トラフィックの検査を計画する
ネットワークの送受信内容を把握することは、セキュリティ体制を維持するために不可欠です。 すべての受信トラフィックと送信トラフィックをキャプチャし、そのトラフィックに対してほぼリアルタイムの分析を実行して脅威を検出し、ネットワークの脆弱性を軽減する必要があります。
このセクションでは、Azure 仮想ネットワーク内のトラフィックをキャプチャおよび分析するための主な考慮事項と推奨される方法について説明します。
設計上の考慮事項
Azure VPN Gateway: VPN Gateway を使用すると、VPN ゲートウェイ、特定の接続、複数のトンネル、一方向トラフィック、または双方向トラフィックでパケット キャプチャを実行できます。 ゲートウェイごとに最大 5 つのパケット キャプチャを並列実行することができます。 ゲートウェイ全体および接続ごとのパケット キャプチャを指定できます。 詳細については、「 VPN パケット キャプチャ」を参照してください。
Azure ExpressRoute: Azure Traffic Collector を使用すると、ExpressRoute 回線を通過するトラフィックを可視化できます。 傾向分析を実行するには、ExpressRoute を通過する受信トラフィックと送信トラフィックの量を評価します。 ExpressRoute 用の Microsoft エッジ ルーターの外部インターフェイスを通過するネットワーク フローのサンプリングを行うことができます。 フロー ログを Log Analytics ワークスペースで受け取り、さらに分析するために独自のログ クエリを作成することもできます。 Traffic Collector では、プロバイダー管理回線と、1 Gbps 以上の帯域幅を持つ ExpressRoute Direct 回線の両方がサポートされます。 Traffic Collector では、プライベート ピアリングや Microsoft ピアリング構成もサポートされます。
Azure Network Watcher には、サービスとしてのインフラストラクチャ (IaaS) ソリューションを使用している場合に考慮を要する複数のツールが用意されています。
パケット キャプチャ: Network Watcher を使用すると、仮想マシンとの間で送受信されるトラフィックに対して一時的なキャプチャ パケット セッションを作成できます。 各パケット キャプチャ セッションには時間制限があります。 セッションが終了すると、パケット キャプチャによって、ダウンロードおよび分析できる
pcap
ファイルが作成されます。 Network Watcherパケット キャプチャは、これらの時間制約を伴う継続的なポート ミラーリングを提供することはできません。 詳細については、「パケット キャプチャの概要」を参照してください。ネットワーク セキュリティ グループ (NSG) フロー ログ: NSG フロー ログは、NSG を通過する IP トラフィックに関する情報をキャプチャします。 Network Watcherは、NSG フロー ログを JSON ファイルとして Azure Storage アカウントに格納します。 NSG フロー ログは、分析用の外部ツールにエクスポートできます。 詳細については、NSG フロー ログの 概要 と データ分析オプションに関するページを参照してください。
仮想ネットワーク フロー ログ: 仮想ネットワーク フロー ログは、NSG フロー ログと同様の機能を提供します。 仮想ネットワーク フロー ログを使用すると、仮想ネットワークを通過するレイヤー 3 トラフィックに関する情報をログに記録できます。 Azure Storage は、仮想ネットワーク フロー ログからフロー データを受け取ります。 データにアクセスし、任意の視覚化ツール、セキュリティ情報およびイベント管理ソリューション、侵入検知システムにエクスポートできます。
設計の推奨事項
NSG フロー ログよりも仮想ネットワーク フロー ログを優先します。 仮想ネットワーク フロー ログには、次の利点があります。
トラフィック監視のスコープを簡略化できます。 仮想ネットワーク レベルでログ記録を有効にできます。これにより、サブネット レベルと NIC レベルの両方を対応するために複数レベルのフロー ログ記録を有効にする必要がなくなります。
NSG 展開のプラットフォーム制限により NSG フロー ログを使用できないシナリオで、可視性を追加できます。
仮想ネットワークの暗号化の状態と、Azure Virtual Network Manager のセキュリティ管理規則の存在に関する詳細情報が提供されます。
比較については、「仮想ネットワーク フロー ログとネットワーク セキュリティ グループ フロー ログの比較」を参照してください。
同じターゲット スコープで、仮想ネットワーク フロー ログと NSG フロー ログを同時に有効にしないでください。 サブネットの NSG で NSG フロー ログを有効にし、同じサブネットまたは親仮想ネットワークで仮想ネットワーク フロー ログを有効にすると、ログ記録が重複し、余分なコストが発生します。
Traffic Analytics を有効にします。 このツールを使用すると、すぐに使用できるダッシュボードの視覚化とセキュリティ分析を使用して、ネットワーク トラフィックを簡単にキャプチャおよび分析できます。
Traffic Analytics 分析が提供する機能以上の機能が必要な場合は、いずれかのパートナー ソリューションを使用してトラフィック分析を補完できます。 利用可能なパートナーソリューションは Azure Marketplace で検索できます。
Network Watcherパケット キャプチャを定期的に使用して、ネットワーク トラフィックをより詳細に理解します。 1 週間を通してさまざまな時間にパケット キャプチャ セッションを実行して、ネットワークを通過するトラフィックの種類をよく理解します。
大規模なデプロイのトラフィックをミラーリングするカスタム ソリューションを開発しないでください。 複雑さとサポート可能性の問題により、カスタム ソリューションが非効率的になる傾向があります。
その他のプラットフォーム
多くの場合、製造プラントには、トラフィック ミラーリングを含む運用技術 (OT) 要件があります。 Microsoft Defender for IoT は、産業用コントロールシステム (ICS) または監督用コントロールおよびデータ取得 (SCADA) データ用のスイッチまたはターミナル アクセス ポイント (TAP) のミラーに接続できます。 詳細については、 OT モニタリングのためのトラフィック ミラーリング方法に関するページを参照してください。
トラフィック ミラーリングは、アプリケーション開発における高度なワークロードデプロイ戦略をサポートします。 トラフィック ミラーリングを使用すると、ライブ ワークロード トラフィックに対して実稼働前回帰テストを実行したり、品質保証とセキュリティ保証プロセスをオフラインで評価したりできます。
Azure Kubernetes Service (AKS) を使用する場合は、ワークロードの一部である場合は、イングレス コントローラーがトラフィック ミラーリングをサポートしていることを確認します。 トラフィック ミラーリングをサポートする一般的なイングレス コントローラーは、 Istio、 NGINX、 Traefikです。