Condividi tramite


Panoramica di Analisi del traffico

Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nella rete cloud. In particolare, analisi del traffico analizza i log dei flussi di Azure Network Watcher per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Con Analisi del traffico è possibile:

  • Visualizzare l'attività della rete nelle sottoscrizioni di Azure.

  • Identificare le aree sensibili.

  • Proteggere la rete usando le informazioni sui componenti seguenti per identificare le minacce:

    • Aprire le porte
    • Applicazioni che tentano di accedere a Internet
    • Macchine virtuali che si connettono a reti non autorizzate
  • Ottimizzare la distribuzione di rete per prestazioni e capacità comprendendo i modelli di flusso del traffico tra aree di Azure e Internet.

  • Individuare le configurazioni di rete errate che possono causare connessioni non riuscite nella rete.

Perché usare Analisi del traffico?

È fondamentale monitorare, gestire e conoscere la rete per fare in modo che la sicurezza, la conformità e le prestazioni non vengano compromesse. Per proteggere e ottimizzare l'ambiente, è indispensabile conoscerlo. Spesso è necessario conoscere lo stato corrente della rete, incluse le informazioni seguenti:

  • Chi si connette alla rete?
  • Da dove si connettono?
  • Quali porte sono aperte a Internet?
  • Qual è il comportamento previsto della rete?
  • C'è un comportamento di rete irregolare?
  • Ci sono aumenti improvvisi del traffico?

Le reti cloud sono diverse dalle reti aziendali locali. Nelle reti locali, i router e i commutatori supportano NetFlow e altri protocolli equivalenti. È possibile usare questi dispositivi per raccogliere dati sul traffico di rete IP durante l'ingresso o l'uscita da un'interfaccia di rete. Analizzando i dati sul flusso di traffico, è possibile compilare un'analisi del flusso e del volume del traffico di rete.

Con le reti virtuali di Azure, i log dei flussi raccolgono dati sulla rete. Questi log forniscono informazioni sul traffico IP in ingresso e in uscita tramite un gruppo di sicurezza di rete o una rete virtuale. Analisi del traffico analizza i log di flusso non elaborati e combina i dati di log con informazioni dettagliate sulla sicurezza, la topologia e l'area geografica. Analisi del traffico offre quindi informazioni dettagliate sul flusso del traffico nell'ambiente in uso.

Analisi del traffico fornisce le informazioni seguenti:

  • La maggior parte degli host di comunicazione
  • La maggior parte di protocolli applicativi di comunicazione
  • Coppie host più converse
  • Traffico consentito e bloccato
  • Traffico in ingresso e in uscita
  • Porte Internet aperte
  • La maggior parte delle regole di blocco
  • Distribuzione del traffico per data center di Azure, rete virtuale, subnet o rete non autorizzata

Componenti principali

Per usare l'analisi del traffico, sono necessari i componenti seguenti:

  • Network Watcher: servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete in Azure. È possibile usare Network Watcher per attivare e disattivare i log dei flussi dei gruppi di sicurezza di rete. Per altre informazioni, vedere Che cos'è Azure Network Watcher?

  • Log Analytics: strumento nel portale di Azure per usare i dati dei log di Monitoraggio di Azure. Log di Monitoraggio di Azure è un servizio di Azure che raccoglie i dati di monitoraggio e archivia i dati in un repository centrale. Questi dati possono includere eventi, dati sulle prestazioni o dati personalizzati forniti tramite l'API di Azure. Dopo che sono stati raccolti, i dati sono disponibili perla generazione di avvisi, l'analisi e l'esportazione. Le applicazioni di monitoraggio, ad esempio Monitoraggio prestazioni rete e Analisi del traffico, usano i log di Monitoraggio di Azure. Per altre informazioni, vedere Log di Monitoraggio di Azure. Log Analytics consente di modificare ed eseguire query sui log. È anche possibile usare questo strumento per analizzare i risultati delle query. Per altre informazioni, vedere Panoramica di Log Analytics in Monitoraggio di Azure.

  • Area di lavoro Log Analytics: ambiente in cui sono archiviati i dati di log di Monitoraggio di Azure relativi a un account Azure. Per altre informazioni sulle aree di lavoro Log Analytics, vedere Panoramica dell'area di lavoro Log Analytics.

  • Inoltre, è necessario abilitare un gruppo di sicurezza di rete per la registrazione dei flussi se si usa l'analisi del traffico per analizzare log dei flussi del gruppo di sicurezza di rete o una rete virtuale abilitata per la registrazione dei flussi se si usa l'analisi del traffico per analizzare log dei flussi di rete virtuale:

    • Gruppo di sicurezza di rete (NSG): una risorsa che contiene un elenco di regole di sicurezza che consentono o rifiutano il traffico di rete verso o dal le risorse connesse a Rete virtuale di Azure. I gruppi di sicurezza di rete possono essere associati a subnet, interfacce di rete (NIC) collegate a macchine virtuali (Resource Manager) o a singole macchine virtuali (versione classica). Per altre informazioni, vedere Panoramica dei gruppi di sicurezza di rete.

    • Log dei flussi dei gruppi di sicurezza di rete: informazioni registrate sul traffico IP in ingresso e in uscita attraverso un gruppo di sicurezza di rete. I log dei flussi dei gruppi di sicurezza di rete vengono scritti in formato JSON e includono:

      • Flussi in ingresso e in uscita in base a ciascuna regola.
      • La scheda di interfaccia di rete che si applica al flusso.
      • Informazioni sul flusso, ad esempio gli indirizzi IP di origine e di destinazione, le porte di origine e di destinazione e il protocollo.
      • Stato del traffico, ad esempio consentito o negato.

