Analyse médico-légale du trafic réseau avec VTAP

Virtual Test Access Point (VTAP) est une fonctionnalité Oracle Cloud Infrastructure (OCI) qui permet la capture de paquets du trafic réseau et collecte les données requises pour une analyse réseau sophistiquée.

La capture de paquets a évolué au fil du temps. En théorie, c'est la pratique consistant à capturer le trafic réseau à des fins de révision et d'analyse. Concrètement, cela signifie capturer toutes les routes entrantes et sortantes de données possibles pour toute zone présentant une activité suspecte.

VTAP fournit un service natif OCI pour la capture et l'analyse complètes du réseau. Dans OCI, le VTAP source capture le trafic en fonction d'un filtre de capture, l'encapsule avec le protocole VXLAN et le met en miroir sur la cible désignée. Vous pouvez surveiller et analyser le trafic mis en miroir en temps réel à l'aide d'outils standard d'analyse du trafic, ou stocker le trafic pour une analyse médico-légale plus complète à une date ultérieure.

Architecture

Cette architecture utilise VTAP pour capturer le trafic réseau pour la VNIC de machine virtuelle et Autonomous Data Warehouse. Les données VTAP sont transmises à l'équilibreur de charge réseau et sont acheminées vers l'instance de calcul des données de trafic VTAP.

Le schéma suivant illustre cette architecture de référence.

Description de l'illustration vtap-forensic-analysis.png

vtap-forensic-analysis-oracle.zip

VTAP peut mettre en miroir le trafic à partir des sources suivantes :

• Une seule VNIC d'instance de calcul dans un sous-réseau
• Un équilibreur de charge en tant que service (LBaaS)
• Une base de données OCI
• Un cluster de machines virtuelles exadata
• Autonomous Data Warehouse, via une adresse privée

Dans cette architecture, nous mettons en miroir le trafic à partir de la carte d'interface réseau virtuelle du serveur Web et d'Autonomous Data Warehouse. VTAP capture tous les paquets passant par la VNIC.

Le trafic VTAP capture le flux vers l'équilibreur de charge réseau, qui le dirige vers une instance de calcul. Un processus d'écoute, tel qu'un outil d'analyse de réseau, récupère le flux et vous permet d'analyser les données et de reconstruire les interactions client/serveur, même lorsqu'il est employé dans une topologie en cluster. Cela permet aux équipes d'analyse médico-légale de disposer de données plus volumineuses grâce à une configuration quasi instantanée, ainsi que d'accéder et d'analyser en temps réel.

A partir de votre outil d'analyse, vous pouvez également envoyer les données capturées à OCI Object Storage via Storage Gateway. Storage Gateway définit ensuite sur les données un cycle de vie et des stratégies d'accès appropriés, garantissant ainsi qu'aucune donnée n'est modifiée, perdue ou endommagée.

OCI Object Storage répond aux exigences légales et réglementaires en matière de conservation des enregistrements à long terme, à la fois en termes de haute durabilité et de haute disponibilité. Vous pouvez également vous assurer qu'aucune donnée n'est manipulée pendant le processus médico-légal en activant des stratégies telles que le verrouillage d'objets, les types d'objet immuable et de bucket. Vous pouvez utiliser le stockage de fichiers OCI standard pour accéder aux objets avec d'autres outils qui nécessitent des mises en page de système de fichiers hiérarchiques plus traditionnelles.

Cette architecture de référence contient les composants suivants.

• Région

  Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer (dans les pays ou même les continents).

• Domaines de disponibilité

  Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement, ni le réseau interne du domaine de disponibilité. Ainsi, il est peu probable qu'un échec dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

• domaines de pannes

  Un domaine de pannes est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec un matériel et une alimentation indépendants. Lorsque vous répartissez des ressources entre plusieurs domaines de pannes, les applications peuvent tolérer les pannes physiques du serveur, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.

