1. VTAP 網路流量的鑑識分析
  2. VTAP 網路流量鑑識分析

VTAP 網路流量鑑識分析

虛擬測試存取點 (VTAP) 是 Oracle Cloud Infrastructure (OCI) 功能,提供封包擷取網路流量並收集精密網路分析所需的資料。

隨時間推進封包擷取。理論上是擷取網路流量以進行複查和分析的做法。就實際層面而言,這表示擷取顯示可疑活動的任何區域的所有可能資料輸出和輸入路由。

VTAP 提供 OCI 原生服務,可進行完整的網路擷取和分析。在 OCI 中,來源 VTAP 會根據擷取篩選擷取流量、將其封裝為 VXLAN 協定,並將其鏡射至指定的目標。您可以使用標準流量分析工具即時監控及分析鏡像流量,或是儲存流量以供日後進行更全面性的分析。

架構

此架構使用 VTAP 來擷取虛擬機器 VNIC 和 Autonomous Data Warehouse 的網路流量。VTAP 資料會流向網路負載平衡器,並遞送至 VTAP 流量資料運算執行處理。

下圖說明此參考架構。


vtap-forensic-analysis.png 的描述如下
vtap-forensic-analysis.png 圖解說明

vtap-forensic-analysis-oracle.zip

VTAP 可鏡射來自下列來源的流量:

  • 子網路中的單一運算執行處理 VNIC
  • 負載平衡器即服務 (LBaaS)
  • 一個 OCI 資料庫
  • Exadata VM 叢集
  • 透過專用端點的 Autonomous Data Warehouse

在此架構中,我們是從 Web 伺服器 VNIC 及 Autonomous Data Warehouse 鏡像流量。VTAP 會擷取所有透過 VNIC 進行的封包。

VTAP 流量會擷取串流至網路負載平衡器,此負載平衡器會導向運算執行處理。監聽器 (例如網路鑑識工具) 會挑選串流,並讓您分析資料並重新建構從屬端 / 伺服器互動,即使在叢集拓樸中採用也一樣。藉由近乎即時的設定,以及即時的存取與分析,這讓分析團隊更完整的資料。

您也可以從鑑識工具,透過儲存閘道,將擷取的資料傳送至 OCI 物件儲存。儲存閘道會接著就資料設定適當的生命週期與存取原則,確保不會修改、遺失或損毀資料。

OCI 物件儲存體可滿足長期記錄留存的法規和法律需求,不論是高持久性或高可用性都符合。您也可以啟用像是物件鎖定和不可變的物件與儲存桶類型等原則,確保在鑑識流程期間不會操控任何資料。您可以使用標準 OCI 檔案儲存來存取含有其他需要較傳統階層檔案系統版面配置工具的物件。

此參考架構包含下列元件。

  • 區域

    Oracle Cloud Infrastructure 區域是一個包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且遠距離也能分隔它們 (跨國家或甚至大陸)。

  • 可用性網域

    可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。

  • 容錯域

    容錯網域是可用性網域內的硬體和基礎架構群組。每個可用性網域都具備三個具有獨立電源和硬體的容錯域。當您分散多個容錯域的資源時,您的應用系統可以忍受容錯域內的實體伺服器故障、系統維護及電源故障。

  • 虛擬雲端網路 (VCN) 和子網路

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可客製化的軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完整控制您的網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以將範圍擴展到區域或可用性網域。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。

  • 彈性網路負載平衡服務 (網路負載平衡器)

    網路負載平衡器會將一個進入點的流量自動分配到虛擬雲端網路 (VCN) 中的多個後端伺服器。它會在連線層次運作,並根據第 3 層 / 第 4 層 (IP 協定) 資料,將內送從屬端連線負載平衡至狀況良好的後端伺服器。

  • 網際網路閘道

    網際網路閘道可允許 VCN 中公用子網路與公用網際網路之間的流量。

  • 網路位址轉譯 (NAT) 閘道

    NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會將這些資源暴露給內送網際網路連線。

  • Autonomous Data Warehouse

    Oracle Autonomous Data Warehouse 是一項自我驅動、自我保護、自我修復的資料庫服務,專為資料倉儲工作負載最佳化。您不需要設定或管理任何硬體,或安裝任何軟體。Oracle Cloud Infrastructure 可處理建立資料庫,以及備份、打補丁、升級和調整資料庫。

  • 物件儲存

    物件儲存可讓您快速存取任意內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及影像和影片等豐富內容。您可以安全地儲存資料,然後直接從網際網路或雲端平台內擷取資料。順暢調整儲存體,不會發生任何效能或服務可靠性的降低情形。使用標準的「熱門」儲存空間,快速、立即、經常存取。將封存儲存體用於您長期保留的「冷」儲存體,極少或罕見地存取。

  • 安全清單

    針對每個子網路,您可以建立指定來源、目的地以及必須允許進出子網路之流量類型的安全規則。

  • 路由表格

    虛擬路由表包含規則,用於將流量從子網路遞送至 VCN 以外的目的地 (通常是透過閘道)。

建議

使用下列建議作為開始點,設定並使用 VTAP 來進行虛擬網路的調查分析。您的需求可能與此處所述的架構不同。
  • 流量優先順序

    啟用 VTAP 優先模式。這可確保受監督的流量與 VTAP 鏡像流量的優先順序相同。啟用此模式時,鏡像流量可能會導致某些受監督流量在符合來源時被捨棄。若偵測到此封包遺失,您可以停用優先順序模式或升級來源資源配置以適應更多頻寬。

  • 鑑識和稽核

    設定物件儲存體,以確保您的資料能夠可靠地稽核。最佳做法包括稽核日誌及使用 md5 總計,以驗證資料未遭竄改。

注意事項

在您的網路上啟用 VTAP 資料收集時,請考慮這些設定選項。

  • VTAP 可用性

    VTAP 功能在全球推出,但可能無法立即在所有地區使用。我們建議您先確認您區域可以使用,再計畫使用。

  • 成本

    VTAP 沒有費用。不過,VTAP 會增加 VNIC 上的流量,這會造成費用。只要套用您分析之應用程式特定的 VTAP 擷取篩選,即可減少所需的資源,例如 HTTP/80 或 HTTPS/443。

探索更多

進一步了解 VTAP 和鑑識分析。

複查下列額外資源:

確認

  • 作者:Michael Rutledge
  • 貢獻者: Chiping Hwang