다음을 통해 공유

트래픽 검사 계획

  • 아티클

보안 상태를 유지하는 데 있어 네트워크에서 무엇이 들어가고 나오는지 아는 것은 필수입니다. 모든 인바운드 및 아웃바운드 트래픽을 캡처하고 해당 트래픽에 대해 거의 실시간 분석을 수행하여 위협을 감지하고 네트워크 취약성을 완화해야 합니다.

이 섹션에서는 Azure 가상 네트워크 내에서 트래픽을 캡처하고 분석하기 위한 주요 고려 사항 및 권장 방법을 살펴봅니다.

디자인 고려 사항

Azure VPN Gateway: VPN Gateway를 사용하면 VPN 게이트웨이, 특정 연결, 여러 터널, 단방향 트래픽 또는 양방향 트래픽에서 패킷 캡처를 실행할 수 있습니다. 게이트웨이당 최대 5개의 패킷 캡처를 병렬로 실행할 수 있습니다. 게이트웨이 전체 및 연결 패킷 캡처당일 수 있습니다. 자세한 내용은 VPN 패킷 캡처를 참조하세요.

Azure ExpressRoute: Azure Traffic Collector를 사용하여 ExpressRoute 회로를 트래버스하는 트래픽에 대한 가시성을 얻을 수 있습니다. 추세 분석을 수행하려면 ExpressRoute를 통과하는 인바운드 및 아웃바운드 트래픽의 양을 평가합니다. ExpressRoute용 Microsoft 에지 라우터의 외부 인터페이스를 트래버스하는 네트워크 흐름을 샘플링할 수 있습니다. Log Analytics 작업 영역은 흐름 로그를 수신하며, 추가 분석을 위해 고유한 로그 쿼리를 만들 수 있습니다. Traffic Collector는 공급자 관리 회로와 1Gbps 이상의 대역폭이 있는 ExpressRoute Direct 회로를 모두 지원합니다. 트래픽 수집기는 프라이빗 피어링 또는 Microsoft 피어링 구성도 지원합니다.

Azure Network Watcher 에는 IaaS(Infrastructure as a Service) 솔루션을 사용하는 경우 고려해야 할 여러 도구가 있습니다.

  • 패킷 캡처: Network Watcher를 사용하면 가상 머신으로 향하는 트래픽에 대한 임시 캡처 패킷 세션을 만들 수 있습니다. 각 패킷 캡처 세션에는 시간 제한이 있습니다. 세션이 종료되면 패킷 캡처는 다운로드하여 분석할 수 있는 pcap 파일을 만듭니다. Network Watcher 패킷 캡처는 이러한 시간 제약 조건 때문에 연속 포트 미러링을 제공할 수 없습니다. 자세한 내용은 패킷 캡처 개요를 참조하세요.

  • NSG(네트워크 보안 그룹) 흐름 로그: NSG 흐름 로그는 NSG를 통해 흐르는 IP 트래픽에 대한 정보를 캡처합니다. Network Watcher는 NSG 흐름 로그를 Azure Storage 계정에 JSON 파일로 저장합니다. 분석을 위해 NSG 흐름 로그를 외부 도구로 내보낼 수 있습니다. 자세한 내용은 NSG 흐름 로그 개요데이터 분석 옵션을 참조하세요.

  • 가상 네트워크 흐름 로그: 가상 네트워크 흐름 로그는 NSG 흐름 로그에 비해 유사한 기능을 제공합니다. 가상 네트워크 흐름 로그를 사용하여 가상 네트워크를 통해 흐르는 계층 3 트래픽에 대한 정보를 기록할 수 있습니다. Azure Storage는 가상 네트워크 흐름 로그에서 흐름 데이터를 받습니다. 데이터에 액세스하여 시각화 도구, 보안 정보 및 이벤트 관리 솔루션 또는 침입 감지 시스템으로 내보낼 수 있습니다.

디자인 권장 사항

  • NSG 흐름 로그보다 가상 네트워크 흐름 로그를 선호합니다. 가상 네트워크 흐름 로그:

    • 트래픽 모니터링 범위를 간소화합니다. 서브넷 및 NIC 수준을 모두 포함하도록 다중 수준 흐름 로깅을 사용하도록 설정할 필요가 없도록 가상 네트워크 수준에서 로깅을 사용하도록 설정할 수 있습니다.

    • NSG 배포에 대한 플랫폼 제한으로 인해 NSG 흐름 로그를 사용할 수 없는 시나리오에 대한 가시성을 추가합니다.

    • Virtual Network 암호화 상태 및 Azure Virtual Network Manager 보안 관리자 규칙존재에 대한 추가 세부 정보를 제공합니다.

    비교 는 네트워크 보안 그룹 흐름 로그와 비교하여 가상 네트워크 흐름 로그를 참조하세요.

  • 동일한 대상 범위에서 동시에 가상 네트워크 흐름 로그 및 NSG 흐름 로그를 사용하도록 설정하지 마세요. 서브넷의 NSG에서 NSG 흐름 로그를 사용하도록 설정한 다음 동일한 서브넷 또는 부모 가상 네트워크에서 가상 네트워크 흐름 로그를 사용하도록 설정하면 로깅을 복제하고 추가 비용을 추가합니다.

  • 트래픽 분석을 사용하도록 설정합니다. 이 도구를 사용하면 기본 제공 대시보드 시각화 및 보안 분석을 통해 네트워크 트래픽을 쉽게 캡처하고 분석할 수 있습니다.

  • 트래픽 분석 제품보다 더 많은 기능이 필요한 경우 파트너 솔루션 중 하나로 트래픽 분석을 보완할 수 있습니다. Azure Marketplace에서 사용 가능한 파트너 솔루션을 찾을 수 있습니다.

  • 정기적으로 Network Watcher 패킷 캡처를 사용하여 네트워크 트래픽에 대한 자세한 정보를 얻을 수 있습니다. 네트워크를 트래버스하는 트래픽 유형을 잘 파악하기 위해 일주일 내내 다양한 시간에 패킷 캡처 세션을 실행할 수 있습니다.

  • 대규모 배포에 대한 트래픽을 미러링하기 위해 사용자 지정 솔루션을 개발하지 마세요. 복잡성 및 지원 효율성 이슈는 사용자 지정 솔루션을 비효율적으로 만드는 경향이 있습니다.

기타 플랫폼

  • 제조 공장에는 종종 트래픽 미러링을 포함하는 OT(운영 기술) 요구 사항이 있습니다. Microsoft Defender for IoT는 스위치의 미러 또는 ICS(산업 제어 시스템) 또는 SCADA(감독 제어 및 데이터 취득) 데이터를 위한 TAP(터미널 액세스 지점)에 연결할 수 있습니다. 자세한 내용은 OT 모니터링에 대한 트래픽 미러링 방법을 참조 하세요.

  • 트래픽 미러링에서는 애플리케이션 개발에서 고급 워크로드 배포 전략을 지원합니다. 트래픽 미러링을 사용하면 라이브 워크로드 트래픽에서 사전 프로덕션 회귀 테스트를 수행하거나 오프라인에서 품질 보증 및 보안 보증 프로세스를 평가할 수 있습니다.

  • AKS(Azure Kubernetes Service)를 사용하는 경우 수신 컨트롤러가 워크로드의 일부인 경우 트래픽 미러링을 지원하는지 확인합니다. 트래픽 미러링을 지원하는 일반적인 수신 컨트롤러는 Istio, NGINX, Traefik입니다.