Планирование проверки трафика

  • Статья

Знание того, что входит в вашу сеть и из нее, имеет важное значение для поддержания состояния безопасности. Необходимо записать весь входящий и исходящий трафик и выполнить анализ этого трафика практически в режиме реального времени для обнаружения угроз и устранения сетевых уязвимостей.

В этом разделе рассматриваются основные аспекты и рекомендуемые подходы к сбору и анализу трафика в виртуальной сети Azure.

Рекомендации по проектированию

Azure VPN-шлюз. VPN-шлюз позволяет выполнять запись пакетов на VPN-шлюзе, определенном подключении, нескольких туннелях, одностороннем или двунаправленном трафике. Для каждого шлюза может выполняться не более пяти записей пакетов. Это может быть запись пакетов на уровне шлюза и для каждого подключения. Дополнительные сведения см. в разделе Сбор пакетов VPN.

В Azure Наблюдатель за сетями есть несколько средств, которые следует учитывать при использовании решений IaaS( инфраструктура как услуга):

  • Сбор пакетов— Наблюдатель за сетями позволяет создавать временные сеансы отслеживания пакетов для трафика, который направляется в виртуальную машину и из нее. Каждый сеанс записи пакетов имеет ограничение по времени. По завершении сеанса запись пакетов создает pcap файл, который можно скачать и проанализировать. Наблюдатель за сетями сбор пакетов не может обеспечить непрерывное зеркальное отображение портов с этими ограничениями времени. Дополнительные сведения см. в статье Общие сведения о сборе пакетов.

  • Журналы потоков группы безопасности сети (NSG) — Журналы потоков NSG собирают сведения об IP-трафике, проходящем через группы безопасности сети. Наблюдатель за сетями хранит журналы потоков NSG в виде JSON-файлов в учетной записи хранения Azure. Журналы потоков NSG можно экспортировать во внешнее средство для анализа. Дополнительные сведения см. в статье Общие сведения о журналах потоков NSG и параметрах анализа данных.

  • Аналитика трафика — Аналитика трафика выполняет прием и анализ журналов потоков NSG. Он создает панель мониторинга аналитических сведений для журналов потоков NSG и создает представление геокарты ресурсов для простого анализа. Дополнительные сведения см. в статье Обзор аналитики трафика.

Рекомендации по проектированию

  • Включите аналитику трафика. Это средство позволяет легко записывать и анализировать сетевой трафик с помощью встроенной визуализации панели мониторинга и анализа безопасности.

  • Если вам требуется больше возможностей, чем предлагает Аналитика трафика, вы можете дополнить аналитику трафика одним из наших партнерских решений. Доступные партнерские решения можно найти в Azure Marketplace.

  • Регулярно используйте Наблюдатель за сетями сбор пакетов, чтобы получить более подробное представление о сетевом трафике. Выполняйте сеансы записи пакетов в разное время в течение недели, чтобы получить представление о типах трафика, проходящего по сети.

  • Не разрабатывайте пользовательское решение для зеркало трафика для крупных развертываний. Проблемы с сложностью и поддержкой, как правило, делают пользовательские решения неэффективными.

Другие платформы

  • Производственные предприятия часто предъявляют требования к операционным технологиям (OT), которые включают зеркальное отображение трафика. Microsoft Defender для Интернета вещей могут подключаться к зеркало на коммутаторе или точке доступа терминала (TAP) для промышленных систем управления (ICS) или данных контроля и получения данных (SCADA). Дополнительные сведения см. в статье Методы зеркального отображения трафика для мониторинга OT.

  • Зеркальное отображение трафика поддерживает расширенные стратегии развертывания рабочих нагрузок при разработке приложений. При зеркальном отображении трафика можно выполнять предварительное тестирование регрессии в динамическом трафике рабочей нагрузки или оценивать процессы контроля качества и безопасности в автономном режиме.

  • При использовании Служба Azure Kubernetes (AKS) убедитесь, что контроллер входящего трафика поддерживает зеркальное отображение трафика, если он является частью рабочей нагрузки. Распространенными контроллерами входящего трафика, поддерживающими зеркальное отображение трафика, являются Istio, NGINX, Traefik.