Análisis de tráfico

Artículo
07/27/2022
Tiempo de lectura: 6 minutos

El análisis de tráfico es una solución basada en la nube que proporciona visibilidad sobre la actividad de usuarios y aplicaciones en las redes en la nube. En concreto, el análisis de tráfico analiza los registros de flujo del grupo de seguridad de red (NSG) de Network Watcher para extraer información del flujo de tráfico en la nube de Azure. Con Análisis de tráfico, puede:

Visualizar la actividad de la red en las suscripciones de Azure.
Identificar las zonas activas.
Proteger la red mediante el uso de información sobre los siguientes componentes para identificar amenazas:
- Abrir puertos
- Aplicaciones que intentan acceder a Internet.
- Máquinas virtuales (VM) que se conectan a redes no autorizadas.
Optimizar la implementación el rendimiento y la capacidad en la implementación de la red mediante la comprensión de los patrones de flujo de tráfico entre regiones de Azure e Internet.
Identificar los errores de configuración de la red que dan lugar a errores de conexión.

Nota

El análisis de tráfico ahora admite la recopilación de datos de registros de flujo de NSG con una frecuencia de cada 10 minutos.

Nota

En este artículo se usa el módulo Az de PowerShell, que es el módulo de PowerShell que se recomienda para interactuar con Azure. Para empezar a trabajar con el módulo Az de PowerShell, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Motivos para usar Análisis de tráfico

Es esencial supervisar, administrar y conocer su propia red para no poner en peligro la seguridad, el cumplimiento y el rendimiento. Conocer su propio entorno es de gran importancia para protegerlo y optimizarlo. A menudo, debe conocer el estado actual de la red, incluida la siguiente información:

¿Quién se conecta a la red?
¿Desde dónde se conectan?
¿Qué puertos están abiertos a Internet?
¿Cuál es el comportamiento de red esperado?
¿Hay algún comportamiento irregular de la red?
¿Hay algún aumento repentino en el tráfico?

Las redes en la nube son diferentes de las redes empresariales locales. En las redes locales, los enrutadores y conmutadores admiten NetFlow y otros protocolos equivalentes. Puede usar estos dispositivos para recopilar datos sobre el tráfico de red IP a medida que entra o sale de una interfaz de red. Mediante el análisis de los datos de flujo de tráfico, puede crear un análisis del flujo y volumen del tráfico de red.

Con las redes virtuales de Azure, los registros de flujo de grupo de seguridad de red recopilan datos sobre la red. Estos registros proporcionan información sobre el tráfico IP de entrada y salida mediante un grupo de seguridad de red asociado a interfaces de red, máquinas virtuales o subredes individuales. Después de analizar los registros de flujo de grupo de seguridad de red sin procesar, el análisis de tráfico combina los datos de registro con inteligencia sobre seguridad, topología y geografía. Después, el análisis de tráfico extrae información sobre el flujo de tráfico en su entorno.

El análisis de tráfico proporciona la siguiente información:

Los hosts que más se comunican
Los protocolos de aplicación que más se comunican
Los pares de host más conversadores
El tráfico permitido y bloqueado
Tráfico entrante y saliente
Apertura de puertos de Internet
Las reglas menos permisivas
La distribución del tráfico por centro de datos, red virtual, subred o red no autorizada de Azure

