規劃流量檢查

了解進出網路的流量對於維護您的安全性態勢至關重要。 您應該擷取所有輸入和輸出流量，並針對該流量執行近即時分析，以偵測威脅及降低網路弱點。

本節探討擷取和分析 Azure 虛擬網路內流量時的主要考量和建議方法。

設計考量

Azure VPN 閘道：VPN 閘道 可讓您在 VPN 閘道、特定連線、多個通道、單向流量或雙向流量上執行封包擷取。 每個閘道最多可以平行執行五個封包擷取。 它們可以是全閘道和每個連線封包擷取。 如需詳細資訊，請參閱 VPN 封包擷取 (機器翻譯)。

Azure ExpressRoute： 您可以使用 Azure 流量收集器 來查看周遊 ExpressRoute 線路的流量。 若要執行趨勢分析，請評估通過 ExpressRoute 的輸入和輸出流量。 您可以取樣網路流程，以周遊 ExpressRoute Microsoft邊緣路由器的外部介面。 Log Analytics 工作區會接收流程記錄，而且您可以建立自己的記錄查詢以進一步分析。 流量收集器同時支援提供者管理的線路和具有 1 Gbps 或更多頻寬的 ExpressRoute Direct 線路。 流量收集器也支援私人對等互連或Microsoft對等互連組態。

Azure 網路監看員 有多個工具，如果您使用基礎結構即服務 （IaaS） 解決方案，您應該考慮：

• 封包擷取：網路監看員 可讓您在前往虛擬機的流量上建立暫時擷取封包會話。 每個封包擷取工作階段都有時間限制。 工作階段結束時，封包擷取會建立 pcap 檔案以供您下載和分析。 網路監看員封包擷取無法為您提供這些時間限制的連續連接埠鏡像。 如需詳細資訊，請參閱封包擷取概觀。

• 網路安全組 （NSG） 流量記錄： NSG 流量記錄會擷取流經 NSG 的IP流量相關信息。 網路監看員會將 NSG 流量記錄儲存為 Azure 儲存體帳戶中的 JSON 檔案。 您可以將 NSG 流量記錄匯出至外部工具進行分析。 如需詳細資訊，請參閱 NSG 流量記錄概觀 (機器翻譯) 和資料分析選項 (機器翻譯)。

• 虛擬網路流量記錄：相較於 NSG 流量記錄，虛擬網路流量記錄提供類似的功能。 您可以使用虛擬網路流量記錄來記錄流經虛擬網路之第 3 層流量的相關信息。 Azure 儲存體 從虛擬網路流量記錄接收流量數據。 您可以存取數據，並將其匯出至任何視覺效果工具、安全性資訊和事件管理解決方案，或入侵檢測系統。

設計建議

• 偏好 使用虛擬網路流量記錄 ，而不是 NSG 流量記錄。 虛擬網路流量記錄：

  • 簡化流量監視的範圍。 您可以在虛擬網路層級啟用記錄功能，因此您不需要啟用多個層級的流量記錄，即可同時涵蓋子網和 NIC 層級。

  • 新增因 NSG 部署平臺限制而無法使用 NSG 流量記錄的案例可見度。

  • 提供有關 虛擬網絡 加密狀態和 Azure 虛擬網絡 Manager 安全性管理規則存在的額外詳細數據。

  如需比較，請參閱 與網路安全組流量記錄相比的虛擬網路流量記錄。

• 請勿在相同的目標範圍上同時啟用虛擬網路流量記錄和 NSG 流量記錄。 如果您在子網的 NSG 上啟用 NSG 流量記錄，然後在相同的子網或父虛擬網路上啟用虛擬網路流量記錄，則會重複記錄並新增額外的成本。

• 啟用使用分析。 此工具可讓您使用現成儀表板視覺效果和安全性分析，輕鬆地擷取和分析網路流量。

• 如果您需要比使用分析供應專案更多的功能，您可以使用我們的其中一個合作夥伴解決方案來補充使用分析。 您可以在 Azure Marketplace 中找到可用的合作夥伴解決方案。

• 定期使用網路監看員封包擷取，以深入了解您的網路流量。 在一週的不同時間執行封包擷取工作階段，以充分了解周遊網路的流量類型。

• 請勿開發自訂解決方案來鏡像大型部署的流量。 複雜性和支援性問題通常會使自訂解決方案效率不佳。

其他平台

• 製造工廠通常具有營運技術（OT）需求，包括流量鏡像。 Microsoft適用於 IoT 的 Defender 可以連接到交換器或終端機訪問點 （TAP） 上的鏡像，以進行工業控制系統 （ICS） 或監督控制和數據擷取 （SCADA） 數據。 如需詳細資訊，請參閱 OT 監視的流量鏡像方法。

• 流量鏡像支援應用程式開發中的進階工作負載部署策略。 透過流量鏡像，您可以在即時工作負載流量上執行生產前回歸測試，或離線評估品質保證和安全性保證程式。

• 使用 Azure Kubernetes Service （AKS）時，如果您的輸入控制器是工作負載的一部分，請確定您的輸入控制器支援流量鏡像。 支援流量鏡像的常見輸入控制器為 Istio、 NGINX、 Traefik。