你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

计划流量检查

了解进出网络的内容对于维护安全状况至关重要。 应捕获所有入站和出站流量,并对该流量执行准实时分析,以检测威胁并缓解网络漏洞。

本部分探讨在 Azure 虚拟网络中捕获和分析流量的关键注意事项和建议方法。

设计注意事项

Azure VPN 网关:VPN 网关允许在 VPN 网关、特定连接、多个隧道、单向流量或双向流量上运行数据包捕获。 每个网关最多可以并行运行 5 个数据包捕获。 它们可以是网关范围的和每个连接数据包捕获。 有关详细信息,请参阅 VPN 数据包捕获

Azure ExpressRoute: 可以使用 Azure 流量收集器 来了解遍历 ExpressRoute 线路的流量。 若要执行趋势分析,请评估通过 ExpressRoute 的入站和出站流量量。 可以采样遍历 ExpressRoute Microsoft 边缘路由器的外部接口的网络流。 Log Analytics 工作区接收流日志,你可以创建自己的日志查询以进一步分析。 流量收集器支持提供程序管理的线路和具有 1 Gbps 或更多带宽的 ExpressRoute Direct 线路。 流量收集器还支持专用对等互连或Microsoft对等互连配置。

Azure 网络观察程序有多个工具,如果使用的是基础结构即服务(IaaS)解决方案,应考虑以下工具:

  • 数据包捕获:网络观察程序允许在传入和传出虚拟机的流量上创建临时捕获数据包会话。 每个数据包捕获会话都有时间限制。 会话结束时,数据包捕获会创建一个可供下载和分析的 pcap 文件。 网络观察程序数据包捕获无法提供具有这些时间限制的连续端口镜像。 有关详细信息,请参阅数据包捕获概述

  • 网络安全组(NSG)流日志: NSG 流日志捕获流经 NSG 的 IP 流量的相关信息。 网络观察程序将 NSG 流日志作为 JSON 文件存储在 Azure 存储帐户中。 可以将 NSG 流日志导出到外部工具进行分析。 有关详细信息,请参阅 NSG 流日志概述数据分析选项

  • 虚拟网络流日志:与 NSG 流日志相比,虚拟网络流日志提供类似的功能。 可以使用虚拟网络流日志记录流经虚拟网络的第 3 层流量的相关信息。 Azure 存储从虚拟网络流日志接收流数据。 可以访问数据并将其导出到任何可视化工具、安全信息和事件管理解决方案或入侵检测系统。

设计建议

  • 首选 虚拟网络流日志 而不是 NSG 流日志。 虚拟网络流日志:

    • 简化流量监视的范围。 可以在虚拟网络级别启用日志记录,这样就无需启用多级流日志记录即可涵盖子网和 NIC 级别。

    • 为由于 NSG 部署的平台限制而无法使用 NSG 流日志的方案添加可见性。

    • 提供有关虚拟网络加密状态和 Azure 虚拟网络 Manager 安全管理员规则存在的额外详细信息。

    有关比较,请参阅 与网络安全组流日志相比的虚拟网络流日志

  • 不要在同一目标范围内同时启用虚拟网络流日志和 NSG 流日志。 如果在子网的 NSG 上启用 NSG 流日志,然后在同一子网或父虚拟网络上启用虚拟网络流日志,则重复日志记录并增加额外的成本。

  • 启用流量分析。 借助该工具,可以通过现成的仪表板可视化效果和安全分析轻松捕获和分析网络流量。

  • 如果需要比流量分析产品/服务更多的功能,可以使用我们的合作伙伴解决方案之一来补充流量分析。 可以在Azure 市场中找到可用的合作伙伴解决方案。

  • 定期使用网络观察程序数据包捕获来更详细地了解网络流量。 在一周的不同时间运行数据包捕获会话,以便充分了解遍历网络的流量类型。

  • 不要开发自定义解决方案来为大型部署镜像流量。 复杂性和可支持性问题往往使自定义解决方案效率低下。

其他平台

  • 制造工厂通常具有运营技术(OT)要求,包括流量镜像。 Microsoft Defender for IoT 可以连接到交换机上的镜像或终端接入点(TAP),用于工业控制系统(ICS)或监督控制和数据收集(SCADA)数据。 有关详细信息,请参阅 用于 OT 监视的流量镜像方法。

  • 流量镜像支持应用程序开发中的高级工作负荷部署策略。 使用流量镜像,可以对实时工作负荷流量执行预生产回归测试,或者脱机评估质量保证和安全保证流程。

  • 使用 Azure Kubernetes 服务 (AKS)时,请确保入口控制器支持流量镜像(如果它是工作负荷的一部分)。 支持流量镜像的常见入口控制器是 IstioNGINXTraefik