Archivez le trafic réseau mis en miroir vers OCI Object Storage

Le point d'accès de test virtuel (VTAP) Oracle Cloud Infrastructure est un service de mise en miroir du trafic réseau qui capture une copie du trafic réseau à partir d'une source spécifiée, applique des filtres pour se concentrer sur les données pertinentes et l'envoie à une cible pour analyse. Cela vous permet d'améliorer le dépannage de votre réseau, la surveillance de la sécurité, l'analyse des performances réseau et l'audit de conformité.

Architecture

Cette architecture montre comment utiliser Oracle Cloud Infrastructure (OCI) pour archiver le trafic mis en miroir du point d'accès de test virtuel vers OCI Object Storage.

L'archivage du trafic réseau peut être nécessaire pour des raisons de conformité. En outre, l'archivage du trafic réseau présente des avantages lors du dépannage de problèmes réseau insaisissables ou intermittents. Vous pouvez analyser de manière sélective la capture réseau du trafic de production passé si nécessaire.

Le schéma suivant illustre cette architecture de référence.

Description de l'image oci-vtap-archiver.png

oci-vtap-archiver-oracle.zip

A titre d'exemple, un serveur Web HTTP simple se trouve dans un sous-réseau public avec ses clients dans le premier sous-réseau privé. Les clients utilisent la commande HTTP GET curl pour télécharger des fichiers à partir du serveur de fichiers HTTP. Ces clients sont configurés en tant que sources VTAP dans cette illustration. Nous mettons uniquement en miroir le trafic HTTP avec le point d'accès de test virtuel. L'équilibreur de charge réseau OCI reçoit le trafic mis en miroir du point d'accès de test virtuel et le répartit entre ses noeuds de serveur back-end. Ces noeuds back-end téléchargent ensuite la capture réseau vers OCI Object Storage. Vous pouvez éventuellement avoir des serveurs Web ou une instance de base de données comme source pour votre configuration de point d'accès de test virtuel dans votre environnement. Le reste de la conception reste généralement le même dans votre implémentation.

Les lignes en pointillés verticales entre les composants suivants indiquent que des flux de point d'accès de test virtuel supplémentaires sont configurables : Client 1 vers le client #n, agissant en tant que sources de point d'accès de test virtuel, et VTAP Sink 1 vers le point d'accès de test virtuel #m, noeuds effectuant l'archivage vers OCI Object Storage.

La configuration Terraform créera un VCN avec les trois sous-réseaux suivants :

• Sous-réseau public : contient un hôte unique, qui fait office de serveur de fichiers HTTP et de zone d'accès pour accéder aux noeuds des deux sous-réseaux privés. Vous aurez peut-être besoin d'un serveur Jumpbox ou Bastion dans un sous-réseau public de votre environnement de production pour accéder aux noeuds d'un sous-réseau privé à des fins de dépannage ou de maintenance.
• Sous-réseau privé : héberge les noeuds qui téléchargent un fichier fictif à partir du serveur de fichiers HTTP pour créer le trafic HTTP. Ces noeuds servent de sources pour le point d'accès de test virtuel et leur trafic est mis en miroir par le point d'accès de test virtuel avec un filtre de capture approprié. Ces noeuds sont appelés noeuds source VTAP. Chaque noeud source de point d'accès de test virtuel a son propre point d'accès de test virtuel distinct.
• Sous-réseau privé : contient un équilibreur de charge réseau (NLB) qui agit en tant que cible pour les points d'accès de test virtuel. L'équilibreur de charge réseau flexible OCI comporte des noeuds back-end qui effectuent la capture réseau du trafic de point d'accès de test virtuel en tant que fichiers pcap et les archivent dans un bucket. Nous appelons ces noeuds VTAP Sink. Les noeuds de récepteur de point d'accès de test virtuel et l'équilibreur de charge réseau résident dans le même sous-réseau privé.

Le point d'accès de test virtuel est configuré avec un filtre de capture pour capturer uniquement le trafic réseau des demandes HTTP GET émises par ces sources de point d'accès de test virtuel vers le serveur de fichiers HTTP de notre sous-réseau public. Le point d'accès de test virtuel est défini sur la VNIC principale des noeuds source du point d'accès de test virtuel.

Vous pouvez choisir la région et le compartiment pour votre déploiement. Toutes les ressources sont créées dans la région et le compartiment indiqués. Le bucket OCI Object Storage permettant d'archiver les fichiers pcap est également créé.

L'architecture comprend les composants suivants :

• Région

  Une région Oracle Cloud Infrastructure est une zone géographique précise, incluant un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer (entre pays, voire continents).

• Réseau cloud virtuel (VCN) et sous-réseaux

  Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent le contrôle sur l'environnement réseau. Un réseau cloud virtuel peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après l'avoir créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

• Point d'accès de test virtuel

  Un point d'accès de test virtuel (VTAP) permet de mettre en miroir le trafic d'une source désignée vers une cible sélectionnée afin de faciliter le dépannage, l'analyse de la sécurité et la surveillance des données.

