Plano de inspeção de tráfego
Saber o que entra e sai da sua rede é essencial para manter a sua postura de segurança. Você deve capturar todo o tráfego de entrada e saída e realizar análises quase em tempo real desse tráfego para detetar ameaças e mitigar vulnerabilidades de rede.
Esta seção explora as principais considerações e abordagens recomendadas para capturar e analisar o tráfego em uma rede virtual do Azure.
Considerações de design
Gateway de VPN do Azure: o Gateway de VPN permite executar uma captura de pacotes em um gateway de VPN, uma conexão específica, vários túneis, tráfego unidirecional ou tráfego bidirecional. Um máximo de cinco capturas de pacotes pode ser executado em paralelo por gateway. Eles podem ser em todo o gateway e por captura de pacote de conexão. Para obter mais informações, consulte Captura de pacotes VPN.
Azure ExpressRoute: você pode usar o Coletor de Tráfego do Azure para obter visibilidade do tráfego que atravessa circuitos de Rota Expressa. Para realizar a análise de tendências, avalie a quantidade de tráfego de entrada e saída que passa pela Rota Expressa. Você pode obter exemplos de fluxos de rede que atravessam as interfaces externas dos roteadores de borda da Microsoft para ExpressRoute. Um espaço de trabalho do Log Analytics recebe os logs de fluxo e você pode criar suas próprias consultas de log para análise posterior. O Coletor de Tráfego suporta circuitos gerenciados pelo provedor e circuitos ExpressRoute Direct com 1 Gbps ou mais de largura de banda. O Coletor de Tráfego também suporta emparelhamento privado ou configurações de emparelhamento da Microsoft.
O Azure Network Watcher tem várias ferramentas que você deve considerar se estiver usando soluções de infraestrutura como serviço (IaaS):
Captura de pacotes: o Inspetor de Rede permite criar sessões temporárias de pacotes de captura no tráfego de e para uma máquina virtual. Cada sessão de captura de pacotes tem um limite de tempo. Quando a sessão termina, a captura de pacotes cria um
pcaparquivo que você pode baixar e analisar. A captura de pacotes do Network Watcher não pode oferecer espelhamento contínuo de portas com essas restrições de tempo. Para obter mais informações, consulte Visão geral da captura de pacotes.Logs de fluxo do grupo de segurança de rede (NSG): os logs de fluxo do NSG capturam informações sobre o tráfego IP que flui através de seus NSGs. O Inspetor de Rede armazena logs de fluxo NSG como arquivos JSON na conta de Armazenamento do Azure. Você pode exportar os logs de fluxo do NSG para uma ferramenta externa para análise. Para obter mais informações, consulte Visão geral dos logs de fluxo do NSG e opções de análise de dados.
Logs de fluxo de rede virtual: Os logs de fluxo de rede virtual fornecem recursos semelhantes em comparação com os logs de fluxo NSG. Você pode usar logs de fluxo de rede virtual para registrar informações sobre o tráfego da Camada 3 que flui através de uma rede virtual. O Armazenamento do Azure recebe dados de fluxo de logs de fluxo de rede virtual. Você pode acessar os dados e exportá-los para qualquer ferramenta de visualização, informações de segurança e solução de gerenciamento de eventos ou sistema de deteção de intrusão.
Recomendações de design
Prefira logs de fluxo de rede virtual a logs de fluxo NSG. Logs de fluxo de rede virtual:
Simplifique o âmbito da monitorização do tráfego. Você pode habilitar o registro em log no nível da rede virtual para não precisar habilitar o log de fluxo de vários níveis para cobrir os níveis de sub-rede e NIC.
Adicione visibilidade para cenários em que não é possível usar logs de fluxo do NSG devido a restrições de plataforma em implantações do NSG.
Forneça detalhes adicionais sobre o status de criptografia da Rede Virtual e a presença das regras de administração de segurança do Gerenciador de Rede Virtual do Azure.
Para obter uma comparação, consulte Logs de fluxo de rede virtual comparados aos logs de fluxo do grupo de segurança de rede.
Não habilite logs de fluxo de rede virtual e logs de fluxo NSG simultaneamente no mesmo escopo de destino. Se você habilitar os logs de fluxo NSG no NSG de uma sub-rede e, em seguida, habilitar os logs de fluxo de rede virtual na mesma sub-rede ou rede virtual pai, duplicará o log e adicionará custos extras.
Habilite a análise de tráfego. A ferramenta permite capturar e analisar facilmente o tráfego de rede com visualização de painel e análise de segurança prontas para uso.
Se precisar de mais recursos do que a análise de tráfego oferece, você pode complementar a análise de tráfego com uma de nossas soluções de parceiros. Pode encontrar soluções de parceiros disponíveis no Azure Marketplace.
Use a captura de pacotes do Network Watcher regularmente para obter uma compreensão mais detalhada do seu tráfego de rede. Execute sessões de captura de pacotes em vários momentos ao longo da semana para obter uma boa compreensão dos tipos de tráfego que atravessam sua rede.
Não desenvolva uma solução personalizada para espelhar o tráfego para grandes implantações. Os problemas de complexidade e capacidade de suporte tendem a tornar as soluções personalizadas ineficientes.
Outras plataformas
As fábricas geralmente têm requisitos de tecnologia operacional (OT) que incluem espelhamento de tráfego. O Microsoft Defender para IoT pode se conectar a um espelho em um switch ou um ponto de acesso de terminal (TAP) para sistemas de controle industrial (ICS) ou dados de controle de supervisão e aquisição de dados (SCADA). Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.
O espelhamento de tráfego oferece suporte a estratégias avançadas de implantação de carga de trabalho no desenvolvimento de aplicativos. Com o espelhamento de tráfego, você pode realizar testes de regressão de pré-produção no tráfego de carga de trabalho em tempo real ou avaliar os processos de garantia de qualidade e segurança offline.
Ao usar o Serviço Kubernetes do Azure (AKS), verifique se o controlador de entrada oferece suporte ao espelhamento de tráfego se ele fizer parte da sua carga de trabalho. Os controladores de entrada comuns que suportam espelhamento de tráfego são Istio, NGINX, Traefik.