Planificar la inspección del tráfico

  • Artículo

Saber lo que entra y sale de la red es esencial para mantener su posición de seguridad. Debe capturar todo el tráfico entrante y saliente, y realizar un análisis de ese tráfico casi en tiempo real, para detectar amenazas y mitigar las vulnerabilidades de red.

En esta sección se exploran las principales consideraciones y los enfoques recomendados en la captura y el análisis del tráfico en una red virtual de Azure.

Consideraciones de diseño

Azure VPN Gateway: VPN Gateway permite ejecutar una captura de paquetes en una puerta de enlace de VPN, una conexión específica, varios túneles, tráfico unidireccional o tráfico bidireccional. Se pueden ejecutar un máximo de cinco capturas de paquetes en paralelo por puerta de enlace. Pueden ser capturas de paquetes por conexión y de toda la puerta de enlace. Para más información, consulte Captura de paquetes VPN.

Azure Network Watcher tiene varias herramientas que debe tener en cuenta si usa soluciones de infraestructura como servicio (IaaS):

  • Captura de paquetes: Network Watcher permite crear sesiones de paquetes de captura temporales en el tráfico que va dirigido a una máquina virtual y también desde ella. Cada sesión de captura de paquetes tiene un límite de tiempo. Cuando finaliza la sesión, la captura de paquetes crea un archivo pcap que puede descargar y analizar. La captura de paquetes de Network Watcher no puede proporcionarle una creación de reflejo continua del puerto con estas restricciones de tiempo. Para más información, consulte Información general sobre la captura de paquetes.

  • Registros de flujo del Grupo de seguridad de red (NSG): Los registros de flujo de NSG capturan información sobre el tráfico de IP que fluye a través de los NSG. Network Watcher almacena los registros de flujo de NSG como archivos JSON en la cuenta de Azure Storage. Puede exportar los registros de flujo de NSG a una herramienta externa para su análisis. Para más información, consulte la Información general sobre los registros de flujo de NSG y las opciones de análisis de datos.

  • Análisis de tráfico: Ingiere y analiza los registros de flujo de NSG. Crea un panel de información sobre los registros de flujo de NSG y genera una vista de mapa geográfico de los recursos para facilitar el análisis. Para más información, consulte Información general de Análisis de tráfico.

Recomendaciones de diseño

  • Habilitación de Análisis de tráfico. La herramienta permite capturar y analizar fácilmente el tráfico de red con la visualización del panel y el análisis de seguridad que vienen predefinidos.

  • Si necesita más capacidades que las que ofrece Análisis de tráfico, puede complementarlo con una de las soluciones de nuestros asociados. Puede ver las soluciones disponibles de nuestros asociados en Azure Marketplace.

  • Use la captura de paquetes de Network Watcher con regularidad para obtener una comprensión más detallada del tráfico de red. Ejecute sesiones de captura de paquetes en varios momentos a lo largo de la semana para comprender bien los tipos de tráfico que navegan por su red.

  • No desarrolle una solución personalizada para reflejar el tráfico de las implementaciones de gran tamaño. Los problemas de complejidad y compatibilidad implícitos hacen que las soluciones personalizadas suelan ser ineficaces.

Otras plataformas

  • Las plantas de fabricación suelen tener requisitos de tecnología operativa (OT) que incluyen la creación de reflejo del tráfico. Microsoft Defender para IoT puede conectarse a un reflejo en un conmutador o en un punto de acceso de terminal (TAP) de sistemas de control industrial (ICS) o de datos de supervisión de control y adquisición de datos (SCADA). Para más información, consulte Métodos de creación de reflejo del tráfico para la supervisión de OT.

  • La creación de reflejo del tráfico admite estrategias avanzadas de implementación de cargas de trabajo en el desarrollo de aplicaciones. Con la creación de reflejo del tráfico, puede realizar pruebas de regresión a la preproducción en el tráfico de cargas de trabajo activas o evaluar sin conexión los procesos de control de calidad y garantía de seguridad.

  • Al usar Azure Kubernetes Service (AKS), asegúrese de que el controlador de entrada admite la creación de reflejo del tráfico si forma parte de la carga de trabajo. Los controladores de entrada comunes que admiten la creación de reflejo del tráfico son Istio, NGINX, Traefik.