Componentes claves

Grupo de seguridad de red (NSG): un recurso que contiene una lista de reglas de seguridad que permiten o deniegan el tráfico de red a los recursos conectados a una red virtual de Azure. Los grupos de seguridad de red se pueden asociar a subredes, máquinas virtuales individuales (clásicas) o interfaces de red (NIC) individuales que están asociadas a máquinas virtuales (Resource Manager). Para más información, consulte Introducción a los grupos de seguridad de red.
Registros de flujo de grupo de seguridad de red: información registrada sobre el tráfico IP de entrada y salida mediante un grupo de seguridad de red. Estos registros de flujo se escriben en formato JSON y muestran:
- Flujos de entrada y de salida por regla.
- La NIC a la que se aplica el flujo.
- Información sobre el flujo, como la dirección IP de origen y destino, el puerto de origen y destino, y el protocolo.
- Estado del tráfico, como permitido o denegado.
Para más información acerca de los registros de flujos de un grupo de seguridad de red, consulte Introducción a los registros de flujo de grupos de seguridad de red.
Log Analytics: una herramienta de Azure Portal que se usa para trabajar con los datos de registros de Azure Monitor. Los registros de Azure Monitor es un servicio de Azure que recopila datos de supervisión y almacena los datos en un repositorio central. Estos datos pueden incluir eventos, datos de rendimiento o datos personalizados proporcionados mediante la API de Azure. Una vez recopilados estos datos, están disponibles para analizarlos, exportarlos y generar alertas sobre ellos. Las aplicaciones de supervisión, como Network Performance Monitor y el análisis de tráfico, usan como base los registros de Azure Monitor. Para más información, consulte Registros de Azure Monitor. Log Analytics proporciona una manera de editar y ejecutar consultas en los registros. También puede usar esta herramienta para analizar los resultados de la consulta. Para más información, consulte Introducción a Log Analytics en Azure Monitor.
Área de trabajo de Log Analytics: el entorno que almacena los datos de registro de Azure Monitor que pertenecen a una cuenta de Azure. Para más información sobre las áreas de trabajo de Log Analytics, consulte Creación de un área de trabajo de Log Analytics.
Network Watcher: un servicio regional que puede usar para supervisar y diagnosticar problemas a nivel de escenario de red en Azure. Puede usar Network Watcher para activar y desactivar los registros de flujo de grupo de seguridad de red. Para más información, consulte Network Watcher.

Funcionamiento de Análisis de tráfico

El análisis de tráfico examina los registros de flujo de grupo de seguridad de red sin procesar. A continuación, reduce el volumen de registro mediante la agregación de flujos que tienen una dirección IP de origen, una dirección IP de destino, un puerto de destino y un protocolo comunes.

Un ejemplo podría ser el Host 1 en la dirección IP 10.10.10.10 y el Host 2 en la dirección IP 10.10.20.10. Supongamos que estos dos hosts se comunican 100 veces durante una hora. El registro de flujo sin procesar tiene 100 entradas en este caso. Si estos hosts usan el protocolo HTTP en el puerto 80 en cada una de esas 100 interacciones, el registro reducido tiene una entrada. Esa entrada indica que el Host 1 y el Host 2 se comunicaron 100 veces durante una hora mediante el protocolo HTTP en el puerto 80.

Los registros reducidos se mejoran con información geográfica, de seguridad y topología y, luego, se almacenan en un área de trabajo de Log Analytics. En el diagrama siguiente, se muestra el flujo de datos:

Diagram that shows how network traffic data flows from an N S G log to an analytics dashboard. Middle steps include aggregation and enhancement.

Requisitos previos

Antes de usar el análisis de tráfico, asegúrese de que el entorno cumple los siguientes requisitos.

Requisitos del acceso de usuario

Uno de los siguientes roles integrados de Azure debe asignarse a su cuenta:

Modelo de implementación	Role
Resource Manager	Propietario
	Colaborador
	Lector
	Colaborador de la red

Si ninguno de los roles integrados anteriores se asigna a su cuenta, asigne un rol personalizado a su cuenta. El rol personalizado debe admitir las siguientes acciones a nivel de suscripción:

Microsoft.Network/applicationGateways/read
Microsoft.Network/connections/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/localNetworkGateways/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/publicIPAddresses/read"
Microsoft.Network/routeTables/read
Microsoft.Network/virtualNetworkGateways/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/expressRouteCircuits/read

Para información sobre cómo comprobar los permisos de acceso de usuario, consulte Preguntas más frecuentes sobre el análisis de tráfico.

Preguntas más frecuentes

Para obtener respuestas a las preguntas más frecuentes sobre el análisis de tráfico, consulte Preguntas más frecuentes sobre el análisis de tráfico.

Pasos siguientes

Para aprender a activar los registros de flujo, consulte Habilitación del registro de flujo de grupo de seguridad de red.
Para comprender los detalles de esquema y procesamiento del análisis de tráfico, consulte Esquema de análisis de tráfico.