Partager via

Planifier l’inspection du trafic

  • Article

Savoir ce qui se passe sur et hors de votre réseau est essentiel pour maintenir votre posture de sécurité. Vous devez capturer tout le trafic entrant et sortant et effectuer une analyse en quasi temps réel sur ce trafic pour détecter les menaces et atténuer les vulnérabilités réseau.

Cette section explore des considérations clés et des approches recommandées pour la capture et l’analyse du trafic à l’intérieur d’un réseau virtuel Azure.

Considérations sur la conception

Passerelle VPN Azure : vous permet d’exécuter une capture de paquets sur une passerelle VPN, une connexion spécifique, plusieurs tunnels, un trafic unidirectionnel ou un trafic bidirectionnel. Cinq captures de paquets au maximum peuvent être exécutées en parallèle par passerelle. Il peut s’agir d'une capture de paquets à l’échelle de la passerelle et par connexion. Pour plus d’informations, consultez Capture de paquets VPN.

Azure ExpressRoute: Vous pouvez utiliser Azure Traffic Collector pour en savoir plus sur le trafic qui transite sur les circuits ExpressRoute. Pour effectuer une analyse des tendances, évaluez la quantité de trafic entrant et sortant qui transite par ExpressRoute. Vous pouvez échantillonner des flux réseau qui parcourent les interfaces externes des routeurs de périphérie Microsoft pour ExpressRoute. Les journaux de flux sont reçus par un espace de travail Log Analytics. Vous pouvez ensuite créer vos propres requêtes de journal pour effectuer une analyse plus approfondie. Traffic Collector prend en charge les circuits gérés par le fournisseur et les circuits ExpressRoute Direct ayant une bande passante d'au moins 1 Go/s. Traffic Collector accepte également les configurations de peering privé ou de peering Microsoft.

Azure Network Watcher dispose de plusieurs outils que vous devez prendre en compte si vous utilisez des solutions IaaS (infrastructure as a service) :

  • Capture de paquets : Network Watcher vous permet de créer des sessions de capture de paquets temporaires sur le trafic dirigé vers et à partir d’une machine virtuelle. Chaque session de capture de paquets a une limite de temps. Lorsque la session se termine, la capture de paquets crée un fichier pcap que vous pouvez télécharger et analyser. La capture de paquets Network Watcher ne peut pas vous donner la mise en miroir de ports continue avec ces contraintes de temps. Pour obtenir plus d’informations, consultez Présentation de la capture de paquets.

  • Journaux de flux du groupe de sécurité réseau (NSG) : les journaux de flux NSG capturent des informations sur le trafic IP transitant par vos NSG. Network Watcher stocke les journaux de flux NSG en tant que fichiers JSON dans le compte de stockage Azure. Vous pouvez exporter les journaux de flux NSG vers un outil externe pour l’analyse. Pour plus d’informations, consultez la présentation des journaux de flux NSG et les options d’analyse des données.

  • Journaux de flux de réseau virtuel : les journaux de flux de réseau virtuel présentent des fonctionnalités semblables à celles des journaux de flux de groupe de sécurité réseau. Vous pouvez utiliser les journaux de flux de réseau virtuel pour consigner des informations sur le trafic de couche 3 qui transitent dans un réseau virtuel. Le stockage Azure reçoit des données de flux provenant des journaux de flux du réseau virtuel. Vous pouvez accéder aux données et les exporter vers n’importe quel outil de visualisation, solution de gestion des informations et des événements de sécurité ou système de détection d’intrusion.

Recommandations de conception

  • Privilégiez les journaux de flux de réseau virtuel par rapports aux journaux de flux NSG. Journaux de flux de réseau virtuel :

    • simplifiez l'étendue de la surveillance du trafic. Vous pouvez activer la journalisation au niveau du réseau virtuel. Ce faisant, vous n'aurez pas besoin d’activer la journalisation de flux à plusieurs niveaux pour couvrir à la fois le niveau du sous-réseau et celui de la carte d'interface réseau.

    • Ajoutez une visibilité pour les scénarios où vous ne pouvez pas utiliser les journaux de flux NSG en raison des restrictions de plateforme sur les déploiements NSG.

    • Fournissez des informations supplémentaire sur l'état de chiffrement du réseau virtuel et la présence de règles administrateur de sécurité pour Azure Virtual Network Manager.

    Pour obtenir une comparaison, consultez Comparaison entre les journaux de flux de réseau virtuel et les journaux de flux de groupe de sécurité réseau.

  • N’activez pas simultanément les journaux de flux de réseau virtuel et les journaux de flux NSG sur la même étendue cible. Si vous activez les journaux de flux NSG sur le NSG d’un sous-réseau, puis que vous activez les journaux de flux de réseau virtuel sur le même sous-réseau ou réseau virtuel parent, vous dupliquez la journalisation, ce qui engendre des coûts supplémentaires.

  • Activez Traffic Analytics. L’outil vous permet de capturer et d’analyser facilement le trafic réseau avec une visualisation de tableau de bord prête à l’emploi et une analyse de sécurité.

  • Si vous avez besoin de plus de fonctionnalités que les offres Traffic Analytics, vous pouvez compléter Traffic Analytics avec l’une de nos solutions partenaires. Vous pouvez trouver les distributions disponibles dans la Place de marché Azure.

  • Utilisez la capture de paquets Network Watcher régulièrement pour obtenir une compréhension plus détaillée de votre trafic réseau. Exécutez des sessions de capture de paquets à différents moments tout au long de la semaine pour mieux comprendre les types de trafic transitant par votre réseau.

  • Ne développez pas de solution personnalisée pour mettre en miroir le trafic pour les déploiements volumineux. Les problèmes de complexité et de prise en charge ont tendance à rendre les solutions personnalisées inefficaces.

Autres plateformes

  • Les usines de fabrication ont souvent des exigences en matière de technologie opérationnelle (OT) qui incluent la mise en miroir du trafic. Microsoft Defender pour IoT peut se connecter à un miroir sur un commutateur ou un point d’accès terminal (TAP) pour les systèmes de contrôle industriel (ICS) ou les données de contrôle de supervision et d’acquisition de données (SCADA). Pour plus d’informations, consultez les méthodes de mise en miroir de trafic pour la surveillance OT.

  • La mise en miroir de trafic prend en charge les stratégies de déploiement de charge de travail avancées dans le développement d’applications. Avec la mise en miroir du trafic, vous pouvez effectuer des tests de régression préproduction sur le trafic de charge de travail en direct ou évaluer l’assurance qualité et les processus d’assurance de sécurité hors connexion.

  • Lorsque vous utilisez Azure Kubernetes Service (AKS), assurez-vous que votre contrôleur d’entrée prend en charge la mise en miroir du trafic s’il fait partie de votre charge de travail. Les contrôleurs d’entrée courants qui prennent en charge la mise en miroir de trafic sont Istio, NGINX, Traefik.