Планирование проверки трафика
Зная, что происходит и выходит из вашей сети, важно поддерживать состояние безопасности. Необходимо записать весь входящий и исходящий трафик и выполнить практически в режиме реального времени анализ этого трафика для обнаружения угроз и устранения уязвимостей сети.
В этом разделе рассматриваются основные аспекты и рекомендуемые подходы к захвату и анализу трафика в виртуальной сети Azure.
Рекомендации по проектированию
Azure VPN-шлюз: VPN-шлюз позволяет выполнять запись пакетов в VPN-шлюзе, определенном подключении, нескольких туннелях, одностороннем трафике или двунаправленном трафике. Для каждого шлюза может выполняться не более пяти записей пакетов. Они могут быть шлюзом и записью пакетов подключения. Дополнительные сведения см. в статье о захвате VPN-пакетов.
Azure ExpressRoute. Сборщик трафика Azure можно использовать для получения видимости трафика, который проходит по каналам ExpressRoute. Чтобы выполнить анализ трендов, оцените объем входящего и исходящего трафика, который проходит через ExpressRoute. Вы можете примеры сетевых потоков, которые пересекли внешние интерфейсы маршрутизаторов Microsoft Edge для ExpressRoute. Рабочая область Log Analytics получает журналы потоков, и вы можете создать собственные запросы журналов для дальнейшего анализа. Сборщик трафика поддерживает каналы, управляемые поставщиком, и каналы ExpressRoute Direct с пропускной способностью 1 Гбит/с или более пропускной способностью. Сборщик трафика также поддерживает частный пиринг или конфигурации пиринга Майкрософт.
Azure Наблюдатель за сетями имеет несколько инструментов, которые следует учитывать при использовании инфраструктуры в качестве службы (IaaS):
Запись пакетов: Наблюдатель за сетями позволяет создавать временные сеансы отслеживания пакетов на трафике, который направляется на виртуальную машину и из нее. Каждый сеанс записи пакетов имеет ограничение времени. По завершении сеанса запись пакетов создает
pcapфайл, который можно скачать и проанализировать. Наблюдатель за сетями записи пакетов невозможно обеспечить непрерывное зеркальное отображение портов с этими ограничениями времени. Дополнительные сведения см. в обзоре записи пакетов.Журналы потоков группы безопасности сети (NSG): журналы потоков NSG собирают сведения о IP-трафике, который передается через группы безопасности сети. Наблюдатель за сетями хранит журналы потоков NSG в виде JSON-файлов в служба хранилища Azure учетной записи. Журналы потоков NSG можно экспортировать во внешний инструмент для анализа. Дополнительные сведения см. в обзоре журналов потоков NSG и параметрах анализа данных.
Журналы потоков виртуальной сети: журналы потоков виртуальной сети предоставляют аналогичные возможности по сравнению с журналами потоков NSG. Журналы потоков виртуальной сети можно использовать для регистрации сведений о трафике уровня 3, который проходит через виртуальную сеть. служба хранилища Azure получает данные потока из журналов потоков виртуальной сети. Вы можете получить доступ к данным и экспортировать их в любое средство визуализации, решение для управления сведениями о безопасности и событиями или систему обнаружения вторжений.
Рекомендации по проектированию
Предпочитайте журналы потоков виртуальной сети по журналам потоков NSG. Журналы потоков виртуальной сети:
Упрощение области мониторинга трафика. Вы можете включить ведение журнала на уровне виртуальной сети, чтобы не было необходимости включать ведение журнала потоков нескольких уровней для покрытия уровней подсети и сетевого адаптера.
Добавьте видимость для сценариев, где нельзя использовать журналы потоков NSG из-за ограничений платформы для развертываний NSG.
Укажите дополнительные сведения о состоянии шифрования виртуальная сеть и присутствии правил администратора безопасности Azure виртуальная сеть Manager.
Сравнение см . в журналах потоков виртуальной сети по сравнению с журналами потоков группы безопасности сети.
Не включите журналы потоков виртуальной сети и журналы потоков NSG одновременно в той же целевой области. Если включить журналы потоков NSG в NSG подсети, а затем включить журналы потоков виртуальной сети в той же подсети или родительской виртуальной сети, вы дублируете ведение журнала и добавляете дополнительные затраты.
Включите аналитику трафика. Это средство позволяет легко записывать и анализировать сетевой трафик с помощью встроенной визуализации панели мониторинга и анализа безопасности.
Если вам требуется больше возможностей, чем предложения аналитики трафика, вы можете дополнить аналитику трафика одним из наших партнерских решений. Доступные партнерские решения можно найти в Azure Marketplace.
Регулярно используйте Наблюдатель за сетями сбор пакетов, чтобы получить более подробное представление о сетевом трафике. Запустите сеансы отслеживания пакетов в разное время в течение недели, чтобы получить хорошее представление о типах трафика, проходящих по сети.
Не разрабатывайте пользовательское решение для зеркального трафика для крупных развертываний. Проблемы сложности и поддержки, как правило, делают пользовательские решения неэффективными.
другие платформы.
Производственные заводы часто имеют требования к операционным технологиям (OT), которые включают зеркальное отображение трафика. Microsoft Defender для Интернета вещей может подключаться к зеркалу на коммутаторе или точке доступа терминала (TAP) для промышленных систем управления (ICS) или контроля надзора и получения данных (SCADA). Дополнительные сведения см. в разделе "Методы зеркального отображения трафика" для мониторинга OT.
Зеркальное отображение трафика поддерживает расширенные стратегии развертывания рабочей нагрузки в разработке приложений. При зеркальном отображении трафика можно выполнять предварительное тестирование регрессии в реальном трафике рабочей нагрузки или оценивать процессы обеспечения качества и обеспечения безопасности в автономном режиме.
При использовании Служба Azure Kubernetes (AKS) убедитесь, что контроллер входящего трафика поддерживает зеркальное отображение трафика, если это часть рабочей нагрузки. Распространенные контроллеры входящего трафика, поддерживающие зеркальное отображение трафика, — Istio, NGINX, Traefik.