      Per altre informazioni sui log dei flussi dei gruppi di sicurezza di rete, vedere Panoramica dei log dei flussi dei gruppi di sicurezza di rete.

    • Rete virtuale: una risorsa che consente a numerosi tipi di risorse di Azure di comunicare in modo sicuro tra loro, con Internet e con le reti locali. Per altre informazioni, vedere Panoramica di Rete virtuale.

    • Log di flusso di rete virtuale: informazioni registrate sul traffico IP in ingresso e in uscita attraverso una rete virtuale. I log dei flussi di rete virtuale vengono scritti in formato JSON e includono:

      • Flussi in entrata e in uscita.
      • Informazioni sul flusso, ad esempio gli indirizzi IP di origine e di destinazione, le porte di origine e di destinazione e il protocollo.
      • Stato del traffico, ad esempio consentito o negato.

      Per altre informazioni sui log dei flussi di rete virtuale, vedere Panoramica dei log dei flussi di rete virtuale.

      Nota

      Per informazioni sulle differenze tra i log dei flussi del gruppo di sicurezza di rete e i log dei flussi di rete virtuale, vedere Log dei flussi di rete virtuale confrontati con i log dei flussi dei gruppi di sicurezza di rete.

Come funziona Analisi del traffico

Analisi del traffico esamina i log di flusso non elaborati. Riduce quindi il volume di log aggregando i flussi con un indirizzo IP di origine, un indirizzo IP di destinazione, una porta di destinazione e un protocollo comuni.

Ad esempio, l'host 1 all'indirizzo IP 10.10.10.10 e l'host 2 all'indirizzo IP 10.10.20.10. Si supponga che questi due host comunichino 100 volte in un periodo di un'ora. In questo caso, il log del flusso non elaborato include 100 voci. Se questi host usano il protocollo HTTP sulla porta 80 per ognuna di queste 100 interazioni, il log ridotto presenta una voce. Tale voce indica che Host 1 e Host 2 hanno comunicato 100 volte in un periodo di un'ora usando il protocollo HTTP sulla porta 80.

I log ridotti vengono migliorati con informazioni su geografia, sicurezza e topologia e quindi archiviati in un'area di lavoro Log Analytics. Il diagramma seguente illustra il flusso di dati:

Diagramma che mostra come i dati del traffico di rete passano da un log del gruppo di sicurezza di rete a un dashboard di analisi. I passaggi intermedi includono l'aggregazione e il miglioramento.

Prerequisiti

Analisi del traffico prevede i prerequisiti seguenti:

  • Una sottoscrizione abilitata per Network Watcher. Per altre informazioni, vedere Abilitare o disabilitare Azure Network Watcher.

  • Log dei flussi dei gruppi di sicurezza di rete abilitati per i gruppi di sicurezza di rete da monitorare o log dei flussi di rete virtuale abilitati per la rete virtuale da monitorare. Per altre informazioni, vedere Creare un log del flusso del gruppo di sicurezza di rete o Creare un log del flusso di rete virtuale.

  • Un'area di lavoro Azure Log Analytics con accesso in lettura e scrittura. Per altre informazioni, vedere Creare un'area di lavoro Log Analytics.

  • Uno dei ruoli predefiniti di Azure seguenti deve essere assegnato all'account:

    Modello di distribuzione Ruolo
    Gestione risorse Proprietario
    Collaboratore
    Collaboratore rete 1 e Collaboratore monitoraggio 2

    Se nessun ruolo predefinito precedente viene assegnato all'account, assegnare un ruolo personalizzato all'account. Il ruolo personalizzato deve supportare le azioni seguenti a livello di sottoscrizione:

    • Microsoft.Network/applicationGateways/read
    • Microsoft.Network/connections/read
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/localNetworkGateways/read
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/routeTables/read
    • Microsoft.Network/virtualNetworkGateways/read
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/expressRouteCircuits/read
    • Microsoft.OperationalInsights/workspaces/read 1
    • Microsoft.OperationalInsights/workspaces/sharedkeys/action 1
    • Microsoft.Insights/dataCollectionRules/read 2
    • Microsoft.Insights/dataCollectionRules/write 2
    • Microsoft.Insights/dataCollectionRules/delete 2
    • Microsoft.Insights/dataCollectionEndpoints/read 2
    • Microsoft.Insights/dataCollectionEndpoints/write 2
    • Microsoft.Insights/dataCollectionEndpoints/delete 2

    1 Collaboratore rete non copre le azioni Microsoft.OperationalInsights/workspaces/*.

    2 Necessario solo quando si usa l'analisi del traffico per analizzare i log dei flussi di rete virtuale. Per altre informazioni, vedere Regole di raccolta dati in Monitoraggio di Azure ed Endpoint di raccolta dati in Monitoraggio di Azure.

    Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente.

    Attenzione

    Le regole e le risorse dell'endpoint di raccolta dati vengono create e gestite dall'analisi del traffico. Se si esegue un'operazione su queste risorse, l'analisi del traffico potrebbe non funzionare come previsto.

Prezzi

Per informazioni dettagliate sui prezzi, vedere Prezzi di Network Watcher e Prezzi di Monitoraggio di Azure.

Analisi del traffico (domande frequenti)

Per ottenere risposte alle domande più frequenti sull'analisi del traffico, vedere Domande frequenti sull'analisi del traffico.