Pianificare l'ispezione del traffico
Conoscere il traffico in ingresso e in uscita dalla rete è essenziale per preservare il comportamento di sicurezza. È consigliabile acquisire tutto il traffico in ingresso e in uscita ed eseguire analisi near real-time sul traffico per rilevare le minacce e attenuare le vulnerabilità della rete.
Questa sezione illustra le principali considerazioni e gli approcci consigliati per l'acquisizione e l'analisi del traffico all'interno di una rete virtuale di Azure.
Considerazioni relative alla progettazione
Azure Gateway VPN: Gateway VPN consente di eseguire un'acquisizione di pacchetti in un gateway VPN, una connessione specifica, più tunnel, traffico unidirezionale o traffico bidirezionale. È possibile eseguire un massimo di cinque acquisizioni di pacchetti in parallelo per ogni gateway. Possono essere a livello di gateway e per acquisizione di pacchetti di connessione. Per altre informazioni, vedere Acquisizione di pacchetti VPN.
Azure ExpressRoute: è possibile usare Agente di raccolta traffico di Azure per ottenere visibilità sul traffico che attraversa i circuiti ExpressRoute. Per eseguire l'analisi delle tendenze, valutare la quantità di traffico in ingresso e in uscita che passa attraverso ExpressRoute. È possibile campionare flussi di rete che attraversano le interfacce esterne dei router perimetrali Microsoft per ExpressRoute. Un'area di lavoro Log Analytics riceve i log dei flussi ed è possibile creare query di log personalizzate per un'ulteriore analisi. Agente di raccolta traffico supporta sia circuiti gestiti dal provider che circuiti ExpressRoute Direct con 1 Gbps o più larghezza di banda. Agente di raccolta traffico supporta anche configurazioni di peering privato o peering Microsoft.
Azure Network Watcher include più strumenti da considerare se si usano soluzioni IaaS (Infrastructure as a Service):
Acquisizione pacchetti: Network Watcher consente di creare sessioni di pacchetti di acquisizione temporanee sul traffico diretto da e verso una macchina virtuale. Ogni sessione di acquisizione di pacchetti ha un limite di tempo. Al termine della sessione, l'acquisizione di pacchetti crea un file
pcapche è possibile scaricare e analizzare. L'acquisizione di pacchetti di Network Watcher non può offrire il mirroring continuo delle porte con questi vincoli temporali. Per altre informazioni, vedere Panoramica dell'acquisizione di pacchetti.Log dei flussi del gruppo di sicurezza di rete: i log dei flussi dei gruppi di sicurezza di rete acquisiscno informazioni sul traffico IP che scorre attraverso i gruppi di sicurezza di rete. Network Watcher archivia i log dei flussi dei gruppi di sicurezza di rete come file JSON nell'account di archiviazione di Azure. È possibile esportare i log dei flussi dei gruppi di sicurezza di rete in uno strumento esterno per l'analisi. Per altre informazioni, vedere la panoramica e le opzioni di analisi dei dati dei log dei flussi dei gruppi di sicurezza di rete.
Log dei flussi di rete virtuale: i log dei flussi di rete virtuale offrono funzionalità simili rispetto ai log dei flussi del gruppo di sicurezza di rete. È possibile usare i log del flusso di rete virtuale per registrare informazioni sul traffico di livello 3 che passa attraverso una rete virtuale. Archiviazione di Azure riceve i dati del flusso dai log dei flussi di rete virtuale. È possibile accedere ai dati ed esportarli in qualsiasi strumento di visualizzazione, soluzione di gestione degli eventi e informazioni di sicurezza o sistema di rilevamento delle intrusioni.
Suggerimenti per la progettazione
Preferisce i log dei flussi di rete virtuale nei log dei flussi del gruppo di sicurezza di rete. Log dei flussi di rete virtuale:
Semplificare l'ambito del monitoraggio del traffico. È possibile abilitare la registrazione a livello di rete virtuale in modo che non sia necessario abilitare la registrazione dei flussi a più livelli per coprire sia i livelli di subnet che di scheda di interfaccia di rete.
Aggiungere visibilità per gli scenari in cui non è possibile usare i log dei flussi del gruppo di sicurezza di rete a causa delle restrizioni della piattaforma nelle distribuzioni dei gruppi di sicurezza di rete.
Fornire dettagli aggiuntivi sullo stato di crittografia Rete virtuale e sulla presenza di regole di amministratore della sicurezza di Azure Rete virtuale Manager.
Per un confronto, vedere Log dei flussi di rete virtuale rispetto ai log dei flussi dei gruppi di sicurezza di rete.
Non abilitare i log dei flussi di rete virtuale e i log dei flussi del gruppo di sicurezza di rete contemporaneamente nello stesso ambito di destinazione. Se si abilitano i log del flusso del gruppo di sicurezza di rete nel gruppo di sicurezza di rete di una subnet e quindi si abilitano i log del flusso di rete virtuale nella stessa subnet o nella stessa rete virtuale padre, la registrazione duplicata e l'aggiunta di costi aggiuntivi.
Abilitare l'analisi del traffico. Lo strumento consente di acquisire e analizzare facilmente il traffico di rete con la visualizzazione predefinita del dashboard e l'analisi della sicurezza.
Se sono necessarie più funzionalità rispetto alle offerte di analisi del traffico, è possibile integrare l'analisi del traffico con una delle nostre soluzioni partner. È possibile trovare soluzioni partner disponibili in Azure Marketplace.
Usare regolarmente l'acquisizione di pacchetti di Network Watcher per ottenere una comprensione più dettagliata del traffico di rete. Eseguire sessioni di acquisizione di pacchetti più volte durante la settimana per comprendere meglio i tipi di traffico che attraversano la rete.
Non sviluppare una soluzione personalizzata per eseguire il mirroring del traffico per distribuzioni di grandi dimensioni. La complessità e i problemi di supporto tendono a rendere inefficienti le soluzioni personalizzate.
Altre piattaforme
Gli impianti di produzione hanno spesso requisiti di tecnologia operativa (OT) che includono il mirroring del traffico. Microsoft Defender per IoT può connettersi a un mirror su un commutatore o a un punto di accesso terminale (TAP) per sistemi di controllo industriali (ICS) o dati di controllo e acquisizione dei dati (SCADA). Per altre informazioni, vedere Metodi di mirroring del traffico per il monitoraggio OT.
Il mirroring del traffico supporta strategie avanzate di distribuzione del carico di lavoro nello sviluppo di applicazioni. Con il mirroring del traffico, è possibile eseguire test di regressione pre-produzione sul traffico del carico di lavoro in tempo reale o valutare i processi di controllo della qualità e controllo della sicurezza offline.
Quando si usa servizio Azure Kubernetes (servizio Azure Kubernetes), assicurarsi che il controller di ingresso supporti il mirroring del traffico se fa parte del carico di lavoro. I controller di ingresso comuni che supportano il mirroring del traffico sono Istio, NGINX, Traefik.