Delen via

Verkeersinspectie plannen

  • Artikel

Weten wat er in en uit uw netwerk gaat, is essentieel voor het onderhouden van uw beveiligingspostuur. U moet al het binnenkomende en uitgaande verkeer vastleggen en bijna realtime analyses uitvoeren op dat verkeer om bedreigingen te detecteren en netwerkproblemen te beperken.

In deze sectie worden belangrijke overwegingen en aanbevolen benaderingen besproken voor het vastleggen en analyseren van verkeer binnen een virtueel Azure-netwerk.

Ontwerpoverwegingen

Azure VPN Gateway: met VPN Gateway kunt u een pakketopname uitvoeren op een VPN-gateway, een specifieke verbinding, meerdere tunnels, verkeer in één richting of bidirectioneel verkeer. Maximaal vijf pakketopnamen kunnen parallel per gateway worden uitgevoerd. Ze kunnen gatewaybreed zijn en per verbindingspakket vastleggen. Zie VPN-pakketopname voor meer informatie.

Azure ExpressRoute: u kunt Azure Traffic Collector gebruiken om inzicht te krijgen in verkeer dat ExpressRoute-circuits doorkruist. Als u trendinganalyse wilt uitvoeren, evalueert u de hoeveelheid binnenkomend en uitgaand verkeer dat via ExpressRoute gaat. U kunt voorbeeld van netwerkstromen die de externe interfaces van de Microsoft Edge-routers voor ExpressRoute doorlopen. Een Log Analytics-werkruimte ontvangt de stroomlogboeken en u kunt uw eigen logboekquery's maken voor verdere analyse. Traffic Collector ondersteunt zowel door provider beheerde circuits als ExpressRoute Direct-circuits met 1 Gbps of meer bandbreedte. Traffic Collector ondersteunt ook persoonlijke peering- of Microsoft-peeringconfiguraties.

Azure Network Watcher heeft meerdere hulpprogramma's die u moet overwegen als u IaaS-oplossingen (Infrastructure as a Service) gebruikt:

  • Pakketopname: Met Network Watcher kunt u tijdelijke pakketsessies maken voor verkeer dat naar en van een virtuele machine gaat. Elke pakketopnamesessie heeft een tijdslimiet. Wanneer de sessie afloopt, maakt pakketopname een pcap bestand dat u kunt downloaden en analyseren. Network Watcher-pakketopname kan u geen continue poortspiegeling bieden met deze tijdsbeperkingen. Zie Het overzicht van pakketopnamen voor meer informatie.

  • Netwerkbeveiligingsgroepstroomlogboeken (NSG): NSG-stroomlogboeken leggen informatie vast over IP-verkeer dat via uw NSG's stroomt. Network Watcher slaat NSG-stroomlogboeken op als JSON-bestanden in een Azure Storage-account. U kunt de NSG-stroomlogboeken exporteren naar een extern hulpprogramma voor analyse. Zie overzicht van NSG-stroomlogboeken en opties voor gegevensanalyse voor meer informatie.

  • Stroomlogboeken voor virtuele netwerken: stroomlogboeken van virtuele netwerken bieden vergelijkbare mogelijkheden in vergelijking met NSG-stroomlogboeken. U kunt stroomlogboeken voor virtuele netwerken gebruiken om informatie te registreren over laag 3-verkeer dat via een virtueel netwerk stroomt. Azure Storage ontvangt stroomgegevens uit stroomlogboeken van virtuele netwerken. U kunt toegang krijgen tot de gegevens en deze exporteren naar elk visualisatieprogramma, beveiligingsinformatie en gebeurtenisbeheeroplossing of inbraakdetectiesysteem.

Ontwerpaanaanvelingen

  • Geef de voorkeur aan virtuele netwerkstroomlogboeken via NSG-stroomlogboeken. Stroomlogboeken voor virtuele netwerken:

    • Vereenvoudig het bereik van verkeersbewaking. U kunt logboekregistratie inschakelen op het niveau van het virtuele netwerk, zodat u stroomlogboekregistratie op meerdere niveaus niet hoeft in te schakelen voor zowel subnet- als NIC-niveaus.

    • Voeg zichtbaarheid toe voor scenario's waarbij u geen NSG-stroomlogboeken kunt gebruiken vanwege platformbeperkingen voor NSG-implementaties.

    • Geef extra informatie over de versleutelingsstatus van het virtuele netwerk en de aanwezigheid van azure Virtual Network Manager-beveiligingsbeheerdersregels.

    Zie Stroomlogboeken voor virtuele netwerken vergeleken met stroomlogboeken voor netwerkbeveiligingsgroepen voor een vergelijking.

  • Schakel geen stroomlogboeken voor virtuele netwerken en NSG-stroomlogboeken tegelijk in op hetzelfde doelbereik. Als u NSG-stroomlogboeken inschakelt op de NSG van een subnet en vervolgens virtuele-netwerkstroomlogboeken inschakelt in hetzelfde subnet of bovenliggende virtuele netwerk, dupliceert u logboekregistratie en voegt u extra kosten toe.

  • Verkeersanalyse inschakelen. Met het hulpprogramma kunt u eenvoudig netwerkverkeer vastleggen en analyseren met out-of-the-box dashboardvisualisatie en beveiligingsanalyse.

  • Als u meer mogelijkheden nodig hebt dan traffic analytics biedt, kunt u de verkeersanalyse aanvullen met een van onze partneroplossingen. U vindt beschikbare partneroplossingen in Azure Marketplace.

  • Gebruik Network Watcher-pakketopname regelmatig om een gedetailleerder inzicht te krijgen in uw netwerkverkeer. Voer gedurende de week pakketopnamesessies uit om een goed beeld te krijgen van de typen verkeer dat uw netwerk doorkruist.

  • Ontwikkel geen aangepaste oplossing om verkeer voor grote implementaties te spiegelen. De complexiteit en ondersteuningsproblemen maken aangepaste oplossingen inefficiënt.

Andere platforms

  • Productiebedrijven hebben vaak operationele technologievereisten (OT) met verkeersspiegeling. Microsoft Defender voor IoT kan verbinding maken met een spiegel op een switch of een terminaltoegangspunt (TAP) voor industriële controlesystemen (ICS) of SCADA-gegevens (Supervisory Control and Data Acquisition). Zie methoden voor verkeerspiegeling voor OT-bewaking voor meer informatie.

  • Verkeersspiegeling ondersteunt geavanceerde strategieën voor workloadimplementatie in de ontwikkeling van toepassingen. Met verkeerspiegeling kunt u preproductieregressietests uitvoeren op live workloadverkeer of kwaliteitscontrole- en beveiligingscontroleprocessen offline evalueren.

  • Wanneer u Azure Kubernetes Service (AKS) gebruikt, moet u ervoor zorgen dat uw ingangscontroller verkeerspiegeling ondersteunt als deze deel uitmaakt van uw workload. Algemene ingangscontrollers die ondersteuning bieden voor verkeerspiegeling zijn Istio, NGINX, Traefik.