Compartir vía


Planificar la inspección del tráfico

Saber lo que entra y sale de la red es esencial para mantener su posición de seguridad. Debe capturar todo el tráfico entrante y saliente, y realizar un análisis de ese tráfico casi en tiempo real, para detectar amenazas y mitigar las vulnerabilidades de red.

En esta sección se exploran las principales consideraciones y los enfoques recomendados en la captura y el análisis del tráfico en una red virtual de Azure.

Consideraciones de diseño

Azure VPN Gateway: VPN Gateway permite ejecutar una captura de paquetes en una VPN Gateway, una conexión específica, varios túneles, tráfico unidireccional o tráfico bidireccional. Se pueden ejecutar un máximo de cinco capturas de paquetes en paralelo por puerta de enlace. Pueden ser capturas de paquetes por conexión y de toda la puerta de enlace. Para más información, consulte Captura de paquetes VPN.

Azure ExpressRoute: puede usar Azure Traffic Collector para obtener visibilidad del tráfico que atraviesa circuitos ExpressRoute. Para realizar análisis de tendencias, evalúe la cantidad de tráfico entrante y saliente que pasa por ExpressRoute. Puede muestrear flujos de red que atraviesan las interfaces externas de los enrutadores perimetrales de Microsoft para ExpressRoute. Una área de trabajo de Log Analytics recibe los registros de flujo y puede crear sus propias consultas de registro para su posterior análisis. Traffic Collector admite circuitos administrados por el proveedor y circuitos directos de ExpressRoute que tienen 1 Gbps o más ancho de banda. Traffic Collector también admite el emparejamiento privado o las configuraciones de emparejamiento de Microsoft.

Azure Network Watcher tiene varias herramientas que debe tener en cuenta si usa soluciones de infraestructura como servicio (IaaS):

  • Captura de paquetes: Network Watcher permite crear sesiones de paquetes de captura temporales en el tráfico que va dirigido a una máquina virtual y también desde ella. Cada sesión de captura de paquetes tiene un límite de tiempo. Cuando finaliza la sesión, la captura de paquetes crea un archivo pcap que puede descargar y analizar. La captura de paquetes de Network Watcher no puede proporcionarle una creación de reflejo continua del puerto con estas restricciones de tiempo. Para más información, consulte Información general sobre la captura de paquetes.

  • Registros de flujo del grupo de seguridad de red (NSG): los registros de flujo de NSG capturan información sobre el tráfico de IP que fluye a través de los NSG. Network Watcher almacena los registros de flujo de NSG como archivos JSON en la cuenta de Azure Storage. Puede exportar los registros de flujo de NSG a una herramienta externa para su análisis. Para más información, consulte la Información general sobre los registros de flujo de NSG y las opciones de análisis de datos.

  • Registros de flujo de red virtual : los registros de flujo de red virtual proporcionan funcionalidades similares en comparación con los registros de flujo de NSG. Puede usar registros de flujo de red virtual para registrar información sobre el tráfico de nivel 3 que fluye a través de una red virtual. Azure Storage recibe datos de flujo de los registros de flujo de red virtual. Puede acceder a los datos y exportarlos a cualquier herramienta de visualización, solución de gestión de eventos e información de seguridad o sistema de detección de intrusos.

Recomendaciones de diseño

  • Se prefieren los registros de flujo de red virtual a los registros de flujo de NSG. Registros de flujo de red virtual:

    • Simplifique el ámbito de la supervisión del tráfico. Puede habilitar el registro en el nivel de red virtual para que no sea necesario habilitar el registro de flujo de varios niveles para cubrir los niveles de subred y NIC.

    • Agregue visibilidad para escenarios en los que no se pueden usar registros de flujo de NSG debido a restricciones de plataforma en las implementaciones de NSG.

    • Proporcione detalles adicionales sobre el estado del cifrado de red virtual y la presencia de reglas de administración de seguridad de Azure Virtual Network Manager.

    Para obtener una comparación, consulte Registros de flujo de red virtual en comparación con los registros de flujo de grupos de seguridad de red.

  • No habilite los registros de flujo de red virtual y los registros de flujo de NSG simultáneamente en el mismo ámbito de destino. Si habilita los registros de flujo de NSG en el grupo de seguridad de red de una subred y, a continuación, habilita los registros de flujo de red virtual en la misma subred o red virtual principal, duplica el registro y agrega costes adicionales.

  • Habilite el análisis de tráfico. La herramienta permite capturar y analizar fácilmente el tráfico de red con la visualización del panel y el análisis de seguridad que vienen predefinidos.

  • Si necesita más capacidades que las que ofrece Análisis de tráfico, puede complementarlo con una de las soluciones de nuestros asociados. Puede ver las soluciones disponibles de nuestros asociados en Azure Marketplace.

  • Use la captura de paquetes de Network Watcher con regularidad para obtener una comprensión más detallada del tráfico de red. Ejecute sesiones de captura de paquetes en varios momentos a lo largo de la semana para comprender bien los tipos de tráfico que navegan por su red.

  • No desarrolle una solución personalizada para reflejar el tráfico de las implementaciones de gran tamaño. Los problemas de complejidad y compatibilidad implícitos hacen que las soluciones personalizadas suelan ser ineficaces.

Otras plataformas

  • Las plantas de fabricación suelen tener requisitos de tecnología operativa (OT) que incluyen la creación de reflejo del tráfico. Microsoft Defender para IoT puede conectarse a un reflejo en un conmutador o en un punto de acceso de terminal (TAP) de sistemas de control industrial (ICS) o de datos de supervisión de control y adquisición de datos (SCADA). Para más información, consulte Métodos de creación de reflejo del tráfico para la supervisión de OT.

  • La creación de reflejo del tráfico admite estrategias avanzadas de implementación de cargas de trabajo en el desarrollo de aplicaciones. Con la creación de reflejo del tráfico, puede realizar pruebas de regresión a la preproducción en el tráfico de cargas de trabajo activas o evaluar sin conexión los procesos de control de calidad y garantía de seguridad.

  • Al usar Azure Kubernetes Service (AKS), asegúrese de que el controlador de entrada admite la creación de reflejo del tráfico si forma parte de la carga de trabajo. Los controladores de entrada comunes que admiten la creación de reflejo del tráfico son Istio, NGINX, Traefik.