Planera för trafikkontroll
Att veta vad som går in och ut ur nätverket är viktigt för att upprätthålla din säkerhetsstatus. Du bör samla in all inkommande och utgående trafik och utföra nästan realtidsanalys på den trafiken för att identifiera hot och minimera nätverkssårbarheter.
I det här avsnittet går vi igenom viktiga överväganden och rekommenderade metoder för att samla in och analysera trafik i ett virtuellt Azure-nätverk.
Utformningsbeaktanden
Azure VPN Gateway: Med VPN Gateway kan du köra en paketinsamling på en VPN-gateway, en specifik anslutning, flera tunnlar, enkelriktad trafik eller dubbelriktad trafik. Högst fem paketinsamlingar kan köras parallellt per gateway. De kan vara gatewayomfattande och per insamling av anslutningspaket. Mer information finns i VPN-paketinsamling.
Azure ExpressRoute: Du kan använda Azure Traffic Collector för att få insyn i trafik som passerar ExpressRoute-kretsar. För att utföra trendanalys utvärderar du mängden inkommande och utgående trafik som går via ExpressRoute. Du kan prova nätverksflöden som passerar de externa gränssnitten för Microsoft Edge-routrarna för ExpressRoute. En Log Analytics-arbetsyta tar emot flödesloggarna och du kan skapa egna loggfrågor för ytterligare analys. Traffic Collector stöder både providerhanterade kretsar och ExpressRoute Direct-kretsar som har 1 Gbit/s eller mer bandbredd. Traffic Collector stöder även konfigurationer av privat peering eller Microsoft-peering.
Azure Network Watcher har flera verktyg som du bör överväga om du använder IaaS-lösningar (infrastruktur som en tjänst):
Paketinsamling: Med Network Watcher kan du skapa tillfälliga insamlingspaketsessioner för trafik som är på väg till och från en virtuell dator. Varje paketinsamlingssession har en tidsgräns. När sessionen är slut skapar paketinsamling en
pcap
fil som du kan ladda ned och analysera. Network Watcher-paketinsamling kan inte ge dig kontinuerlig portspegling med dessa tidsbegränsningar. Mer information finns i Översikt över paketinsamling.Flödesloggar för nätverkssäkerhetsgrupp (NSG): NSG-flödesloggar samlar in information om IP-trafik som flödar genom dina NSG:er. Network Watcher lagrar NSG-flödesloggar som JSON-filer i Azure Storage-kontot. Du kan exportera NSG-flödesloggarna till ett externt verktyg för analys. Mer information finns i Översikt över NSG-flödesloggar och dataanalysalternativ.
Flödesloggar för virtuellt nätverk: Flödesloggar för virtuella nätverk ger liknande funktioner jämfört med NSG-flödesloggar. Du kan använda flödesloggar för virtuella nätverk för att logga information om Layer 3-trafik som flödar genom ett virtuellt nätverk. Azure Storage tar emot flödesdata från flödesloggar för virtuella nätverk. Du kan komma åt data och exportera dem till alla visualiseringsverktyg, säkerhetsinformations- och händelsehanteringslösningar eller intrångsidentifieringssystem.
Designrekommendationer
Föredrar flödesloggar för virtuella nätverk framför NSG-flödesloggar. Flödesloggar för virtuellt nätverk:
Förenkla omfånget för trafikövervakning. Du kan aktivera loggning på den virtuella nätverksnivån så att du inte behöver aktivera flödesloggning på flera nivåer för att täcka både undernäts- och nätverkskortnivåer.
Lägg till synlighet för scenarier där du inte kan använda NSG-flödesloggar på grund av plattformsbegränsningar för NSG-distributioner.
Ange extra information om krypteringsstatus för virtuellt nätverk och förekomsten av säkerhetsadministratörsregler för Azure Virtual Network Manager.
En jämförelse finns i Flödesloggar för virtuellt nätverk jämfört med flödesloggar för nätverkssäkerhetsgrupper.
Aktivera inte virtuella nätverksflödesloggar och NSG-flödesloggar samtidigt i samma målomfång. Om du aktiverar NSG-flödesloggar på NSG för ett undernät och sedan aktiverar virtuella nätverksflödesloggar i samma undernät eller överordnade virtuella nätverk duplicerar du loggning och lägger till extra kostnader.
Aktivera trafikanalys. Med verktyget kan du enkelt samla in och analysera nätverkstrafik med visualisering och säkerhetsanalys på den färdiga instrumentpanelen.
Om du behöver fler funktioner än vad trafikanalys erbjuder kan du komplettera trafikanalys med någon av våra partnerlösningar. Du hittar tillgängliga partnerlösningar på Azure Marketplace.
Använd Network Watcher-paketinsamling regelbundet för att få en mer detaljerad förståelse för din nätverkstrafik. Kör paketinsamlingssessioner vid olika tidpunkter under veckan för att få en god förståelse för vilka typer av trafik som passerar nätverket.
Utveckla inte en anpassad lösning för att spegla trafik för stora distributioner. Problem med komplexitet och support tenderar att göra anpassade lösningar ineffektiva.
Andra plattformar
Tillverkningsanläggningar har ofta krav på driftteknik (OT) som omfattar trafikspegling. Microsoft Defender för IoT kan ansluta till en spegel på en växel eller en terminalåtkomstpunkt (TAP) för industriella kontrollsystem (ICS) eller SCADA-data (övervakningskontroll och datainsamling). Mer information finns i metoder för trafikspegling för OT-övervakning.
Trafikspegling stöder avancerade strategier för distribution av arbetsbelastningar i programutveckling. Med trafikspegling kan du utföra regressionstestning före produktion på trafik med livearbetsbelastning eller utvärdera kvalitetssäkrings- och säkerhetskontrollprocesser offline.
När du använder Azure Kubernetes Service (AKS) ska du se till att ingresskontrollanten har stöd för trafikspegling om det är en del av din arbetsbelastning. Vanliga ingresskontrollanter som stöder trafikspegling är Istio, NGINX, Traefik.