• Equilibreur de charge réseau

  OCI Flexible Network Load Balancer fournit une répartition automatisée du trafic d'un point d'entrée à plusieurs serveurs dans un ensemble de back-ends. Les équilibreurs de charge réseau garantissent que vos services restent disponibles en dirigeant le trafic uniquement vers des serveurs en bon état reposant sur des données de couche 3 et 4 (protocole IP). Ici, nous utilisons OCI Flexible Network Load Balancer pour équilibrer la charge du trafic UDP VXLAN vers les noeuds de récepteur de point d'accès de test virtuel.

• Object Storage

  Oracle Cloud Infrastructure Object Storage fournit un accès rapide à de grandes quantités de données, structurées ou non, de tout type de contenu, y compris des sauvegardes de base de données, des données analytiques et du contenu enrichi tel que des images et des vidéos. Vous pouvez stocker les données, puis les extraire directement à partir d'Internet ou de la plate-forme cloud, et ce, en toute sécurité. Vous pouvez redimensionner le stockage sans dégradation des performances ni de la fiabilité des services. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archive pour le stockage "à froid" que vous conservez pendant de longues périodes et auquel vous accédez rarement.

• Passerelle de service

  La passerelle de service fournit un accès à partir d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic entre le VCN et le service Oracle passe par la structure du réseau Oracle et ne traverse pas Internet.

• Passerelle Internet

  La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.

Recommandations

Utilisez les recommandations suivantes comme point de départ. Vos exigences peuvent différer de l'architecture décrite ici.

• VCN

  Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher à des sous-réseaux dans le VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adresse IP privée standard.

  Sélectionnez les blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) auquel vous avez l'intention de configurer des connexions privées.

  Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

  Lorsque vous concevez les sous-réseaux, tenez compte du flux de trafic et des exigences de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

  Utiliser des sous-réseaux régionaux.

• Limites de connexion de l'équilibreur de charge réseau

  L'équilibreur de charge réseau OCI L3/L4 est un service gratuit et s'adapte automatiquement de manière dynamique en fonction du trafic. Les équilibreurs de charge réseau présentent une limite de connexions simultanées par défaut de 330 000 connexions par domaine de disponibilité. Dans trois régions de domaine de disponibilité, par défaut, les équilibreurs de charge réseau présentent une limite de connexions simultanées d'un million.

• Listes de sécurité

  Utilisez des listes de sécurité pour définir des règles entrantes et sortantes qui s'appliquent à l'ensemble du sous-réseau.

• Groupes de sécurité réseau

  Vous pouvez utiliser des groupes de sécurité réseau pour définir un ensemble de règles entrantes et sortantes qui s'appliquent à des cartes d'interface réseau virtuelles spécifiques. Nous vous recommandons d'utiliser des groupes de sécurité réseau plutôt que des listes de sécurité, car ces derniers vous permettent de séparer l'architecture de sous-réseau du VCN des exigences de sécurité de votre application.

• Pour plus d'informations sur le filtre de capture, reportez-vous au fichier vtap.tf dans GitHub.
• Reportez-vous au fichier cloud_init/vtap_sink.yml pour plus d'informations sur la configuration de tcpdump et le fonctionnement de la décapsulation du trafic en miroir encapsulé VXLAN.

Points à prendre en compte

Lors de l'implémentation de cette solution, tenez compte des points suivants :

• Trafic de protocole Internet

  Cette solution est développée et testée uniquement pour le trafic IPv4.

• Droits d'accès

  Vous devez disposer des droits d'accès Oracle Cloud Infrastructure Identity and Access Management requis pour le compartiment et la région choisis afin de créer toutes les ressources OCI nécessaires pour ce déploiement.

• Paramètres configurables

  Reportez-vous au fichier variables.tf pour afficher tous les paramètres configurables.

• Sources et règles de point d'accès de test virtuel
  • Un point d'accès de test virtuel doit toujours avoir une source, une cible et un filtre de capture associé.
  • Un filtre de capture doit toujours être associé à au moins une règle.
  • Une VNIC ne peut jamais être la source de plusieurs points d'accès de test virtuel.

Déployez

Téléchargez le code à partir de GitHub, personnalisez-le et déployez-le. Terraform configurera toutes les ressources requises dans votre location OCI.

Vous pouvez utiliser le déploiement en un clic à l'aide d'OCI Resource Manager ou télécharger du code pour le déployer à partir d'un ordinateur de développement local.

Les liens sont disponibles sur GitHub.

1. Accédez à GitHub.
2. La section Déployer du document README s'affiche.
3. Suivez les instructions du document README.

En savoir plus

En savoir plus sur Oracle Cloud Infrastructure et la mise en miroir réseau :

Consultez les ressources supplémentaires suivantes :

• Points d'accès de test virtuel (Documentation OCI)
• Sources et cibles VTAP (Documentation OCI)
• Journaux de flux VCN (Documentation OCI)
• Documentation Oracle Cloud Infrastructure
• Structure des meilleures pratiques pour Oracle Cloud Infrastructure
• Estimateur de coût Oracle Cloud
• Structure d'adoption du cloud

Accusés de réception

• Auteur : Mayur Raleraskar