Planen der Datenverkehrsüberprüfung
Das Wissen, was in und aus Ihrem Netzwerk kommt, ist wichtig, um Ihren Sicherheitsstatus aufrechtzuerhalten. Sie sollten den gesamten ein- und ausgehenden Datenverkehr erfassen und echtzeitnahe Analysen für diesen Datenverkehr ausführen, um Bedrohungen zu erkennen und Netzwerkrisiken zu verringern.
In diesem Abschnitt finden Sie wichtige Überlegungen und empfohlene Ansätze für die Erfassung und Analyse des Datenverkehrs in einem virtuellen Azure-Netzwerk.
Überlegungen zum Entwurf
Azure VPN Gateway: Mit VPN Gateway können Sie eine Paketerfassung für ein VPN-Gateway, eine bestimmten Verbindung, mehrere Tunnel, unidirektionalen Datenverkehr oder bidirektionalen Datenverkehr ausführen. Pro Gateway können maximal fünf Paketerfassungen parallel ausgeführt werden. Dies kann eine Gateway-weite und verbindungsspezifische Paketerfassung sein. Weitere Informationen finden Sie unter VPN-Paketerfassung.
Azure ExpressRoute: Sie können den Azure Traffic Collector verwenden, um Einblicke in den Datenverkehr zu erhalten, der durch ExpressRoute-Verbindungen geleitet wird. Um eine Trendanalyse durchzuführen, bewerten Sie die Menge des ein- und ausgehenden Datenverkehrs, der durch ExpressRoute geleitet wird. Sie können für Netzwerkdatenflüsse, die durch die externen Schnittstellen der Microsoft Edge-Router für ExpressRoute geleitet werden, ein Sampling ausführen. Ein Arbeitsbereich für die Protokollanalyse empfängt die Datenflussprotokolle. Anschließend können Sie zur weiteren Analyse Ihre eigenen Protokollabfragen erstellen. Der Traffic Collector unterstützt sowohl vom Anbieter verwaltete Verbindungen als auch ExpressRoute Direct-Verbindungen mit einer Bandbreite von 1 GBit/s oder mehr. Der Traffic Collector unterstützt auch privates Peering oder Peeringkonfigurationen von Microsoft.
Azure Network Watcher bietet mehrere Tools, die Sie berücksichtigen sollten, wenn Sie Infrastructure-as-a-Service-Lösungen (IaaS) verwenden:
Paketerfassung: Network Watcher bietet die Möglichkeit, vorübergehende Paketerfassungssitzungen für Datenverkehr zu und von einem virtuellen Computer zu erstellen. Jede Paketerfassungssitzung verfügt über ein Zeitlimit. Wenn die Sitzung endet, erstellt die Paketerfassung eine
pcap
-Datei, die Sie herunterladen und analysieren können. Die Paketerfassung mit Network Watcher ermöglicht keine kontinuierliche Portspiegelung mit diesen zeitlichen Einschränkungen. Weitere Informationen finden Sie in der Übersicht über die Paketerfassung.NSG-Datenflussprotokolle (Network Security Group): NSG-Datenflussprotokolle erfassen Informationen zum IP-Datenverkehr durch Ihre Netzwerksicherheitsgruppen. Network Watcher speichert NSG-Datenflussprotokolle als JSON-Dateien im Azure Storage-Konto. Sie können die NSG-Datenflussprotokolle in ein externes Tool für die Analyse exportieren. Weitere Informationen finden Sie in der Übersicht über NSG-Datenflussprotokolle und in den Datenanalyseoptionen für NSG-Datenflussprotokolle.
Virtuelle Netzwerkdatenflussprotokolle: Virtuelle Netzwerkdatenflussprotokolle bieten ähnliche Funktionen wie NSG-Datenflussprotokolle. Sie können virtuelle Netzwerkdatenflussprotokolle verwenden, um Informationen zum Datenverkehr der Ebene 3 zu protokollieren, der über ein virtuelles Netzwerk geleitet wird. Azure Storage empfängt Flussdaten aus virtuelle Netzwerkdatenflussprotokollen. Sie können auf die Daten zugreifen und sie in alle Visualisierungstools, Lösungen für Sicherheitsinformationen und Ereignisverwaltung oder Angriffserkennungssysteme (Intrusion Detection System) exportieren.
