Planejar a inspeção de tráfego
Saber o que entra e sai da rede é essencial para manter sua postura de segurança. Você deve capturar todo o tráfego de entrada e saída e executar uma análise quase em tempo real desse tráfego para detectar ameaças e atenuar vulnerabilidades de rede.
Esta seção explora as principais considerações e as abordagens recomendadas para capturar e analisar o tráfego em uma rede virtual do Azure.
Considerações sobre o design
Gateway de VPN do Azure: o Gateway de VPN permite executar uma captura de pacotes em um gateway de VPN, uma conexão específica, vários túneis, tráfego unidirecional ou tráfego bidirecional. No máximo, cinco capturas de pacotes podem ser executadas em paralelo por gateway. Eles podem ser em todo o gateway e por captura de pacote de conexão. Para obter mais informações, consulte Captura de pacotes de VPN.
Azure ExpressRoute: você pode usar o Coletor de Tráfego do Azure para obter visibilidade do tráfego que atravessa os circuitos do ExpressRoute. Para executar a análise de tendências, avalie a quantidade de tráfego de entrada e saída que passa pelo ExpressRoute. Você pode exemplos de fluxos de rede que atravessam as interfaces externas dos roteadores de borda da Microsoft para ExpressRoute. Um workspace do Log Analytics recebe os logs de fluxo e você pode criar suas próprias consultas de log para análise posterior. O Coletor de Tráfego dá suporte a circuitos gerenciados pelo provedor e circuitos ExpressRoute Direct que têm 1 Gbps ou mais de largura de banda. O Coletor de Tráfego também oferece suporte a emparelhamento privado ou configurações de emparelhamento da Microsoft.
O Observador de Rede do Azure tem várias ferramentas que você deve considerar se estiver usando soluções de IaaS (infraestrutura como serviço):
Captura de pacotes: o Observador de Rede permite criar sessões de pacotes de captura temporária no tráfego de e para uma máquina virtual. Cada sessão de captura de pacotes tem um limite de tempo. Quando a sessão termina, a captura de pacotes cria um arquivo
pcapque você pode baixar e analisar. A captura de pacotes do Observador de Rede não pode fornecer espelhamento contínuo de porta com essas restrições de tempo. Para obter mais informações, consulte Visão geral de captura de pacotes.Logs de fluxo do NSG (grupo de segurança de rede): os logs de fluxo do NSG capturam informações sobre o tráfego IP que flui por meio de seus NSGs. O Observador de Rede armazena logs de fluxo do NSG como arquivos JSON na conta de Armazenamento do Azure. Você pode exportar os logs de fluxo do NSG para uma ferramenta externa para análise. Para obter mais informações, consulte a visão geral e as opções de análise de dados dos logs de fluxo do NSG.
Logs de fluxo de rede virtual: os logs de fluxo de rede virtual fornecem recursos semelhantes em comparação com os logs de fluxo do NSG. Você pode usar logs de fluxo de rede virtual para registrar informações sobre o tráfego de Camada 3 que flui por meio de uma rede virtual. O Armazenamento do Azure recebe dados de fluxo de logs de fluxo de rede virtual. Você pode acessar os dados e exportá-los para qualquer ferramenta de visualização, solução de gerenciamento de informações e eventos de segurança ou sistema de detecção de intrusão.
Recomendações sobre design
Prefira logs de fluxo de rede virtual em vez de logs de fluxo NSG. Logs de fluxo de rede virtual:
Simplifique o escopo do monitoramento de tráfego. Você pode habilitar o log no nível da rede virtual para que não precise habilitar o log de fluxo de vários níveis para cobrir os níveis de sub-rede e NIC.
Adicione visibilidade para cenários em que você não pode usar logs de fluxo do NSG devido a restrições de plataforma em implantações de NSG.
Forneça detalhes adicionais sobre o status de criptografia da Rede Virtual e a presença de regras de administrador de segurança do Gerenciador de Rede Virtual do Azure.
Para obter uma comparação, consulte Logs de fluxo de rede virtual em comparação com logs de fluxo do grupo de segurança de rede.
Não habilite logs de fluxo de rede virtual e logs de fluxo de NSG simultaneamente no mesmo escopo de destino. Se você habilitar os logs de fluxo do NSG no NSG de uma sub-rede e, em seguida, habilitar os logs de fluxo de rede virtual na mesma sub-rede ou rede virtual pai, duplicará o log e adicionará custos extras.
Ative a análise de tráfego. A ferramenta permite capturar e analisar facilmente o tráfego de rede com um painel de visualização e análise de segurança prontos para uso.
Se você precisar de mais recursos do que a análise de tráfego oferece, poderá complementar a análise de tráfego com uma de nossas soluções de parceiros. Você pode encontrar soluções de parceiros disponíveis no Azure Marketplace.
Use a captura de pacotes do Observador de Rede regularmente para ter uma compreensão mais detalhada do tráfego de rede. Execute sessões de captura de pacotes em vários momentos ao longo da semana para ter uma boa compreensão dos tipos de tráfego que atravessam sua rede.
Não desenvolva uma solução personalizada para espelhar o tráfego de implantações grandes. Os problemas de complexidade e suporte tendem a tornar as soluções personalizadas ineficientes.
Outras plataformas
As fábricas geralmente têm requisitos de tecnologia operacional (OT) que incluem espelhamento de tráfego. O Microsoft Defender para IoT pode se conectar a um espelho em um comutador ou a um TAP (ponto de acesso de terminal) para sistemas de controle industrial (ICS) ou dados de controle de supervisão e aquisição de dados (SCADA). Para obter mais informações, consulte métodos de espelhamento de tráfego para monitoramento de OT.
O espelhamento de tráfego dá suporte a estratégias avançadas de implantação de carga de trabalho no desenvolvimento de aplicativos. Com o espelhamento de tráfego, você pode executar testes de regressão de pré-produção no tráfego de carga de trabalho ao vivo ou avaliar os processos de garantia de qualidade e garantia de segurança offline.
Ao usar o AKS (Serviço de Kubernetes do Azure), verifique se o controlador de entrada dá suporte ao espelhamento de tráfego se ele fizer parte da carga de trabalho. Os controladores de entrada comuns que suportam espelhamento de tráfego são Istio, NGINX, Traefik.