• Réseau cloud virtuel (VCN) et sous-réseaux

  Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Tout comme les réseaux de centres de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou vers un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

• Service d'équilibrage de charge réseau flexible (équilibreur de charge réseau)

  L'équilibreur de charge réseau fournit une répartition de trafic automatisée à partir d'un point d'entrée vers plusieurs serveurs back-end de votre réseau cloud virtuel (VCN). Il fonctionne au niveau de la connexion et équilibre la charge des connexions client entrantes vers des serveurs back-end en bon état reposant sur des données de couche 3 et 4 (protocole IP).

• Passerelle Internet

  La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un réseau VCN et le réseau Internet public.

• Passerelle NAT (Network Address Translation)

  Une passerelle NAT permet aux ressources privées d'un VCN d'accéder à des hôtes sur Internet, sans les exposer aux connexions Internet entrantes.

• Autonomous Data Warehouse

  Oracle Autonomous Data Warehouse est un service de base de données doté de fonctions d'autopilotage, d'autosécurisation et d'autoréparation optimisé pour les charges de travail d'entreposage de données. Vous n'avez pas besoin de configurer ou de gérer du matériel, ni d'installer un logiciel. Oracle Cloud Infrastructure gère la création de la base de données, ainsi que la sauvegarde, l'application de patches, la mise à niveau et le réglage de la base de données.

• Stockage d'objets

  Object Storage offre un accès rapide à de grandes quantités de données structurées et non structurées de tout type de contenu, notamment des sauvegardes de base de données, des données analytiques et des contenus enrichis tels que des images et des vidéos. Vous pouvez stocker et extraire en toute sécurité des données directement à partir d'Internet ou de la plate-forme cloud. Vous pouvez faire évoluer le stockage de manière transparente sans subir de dégradation des performances ou de la fiabilité du service. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archives pour le stockage "à froid" que vous conservez pendant de longues périodes et auquel vous accédez rarement.

• Liste de sécurité

  Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic à autoriser à l'entrée et à la sortie du sous-réseau.

• Table de routage

  Les tables de routage virtuelles contiennent des règles permettant d'acheminer le trafic de sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour configurer et utiliser VTAP pour l'analyse médico-légale de votre réseau virtuel.Vos exigences peuvent différer de l'architecture décrite ici.

• Priorité du trafic

  Activez le mode de priorité VTAP. Cela garantit que le trafic surveillé et le trafic en miroir VTAP sont prioritaires. Lorsque vous activez ce mode, le trafic mis en miroir peut entraîner la suppression d'une partie du trafic surveillé à chaque congestion de la source. Si cette perte de paquets est détectée, vous pouvez désactiver le mode de priorité ou mettre à niveau les formes source pour prendre en charge davantage de bande passante.

• Informatique et audit

  Configurez le stockage d'objets pour garantir la fiabilité de l'audit des données. Les meilleures pratiques incluent les journaux d'audit et l'utilisation des sommes md5 pour vérifier que vos données n'ont pas été altérées.

Remarques

Lors de l'activation de la collecte de données VTAP sur votre réseau, envisagez ces options de configuration.

• Disponibilité VTAP

  La fonction VTAP est déployée globalement, mais peut ne pas être disponible immédiatement dans toutes les zones géographiques. Nous vous recommandons de confirmer qu'il est disponible pour votre région avant de planifier son utilisation.

• Coût

  Il n'y a pas de frais pour VTAP. Cependant, VTAP augmente le trafic sur la carte d'interface réseau virtuelle, ce qui entraîne des frais. Vous pouvez réduire les ressources requises en appliquant un filtre de capture VTAP spécifique à l'application que vous analysez, tel que HTTP/80 ou HTTPS/443.

Voir plus

En savoir plus sur le VTAP et l'analyse médico-légale.

Consultez les ressources supplémentaires suivantes :

• Annonce du point d'accès de terminal virtuel pour Oracle Cloud Infrastructure
• Référence des points d'accès au test virtuel
• Structure des meilleures pratiques pour Oracle Cloud Infrastructure
• Résoudre les problèmes réseau liés au service Virtual Test Access Points sur OCI

Revenus

• Auteur : Michael Rutledge
• Contributeur : Chiping Hwang