VTAPによるネットワーク・トラフィックのフォレンジック分析

仮想テスト・アクセス・ポイント(VTAP)は、ネットワーク・トラフィックのパケット・キャプチャを提供し、高度なネットワーク分析に必要なデータを収集するOracle Cloud Infrastructure (OCI)機能です。

パケットのキャプチャは時間の経過とともに進化しました。理論的には、ネットワークトラフィックをレビューおよび分析するための手法です。実質的に言えば、これは疑わしいアクティビティを示すあらゆる領域のデータ・エグレスおよびイングレス・ルートをすべて取得することを意味します。

VTAPは、完全なネットワーク取得および分析のためのOCIネイティブ・サービスを提供します。OCIでは、ソースVTAPは取得フィルタに基づいてトラフィックを取得し、VXLANプロトコルでトラフィックをカプセル化し、指定されたターゲットにミラー化します。ミラー化されたトラフィックは、標準のトラフィック分析ツールを使用してリアルタイムで監視および分析できます。また、より包括的なフォレンジック分析のためにトラフィックを後日格納することもできます。

アーキテクチャ

このアーキテクチャでは、VTAPを使用して仮想マシンVNICおよびAutonomous Data Warehouseのネットワーク・トラフィックを取得します。VTAPデータはネットワーク・ロード・バランサにフローし、VTAPトラフィック・データ・コンピュート・インスタンスにルーティングされます。

次の図は、このリファレンス・アーキテクチャを示しています。



vtap-forensic-analysis-oracle.zip

VTAPは、次のソースからのトラフィックをミラー化できます。

  • サブネット内の単一のコンピュート・インスタンスVNIC
  • サービスとしてのロード・バランサ(LBaaS)
  • OCIデータベース
  • exadata VMクラスタ
  • プライベート・エンドポイントを介したAutonomous Data Warehouse

このアーキテクチャでは、WebサーバーVNICおよびAutonomous Data Warehouseからのトラフィックをミラー化しています。VTAPは、VNICを通過するすべてのパケットを取得します。

VTAPトラフィックは、ストリームをネットワーク・ロード・バランサに取得し、コンピュート・インスタンスに送信します。ネットワーク・フォレンジック・ツールなどのリスナーは、ストリームをピックアップし、クラスタ・トポロジで採用された場合でも、データを分析してクライアント/サーバーの対話を再構築できます。これにより、法医学分析チームはほぼ瞬時に設定でき、リアルタイムでのアクセスや分析が可能になります。

フォレンジック・ツールから、取得したデータをStorage Gatewayを使用してOCI Object Storageに送信することもできます。Storage Gatewayは、データに対して適切なライフサイクル・ポリシーとアクセス・ポリシーを設定し、データの変更、失注または破損がないことを確認します。

OCI Object Storageは、耐久性と高可用性という観点の両方において、長期的なレコード保持の規制要件および法的要件に対応します。オブジェクトのロックや不変オブジェクトやバケット・タイプなどのポリシーを有効化することで、法定プロセス中にデータが操作されないようにすることもできます。標準のOCI File Storageを使用すると、より従来型の階層型ファイル・システム・レイアウトを必要とする他のツールでオブジェクトにアクセスできます。

このリファレンス・アーキテクチャには、次のコンポーネントが含まれています。

  • リージョン

    Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的な領域です。リージョンは他のリージョンから独立しており、巨大な距離は(国全体または大陸にわたって)分離できます。

  • 可用性ドメイン

    可用性ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各アベイラビリティ・ドメインの物理リソースは、フォルト・トレランスを提供する他のアベイラビリティ・ドメインのリソースから分離されます。アベイラビリティ・ドメインは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラを共有しません。そのため、1つの可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響しない可能性があります。

  • フォルト・ドメイン

    フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。各アベイラビリティ・ドメインに3つのフォルト・ドメインがあり、電源とハードウェアが独立しています。複数のフォルト・ドメインにリソースを分散すると、アプリケーションは、フォルト・ドメイン内の物理サーバーの障害、システム・メンテナンスおよび電源障害を許容できます。

