亚马逊AWS官方博客

VPC 流量监控 – 捕获检查网络监控

运行复杂网络并非易事。除了简单地启动和保持运行外,您还需要时刻注意异常流量模式或可能表示网络入侵、受损实例或其他异常情况的内容。

VPC 流量监控
今天,我们推出了 VPC 流量镜像。这是一项新功能,您可以将其与现有的 Virtual Private Clouds (VPC) 一起使用,以大规模捕获和检查网络流量。这将允许您:

检测网络和安全异常 – 您可以从 VPC 中的任何工作负载中提取感兴趣的流量,并将其路由到您选择的检测工具。与基于日志的传统工具相比,您可以更快地检测和响应攻击。

获得操作详情 – 您可以使用 VPC 流量镜像来获取网络可见性和控制,从而使您能够做出更明智的安全决策。

实施合规性和安全控制 – 您可以满足监控、日志记录等方面的法规和合规性要求。

解决问题 – 您可以在内部镜像应用程序流量以进行测试和故障排除您可以分析流量模式并主动定位会影响应用程序性能的阻塞点。

您可以将 VPC 流量镜像视为“虚拟光纤分路器”,其提供流经 VPC 的网络数据包的直接访问权限。您将很快看到,可以选择捕获所有流量,也可以使用筛选器捕获您特别感兴趣的数据包,并可选择限制每个数据包捕获的字节数。您可以在多帐户 AWS 环境中使用 VPC 流量镜像,捕获分布在多个 AWS 账户中的 VPC 的流量,然后将其路由到中央 VPC 进行检查。

您可以镜像来自任何由 AWS Nitro 系统提供支持的任何 EC2 实例(A1、C5、C5d、M5、M5a、M5d、R5、R5a、R5d、T3 和 z1d)的流量。

VPC 流量镜像入门
让我们回顾一下 VPC 流量镜像的关键要素,然后进行设置:

镜像源 – AWS 网络资源,存在于特定 VPC 中,可用作流量源。VPC 流量镜像支持使用弹性网络接口 (ENI) 作为镜像源。

镜像目标 – 作为镜像流量的目标的 ENI网络负载均衡器。目标可以与镜像源位于同一 AWS 账户中,也可以位于我上文提到的用于实施中央 VPC 模型的不同账户中。

镜像过滤器 – 要捕获(接受)或跳过(拒绝)的入站或出站(相对于源)流量的规范。筛选器可指定协议、源端口和目标端口的范围以及源和目标的 CIDR 块。规则已编号,并在特定镜像会话范围内按顺序处理。

流量镜像会话 – 镜像源与使用筛选器的目标之间的连接。会话已编号和按顺序评估,第一个匹配(接受或拒绝)用于确定数据包的命运。给定数据包最多发送到一个目标。

您可以使用 VPC 控制台EC2 CLIEC2 API 进行此设置,并在工作中使用 CloudFormation 支持。我将使用控制台。

我已经拥有 ENI,我将把它用作镜像源和目标(在实际使用案例中,我可能会使用 NLB 目的地):

MirrorTestENI_SourceMirrorTestENI_Destination ENI已附加到合适的 EC2 实例。打开 VPC 控制台,向下滚动到 Traffic Mirroring(流量镜像)项目,然后单击 Mirror Targets(镜像对象)

单击 Create traffic mirror target(创建流量镜像目标)

输入名称和描述,选择 Network Interface(网络接口) 目标类型,然后从菜单中选择我的 ENI。向目标添加一个 Blog 标记,就像这样,然后单击 Create(创建)

目标已创建并可供使用:

现在单击 Mirror Filters (镜像筛选器)Create traffic mirror filter(创建流量镜像筛选器)。创建一个简单的筛选器,捕获三个端口(22、80 和 443)上的入站流量,然后单击 Create(创建)

同样,它已创建并可在几秒钟内使用:

接下来,单击 Mirror Sessions (镜像会话)Create traffic mirror session(创建流镜像会话)。创建一个使用 MirrorTestENI_SourceMainTargetMyFilter 的会话,允许 AWS 选择 VXLAN 网络标识符,并说明希望镜像整个数据包:

全部设置完成。匹配筛选器的来自镜像源的流量按照 RFC 7348 中的规定进行封装,并传送到镜像目标。然后可以使用 Suricata 这样的工具来捕获、分析和显示流量。

注意事项
这里需要牢记几点:

每个 ENI 的会话 – 每个 ENI 最多可以有三个活动会话。

跨 VPC – 源和目标 ENI 可以在不同的 VPC 中,只要它们彼此对等或通过 Transit Gateway 连接。

扩展与 HA – 在大多数情况下,您应该计划将流量镜像到网络负载均衡器,然后在其背后的 EC2 实例的 Auto 扩展队列上,运行捕获和分析工具。

带宽 – 将根据实例可用的总带宽计算每个实例生成的复制流量。如果发生流量拥塞,将首先丢弃镜像流量。

现已推出
VPC 流量镜像现已推出,您可以立即开始在除亚太地区(悉尼)中国(北京)和中国(宁夏)之外的所有商业 AWS 区域使用它。将很快增加对上述地区的支持。您需要为每个镜像源支付小时费用(每小时 0.015 USD 起);更多信息请参阅 VPC 定价页面。

Jeff