트래픽 미러링 개요
이 문서는 Microsoft Defender for IoT를 사용하여 OT 모니터링를 수행하기 위한 배포 경로를 설명하는 일련의 문서 중 하나이며 네트워크에서 트래픽 미러링을 구성하는 절차의 개요를 제공합니다.
필수 조건
트래픽 미러링을 구성하기 전에 센서 위치 및 트래픽 미러링 방법을 결정했는지 확인합니다.
센서 위치
네트워크에 센서를 배치하고, 네트워크 트래픽을 모니터링하고, 가능한 최상의 검색 및 보안 값을 제공하는 가장 적합한 위치를 식별합니다. 이 위치는 센서에 다음과 같은 세 가지 중요한 유형의 네트워크 트래픽에 대한 액세스 권한을 부여해야 합니다.
| Type | 설명 |
|---|---|
| 계층 2(L2) 트래픽 | ARP 및 DHCP와 같은 프로토콜을 포함하는 L2 트래픽은 센서의 배치에 대한 중요한 지표입니다. 또한 L2 트래픽에 액세스한다는 것은 센서가 네트워크의 디바이스에 대한 정확하고 중요한 데이터를 수집할 수 있음을 의미합니다. 센서가 올바르게 배치되면 디바이스의 MAC 주소를 정확하게 캡처합니다. 이 중요한 정보는 디바이스를 분류하는 센서의 기능을 향상시키는 공급업체 지표를 제공합니다. |
| OT 프로토콜 | OT 프로토콜은 네트워크 내의 디바이스에 대한 자세한 정보를 추출하는 데 필수적입니다. 이러한 프로토콜은 정확한 디바이스 분류로 이어지는 중요한 데이터를 제공합니다. 센서는 OT 프로토콜 트래픽을 분석하여 모델, 펌웨어 버전 및 기타 관련 특성과 같은 각 디바이스에 대한 포괄적인 세부 정보를 수집할 수 있습니다. 이 수준의 세부 정보는 네트워크 관리 및 보안에 중요한 모든 디바이스의 정확하고 최신 인벤토리를 유지하는 데 필요합니다. |
| 내부 서브넷 통신 | OT 네트워크 디바이스는 서브넷 내에서 통신하며, 내부 서브넷 통신 내에서 발견된 정보는 센서에서 수집한 데이터의 품질을 보장합니다. 센서는 중요한 데이터를 포함하는 디바이스 상호 작용을 모니터링하기 위해 내부 서브넷 통신에 액세스할 수 있는 위치에 배치됩니다. 센서는 이러한 데이터 패킷을 캡처하여 네트워크의 상세하고 정확한 그림을 작성합니다. |
자세한 내용은 네트워크에 OT 센서를 배치하는 것을 참조하세요.
트래픽 미러링 방법
각각 특정 사용 시나리오를 위해 설계된 세 가지 유형의 트래픽 미러링 방법이 있습니다. 네트워크의 사용량 및 크기에 따라 최상의 방법을 선택합니다.