  • 仮想クラウド・ネットワーク(VCN)とサブネット

    VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、CNはネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。VCNをサブネットにセグメント化できます。これは、リージョンまたは可用性ドメインにスコープを設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックでもプライベートでもかまいません。

  • 柔軟なネットワーク・ロード・バランシング・サービス(Network Load Balancer)

    Network Load Balancerは、1つのエントリ・ポイントから仮想クラウド・ネットワーク(VCN)内の複数のバックエンド・サーバーへの自動トラフィック分散を提供します。これは接続レベルで動作し、レイヤー3/レイヤー4 (IPプロトコル)データに基づいて正常なバックエンド・サーバーに受信クライアント接続をロード・バランシングします。

  • インターネット・ゲートウェイ

    インターネット・ゲートウェイを使用すると、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。

  • ネットワーク・アドレス変換(NAT)ゲートウェイ

    NATゲートウェイを使用すると、VCN内のプライベート・リソースは、着信インターネット接続にそれらのリソースを公開せずに、インターネット上のホストにアクセスできます。

  • Autonomous Data Warehouse

    Oracle Autonomous Data Warehouseは、データ・ウェアハウス・ワークロード向けに最適化された、自動運転、自己保護、自己修復が可能なデータベース・サービスです。ハードウェアの構成や管理、ソフトウェアのインストールを行う必要はありません。Oracle Cloud Infrastructureでは、データベースの作成、およびデータベースのバックアップ、パッチ適用、アップグレードおよびチューニングが処理されます。

  • オブジェクト・ストレージ

    オブジェクト・ストレージを使用すると、データベース・バックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データにすばやくアクセスできます。安全かつセキュアに保存して、インターネットから直接またはクラウド・プラットフォーム内部からデータを取得できます。パフォーマンスまたはサービスの信頼性を低下させることなく、シームレスにストレージを拡張できます。迅速、即時、頻繁にアクセスする必要があるホット・ストレージには、標準ストレージを使用します。長期間保持し、めったにアクセスしない「コールド」ストレージにはアーカイブ・ストレージを使用します。

  • セキュリティ・リスト

    サブネットごとに、サブネットの内外で許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。

  • ルート表

    仮想ルート表には、サブネットからVCN外部の宛先(通常はゲートウェイを介して)にトラフィックをルーティングするルールが含まれます。

推奨

仮想ネットワークのフォレンジック分析のためにVTAPを設定および使用するための開始点として、次の推奨事項を使用します。要件は、ここで説明するアーキテクチャとは異なる場合があります。
  • トラフィック優先度

    VTAP優先度モードを有効にします。これにより、監視対象のトラフィックとVTAPミラー化トラフィックの優先度が等しくなります。このモードを有効にすると、ミラー化されたトラフィックによって、ソースが輻輳したときにモニターされるトラフィックの一部が破棄されることがあります。このパケット損失が検出された場合、優先度モードを無効にするか、ソース・シェイプをアップグレードして帯域幅を増やすことができます。

  • フォレンジックと監査

    データを確実に監査できるように、オブジェクト・ストレージを構成します。ベスト・プラクティスとして、監査ログ、およびmd5の合計を使用したデータの改ざんがないことの検証があります。

注意事項

ネットワークでVTAPデータ収集を有効にする場合は、これらの設定オプションを考慮してください。

  • VTAPの可用性

    VTAP機能はグローバルにロールアウトされていますが、すべての地理で即座に使用できるわけではありません。使用を計画する前に、リージョンで使用できることを確認することをお薦めします。

  • コスト

    VTAPの料金はありません。ただし、VTAPは VNIC上のトラフィックを増やし、料金が発生します。分析するアプリケーションに固有のVTAPキャプチャ・フィルタ(HTTP/80、HTTPS/443など)を適用することで、必要なリソースを削減できます。

謝辞

  • 著者: Michael Rutledge
  • コントリビュータ:チップ・ハン