Entwurfsempfehlungen
Ziehen Sie virtuelle Netzwerkdatenflussprotokolle NSG-Datenflussprotokollen vor. Virtuelle Netzwerkdatenflussprotokolle:
Reduzieren Sie den Umfang der Datenverkehrsüberwachung. Sie können die Protokollierung auf der Ebene der virtuellen Netzwerke aktivieren. Wenn Sie dies tun, müssen Sie die mehrstufige Datenflussprotokollierung nicht aktivieren, um gleichzeitig Subnetz- und NIC-Ebenen abzudecken.
Gestalten Sie Szenarien, in denen Sie NSG-Datenflussprotokolle aufgrund von Plattformeinschränkungen für NSG-Bereitstellungen nicht verwenden können, transparenter.
Stellen Sie zusätzliche Informationen zum Status der Virtual Network-Verschlüsselung und zum Vorhandensein von Sicherheitsverwaltungsregeln für den Azure Virtual Network Manager bereit.
Einen Vergleich finden Sie unter Virtuelle Netzwerkdatenflussprotokolle im Vergleich zu Netzwerksicherheitsgruppen-Datenflussprotokollen.
Aktivieren Sie virtuelle Netzwerkdatenflussprotokolle und NSG-Datenflussprotokolle im selben Zielbereich nicht gleichzeitig. Wenn Sie NSG-Datenflussprotokolle im NSG eines Subnetzes aktivieren und daraufhin virtuelle Netzwerkdatenflussprotokolle im selben Subnetz oder im übergeordneten virtuellen Netzwerk aktivieren, duplizieren Sie die Protokollierung und generieren dadurch zusätzliche Kosten.
Aktivieren Sie die Datenverkehrsanalyse. Das Tool bietet die Möglichkeit, den Netzwerkdatenverkehr mithilfe einer vordefinierten Dashboardvisualisierung und Sicherheitsanalyse einfach zu erfassen und zu analysieren.
Wenn Sie mehr Funktionen benötigen, als die Datenverkehrsanalyse bietet, können Sie die Datenverkehrsanalyse mit einer Lösung eines unserer Partner ergänzen. Verfügbare Partnerlösungen finden Sie im Azure Marketplace.
Verwenden Sie die Paketerfassung von Network Watcher regelmäßig, um ein detaillierteres Verständnis für Ihren Netzwerkdatenverkehr zu erhalten. Führen Sie Paketerfassungssitzungen mehrmals in der Woche aus, um ein gutes Verständnis des Datenverkehrs zu erhalten, der Ihr Netzwerk durchläuft.
Entwickeln Sie bei großen Bereitstellungen keine benutzerdefinierte Lösung zum Spiegeln des Datenverkehrs. Probleme aufgrund von Komplexität und Unterstützbarkeit machen benutzerdefinierte Lösungen tendenziell ineffizient.
Andere Plattformen
Fertigungsanlagen verfügen häufig über betriebstechnische Anforderungen, die eine Spiegelung des Datenverkehrs beinhalten. Microsoft Defender for IoT kann eine Verbindung zu einem Spiegel in einem Switch oder einem Terminalzugangspunkt (TAP) für Daten von industriellen Steuerungssystemen oder von Systemen für Überwachung, Steuerung und Datenerfassung herstellen. Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.
Die Datenverkehrsspiegelung unterstützt erweiterte Workload-Bereitstellungsstrategien in der Anwendungsentwicklung. Mit der Datenverkehrsspiegelung können Sie Präproduktionsregressionstests für Live-Workloaddatenverkehr durchführen oder Qualitätssicherungs- und Sicherheitsgewährleistungsprozesse offline bewerten.
Achten Sie bei Verwendung von Azure Kubernetes Service (AKS) darauf, dass Ihr Eingangsdatencontroller die Datenverkehrsspiegelung unterstützt, wenn sie Teil Ihrer Workload ist. Gebräuchliche Eingangsdatencontroller, die die Datenverkehrsspiegelung unterstützen, sind Istio, NGINX, Traefik.