| 미러링 유형 | 스위치 포트 분석기(SPAN) | 원격 SPAN(RSPAN) | 캡슐화된 원격 SPAN(ERSPAN) |
|---|---|---|---|
| 사용 시나리오 | 단일 스위치 또는 작은 네트워크 세그먼트 내에서 트래픽을 모니터링하고 분석하는 데 적합합니다. | 다양한 네트워크 세그먼트에서 트래픽을 모니터링해야 하는 대규모 네트워크 또는 시나리오에 적합합니다. | 원격 사이트를 포함하여 다양하거나 지리적으로 분산된 네트워크를 통해 트래픽을 모니터링하는 데 적합합니다. |
| 설명 | SPAN은 단일 스위치 또는 스위치 스택 내에서 사용되는 로컬 트래픽 미러링 기술입니다. 이를 통해 네트워크 관리자는 지정된 원본 포트 또는 VLAN에서 네트워크 센서 또는 분석기 등의 모니터링 디바이스가 연결된 대상 포트로 트래픽을 복제할 수 있습니다. | RSPAN은 여러 스위치에서 트래픽을 미러링할 수 있도록 하여 SPAN의 기능을 확장합니다. 서로 다른 스위치 또는 스위치 스택을 통해 모니터링이 수행되어야 하는 환경을 위해 설계되었습니다. | ERSPAN은 GRE(일반 라우팅 캡슐화) 패킷에서 미러된 트래픽을 캡슐화하여 RSPAN을 한 단계 더 발전시켰습니다. 이 방법을 사용하면 여러 네트워크 세그먼트 또는 인터넷을 통해 트래픽 미러링을 사용할 수 있습니다. |
| 미러링 설정 | - 원본 포트/VLAN: 선택한 포트 또는 VLAN의 트래픽을 미러링하도록 스위치를 구성합니다. - 대상 포트: 미러된 트래픽이 동일한 스위치의 지정된 포트로 전송됩니다. 이 포트는 모니터링 디바이스에 연결됩니다. |
- 원본 포트/VLAN: 트래픽은 원본 스위치의 지정된 원본 포트 또는 VLAN에서 미러링됩니다. - RSPAN VLAN: 미러된 트래픽은 여러 스위치에 걸쳐 있는 특수 RSPAN VLAN으로 전송됩니다. - 대상 포트: 모니터링 디바이스가 연결된 원격 스위치의 지정된 포트에서 이 RSPAN VLAN에서 트래픽이 추출됩니다. |
- 원본 포트/VLAN: SPAN 및 RSPAN과 유사하게 트래픽은 지정된 원본 포트 또는 VLAN에서 미러링됩니다. - 캡슐화: 미러된 트래픽은 GRE 패킷으로 캡슐화되어 IP 네트워크를 통해 라우팅될 수 있습니다. - 대상 포트: 캡슐화된 트래픽은 GRE 패킷이 캡슐화되고 분석되는 대상 포트에 연결된 모니터링 디바이스로 전송됩니다. |
| 혜택 | - 단순성: 쉽게 구성하고 관리할 수 있습니다. - 짧은 대기 시간: 단일 스위치로 제한되므로 최소 지연이 발생합니다. |
- 확장 적용 범위: 여러 스위치에서 모니터링할 수 있습니다. - 유연성: 네트워크의 여러 부분에서 트래픽을 모니터링하는 데 사용할 수 있습니다. |
- 광범위한 적용 범위: 다양한 IP 네트워크 및 위치에서 모니터링할 수 있습니다. - 유연성: 장거리 또는 복잡한 네트워크 경로를 통해 트래픽을 모니터링해야 하는 시나리오에서 사용할 수 있습니다. |
| 제한 사항 | 로컬 범위: 동일한 스위치 내의 모니터링으로 제한되며, 이는 대규모 네트워크에 충분하지 않을 수 있습니다. | 네트워크 부하: RSPAN VLAN 트래픽으로 인해 네트워크의 부하가 증가할 수 있습니다. |
미러링 메서드를 선택할 때는 다음 요소도 고려합니다.
| 요소 | 설명 |
|---|---|
| 네트워크 크기 및 레이아웃 | - SPAN은 로컬 모니터링에 적합합니다. - 더 큰 다중 스위치 환경을 위한 RSPAN - 지리적으로 분산되거나 복잡한 네트워크에 대한 ERSPAN입니다. |
| 트래픽 볼륨 | 선택한 메서드가 상당한 대기 시간 또는 네트워크 부하를 발생하지 않고 트래픽 볼륨을 처리할 수 있는지 확인합니다. |
| 모니터링 요구 사항 | 트래픽이 로컬로 또는 다른 네트워크 세그먼트에서 캡처되는지 확인하고 적절한 방법을 선택합니다. |
트래픽 미러링 프로세스
다음 절차 중 하나를 사용하여 네트워크에서 트래픽 미러링을 구성합니다.
SPAN 포트:
가상 스위치:
Defender for IoT는 TAP 구성을 사용하는 트래픽 미러링도 지원합니다. 자세한 내용은 활성 또는 수동 집계(TAP)를 참조하세요.