トラフィック ミラーリングの概要
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明する一連の記事の 1 つであり、ネットワークでトラフィック ミラーリングを構成する手順の概要を示します。
前提条件
トラフィック ミラーリングを構成する前に、センサーの場所とトラフィック ミラーリングの方法を決定していることを確認してください。
センサーの場所
センサーをネットワークに配置する最適な場所を特定し、ネットワーク トラフィックを監視し、可能な限り最適な検出とセキュリティの値を提供します。 この場所により、センサーは次の 3 種類の重要なネットワーク トラフィックにアクセスできるようになります。
| 型 | 説明 |
|---|---|
| レイヤー 2 (L2) トラフィック | ARP や DHCP などのプロトコルを含む L2 トラフィックは、センサーの配置の重要なインジケーターです。 L2 トラフィックへのアクセスは、センサーがネットワークのデバイスに関する正確で重要なデータを収集できることを意味します。 センサーが正しく配置されると、デバイスの MAC アドレスが正確にキャプチャされます。 この重要な情報は、デバイスを分類するセンサーの機能を強化するベンダー インジケーターを提供します。 |
| OT プロトコル | OT プロトコルは、ネットワーク内のデバイスに関する詳細情報を抽出するために不可欠です。 これらのプロトコルは、正確なデバイス分類につながる重要なデータを提供します。 OT プロトコル トラフィックを分析することで、センサーは、モデル、ファームウェアのバージョン、その他の関連する特性など、各デバイスに関する包括的な詳細を収集できます。 この詳細レベルは、ネットワーク管理とセキュリティにとって重要なすべてのデバイスの正確で最新のインベントリを維持するために必要です。 |
| 内部サブネット通信 | OT ネットワーク デバイスはサブネット内で通信し、内部サブネット通信内で見つかった情報により、センサーによって収集されるデータの品質が保証されます。 センサーは、多くの場合、重要なデータを含むデバイスの相互作用を監視するために、内部サブネット通信にアクセスできる場所に配置されます。 センサーは、これらのデータ パケットをキャプチャし、ネットワークの詳細で正確な画像を構築します。 |
詳細については、「OT センサーをネットワークに配置する」を参照してください。
トラフィック ミラーリングの方法
トラフィック ミラーリング方法には、それぞれ特定の使用シナリオ用に設計された 3 種類があります。 ネットワークの使用状況とサイズに基づいて最適な方法を選択します。
| ミラーリングの種類 | スイッチド ポート アナライザー (SPAN) | リモート SPAN (RSPAN) | カプセル化されたリモート SPAN (ERSPAN) |
|---|---|---|---|
| 使用シナリオ | 1 つのスイッチまたは小規模なネットワーク セグメント内のトラフィックの監視と分析に最適です。 | 大規模なネットワークや、異なるネットワーク セグメント間でトラフィックを監視する必要があるシナリオに適しています。 | リモート サイトを含む、多様なネットワークまたは地理的に分散したネットワーク上のトラフィックを監視するのに最適です。 |
| 説明 | SPAN は、1 つのスイッチまたはスイッチ スタック内で使用されるローカル トラフィック ミラーリング手法です。 これにより、ネットワーク管理者は、指定された送信元ポートまたは VLAN から、ネットワーク センサーやアナライザーなどの監視デバイスが接続されている宛先ポートにトラフィックを複製できます。 | RSPAN は、複数のスイッチ間でトラフィックをミラー化できるようにして、SPAN の機能を拡張します。 さまざまなスイッチまたはスイッチ スタックで監視を行う必要がある環境向けに設計されています。 | ERSPAN は、ミラー化されたトラフィックを汎用ルーティング カプセル化 (GRE) パケットにカプセル化し、RSPAN をさらに一歩進めます。 この方法では、異なるネットワーク セグメント間、またはインターネット経由でもトラフィック ミラーリングが可能になります。 |
| ミラーリングの設定 | - 送信元ポート/VLAN: 選択したポートまたは VLAN からのトラフィックをミラー化するようにスイッチを設定します。 - 宛先ポート: ミラー化されたトラフィックは、同じスイッチ上の指定されたポートに送信されます。 このポートは監視デバイスに接続されています。 |
- 送信元ポート/VLAN: トラフィックは、指定された送信元ポートまたは送信元スイッチ上の VLAN からミラー化されます。 - RSPAN VLAN: ミラー化されたトラフィックは、複数のスイッチにまたがる特殊な RSPAN VLAN に送信されます。 - 宛先ポート: 次に、監視デバイスが接続されているリモート スイッチの指定されたポートで、この RSPAN VLAN からトラフィックが抽出されます。 |
- 送信元ポート/VLAN: SPAN および RSPAN と同様に、トラフィックは指定された送信元ポートまたは VLAN からミラー化されます。 - カプセル化: ミラー化されたトラフィックは GRE パケットにカプセル化され、IP ネットワーク間でルーティングできます。 - 宛先ポート: カプセル化されたトラフィックは、GRE パケットがカプセル化解除され、分析される宛先ポートに接続されている監視デバイスに送信されます。 |
| メリット | - シンプルさ:構成と管理が簡単です。 - 低待ち時間: 単一のスイッチに限定されているため、遅延が最小限に抑えられます。 |
- 拡張カバレッジ: 複数のスイッチ間で監視できます。 - 柔軟性: ネットワークのさまざまな部分からのトラフィックを監視するために使用できます。 |
- 広範なカバレッジ: 異なる IP ネットワークと場所間での監視を有効にします。 - 柔軟性: 長距離または複雑なネットワーク パスを介してトラフィックを監視する必要があるシナリオで使用できます。 |
| 限界事項 | ローカル スコープ: 同じスイッチ内の監視に限定されます。これは、大規模なネットワークでは不十分な場合があります。 | ネットワーク負荷: RSPAN VLAN トラフィックが原因で、ネットワークの負荷が増加する可能性があります。 |
ミラーリング方法を選択する場合は、次の要因も考慮してください。
| 考慮すべき要素 | 説明 |
|---|---|
| ネットワークのサイズとレイアウト | - SPAN はローカル監視に適しています。 - 大規模なマルチスイッチ環境向けの RSPAN - 地理的に分散または複雑なネットワーク用の ERSPAN。 |
| トラフィック ボリューム | 選択した方法で、大幅な待機時間やネットワーク負荷を発生させることなく、大量のトラフィックを処理できることを確認します。 |
| 監視のニーズ | トラフィックがローカルまたは異なるネットワーク セグメント間でキャプチャされるかどうかを判断し、適切な方法を選択します。 |
トラフィック ミラーリングのプロセス
ネットワークでトラフィック ミラーリングを構成するには、次のいずれかの手順を使用します。
SPAN ポート:
- スイッチ SPAN ポートを使用してミラーリングを構成する
- リモート SPAN (RSPAN) ポートを使用してトラフィック ミラーリングを構成する
- センサーの監視インターフェイスを更新する (ERSPAN を構成する)
仮想スイッチ:
Defender for IoT では、TAP 構成を使用したトラフィック ミラーリングもサポートされています。 詳細については、「アクティブまたはパッシブのアグリゲーション (TAP)」を参照してください。