyhodnoťte objem příchozího a odchozího provozu, který prochází přes ExpressRoute. Můžete vzorkovat síťové toky, které procházejí externími rozhraními hraničních směrovačů Microsoftu pro ExpressRoute. Pracovní prostor služby Log Analytics přijímá protokoly toku a můžete vytvořit vlastní dotazy na protokoly pro další analýzu. Traffic Collector podporuje okruhy spravované poskytovatelem i okruhy ExpressRoute Direct, které mají šířku pásma 1 Gb/s nebo větší. Kolektor provozu také podporuje konfigurace privátního partnerského vztahu nebo partnerského vztahu Microsoftu.

Azure Network Watcher má několik nástrojů, které byste měli zvážit, pokud používáte řešení infrastruktury jako služby (IaaS):

  • Zachytávání paketů: Network Watcher umožňuje vytvořit dočasné zachytávání relací paketů na provoz směřující do a z virtuálního počítače. Každá relace zachytávání paketů má časový limit. Po skončení relace vytvoří zachytávání paketů pcap soubor, který si můžete stáhnout a analyzovat. Zachytávání paketů Network Watcher vám nemůže poskytnout nepřetržité zrcadlení portů s těmito časovými omezeními. Další informace naleznete v tématu Přehled zachytávání paketů.

  • Protokoly toku skupiny zabezpečení sítě (NSG): Protokoly toků NSG zaznamenávají informace o provozu PROTOKOLU IP procházejících skupinami zabezpečení sítě. Network Watcher ukládá protokoly toku NSG jako soubory JSON v účtu azure Storage. Protokoly toku NSG můžete exportovat do externího nástroje pro analýzu. Další informace najdete v přehledu protokolů toku NSG a možnostech analýzy dat.

  • Protokoly toku virtuální sítě: Protokoly toku virtuální sítě poskytují podobné možnosti v porovnání s protokoly toku NSG. Protokoly toku virtuální sítě můžete použít k protokolování informací o provozu vrstvy 3, který prochází přes virtuální síť. Azure Storage přijímá data toku z protokolů toku virtuální sítě. K datům můžete přistupovat a exportovat je do libovolného vizualizačního nástroje, bezpečnostních informací a řešení pro správu událostí nebo do systému detekce neoprávněných vniknutí.

Doporučení k návrhu

  • Upřednostňujte protokoly toku virtuální sítě před protokoly toku NSG. Protokoly toku virtuální sítě:

    • Zjednodušte rozsah monitorování provozu. Protokolování můžete povolit na úrovni virtuální sítě, abyste nemuseli povolit protokolování toku na více úrovních pro pokrytí podsítě i síťových adaptérů.

    • Přidejte viditelnost pro scénáře, ve kterých nemůžete používat protokoly toku NSG z důvodu omezení platformy pro nasazení NSG.

    • Uveďte další podrobnosti o stavu šifrování virtuální sítě a přítomnosti pravidel správce zabezpečení Azure Virtual Network Manageru.

    Porovnání najdete v protokolech toku virtuální sítě v porovnání s protokoly toku skupiny zabezpečení sítě.

  • Nepovolujte protokoly toku virtuální sítě a protokoly toku NSG současně ve stejném cílovém oboru. Pokud povolíte protokoly toku NSG ve skupině zabezpečení sítě podsítě a pak povolíte protokoly toku virtuální sítě ve stejné podsíti nebo nadřazené virtuální síti, duplikujete protokolování a přidáte další náklady.

  • Povolte analýzu provozu. Tento nástroj umožňuje snadno zachytit a analyzovat síťový provoz pomocí vizualizace řídicího panelu a analýzy zabezpečení.

  • Pokud potřebujete více funkcí než nabídky analýzy provozu, můžete doplnit analýzu provozu jedním z našich partnerských řešení. Dostupná partnerová řešení najdete na Azure Marketplace.

  • Používejte zachytávání paketů služby Network Watcher pravidelně, abyste získali podrobnější informace o síťovém provozu. Spusťte relace zachytávání paketů v různých časech v průběhu týdne, abyste získali dobrý přehled o typech přenosů procházejících vaší sítí.

  • Nevyvíjejte vlastní řešení pro zrcadlení provozu pro velká nasazení. Problémy se složitostí a možností podpory mají tendenci vytvářet vlastní řešení neefektivní.

Jiné platformy

  • Výrobní závody často mají požadavky na provozní technologie (OT), které zahrnují zrcadlení provozu. Microsoft Defender pro IoT se může připojit ke zrcadlu na přepínači nebo terminálovém přístupovém bodu (TAP) pro průmyslové řídicí systémy (ICS) nebo k řízení dohledu a získávání dat (SCADA). Další informace najdete v tématu Metody zrcadlení provozu pro monitorování OT.

  • Zrcadlení provozu podporuje pokročilé strategie nasazení úloh při vývoji aplikací. Pomocí zrcadlení provozu můžete provést předprodukční regresní testování provozu úloh nebo vyhodnotit procesy kontroly kvality a zabezpečení offline.

  • Pokud používáte Službu Azure Kubernetes Service (AKS), ujistěte se, že kontroler příchozího přenosu dat podporuje zrcadlení provozu, pokud je součástí vaší úlohy. Mezi běžné kontrolery příchozího přenosu dat, které podporují zrcadlení provozu, patří Istio, NGINX, Traefik.