Le reti nel mondo cloud presentano differenze sostanziali rispetto a quelle presenti in ambiente on-premises, ma sono accomunate dalla necessità di essere costantemente monitorate, gestite e analizzate. Tutto ciò è importante per poterle conoscere al meglio, al fine di proteggerle ed ottimizzarle. Microsoft ha introdotto in Azure la soluzione Traffic Analytics, totalmente cloud-based, che consente di avere una visibilità complessiva sulle attività di rete che vengono intraprese nell’ambiente cloud. Questo articolo analizza le caratteristiche della soluzione e spiega come è possibile attivarla.
Principi di funzionamento della soluzione
In Azure per poter consentire o negare la comunicazione di rete verso le risorse connesse alle Azure Virtual Networks (vNet) vengono utilizzati i Network Security Group (NSG), che contengono una lista di regole di accesso. I NSG vengono applicati alle interfacce di rete connesse alle macchine virtuali oppure direttamente alle subnet. La platform utilizza i NSG flow logs per mantenere la visibilità del traffico di rete in ingresso e in uscita dai Network Security Group. Traffic Analytics si basa sull’analisi dei NSG flow logs e dopo una opportuna aggregazione dei dati, inserendo l’intelligence necessaria relativamente a security, topologia e mappa geografica, è in grado di fornire informazioni dettagliate sul traffico di rete del proprio ambiente cloud Azure.
![](https://i0.wp.com/www.cloudcommunity.it/wp-content/uploads/2018/03/2018_03_21_AzureTrafficManager-01.png?resize=640%2C224&ssl=1)
Funzionalità della soluzione
Utilizzando Traffic Analytics si possono effettuare le seguenti operazioni:
- Visualizzare le attività di rete cross Azure subscriptions e identificare hotspots.
- Intercettare potenziali minacce di security lato network, per poi poter adottare le giuste operazioni correttive. Questo viene reso possibile grazie alle informazioni riportate dalla soluzione: quali porte sono aperte, quali applicazioni tentano di accedere verso Internet e quali macchine virtuali si connettono a reti non autorizzate.
- Comprendere i flussi di rete presenti tra le varie region Azure e Internet, al fine di ottimizzare il proprio deployment di rete in termini di performance e capacità.
- Individuare configurazioni di rete non corrette che portano ad avere tentativi di comunicazione errati.
Come abilitare la soluzione
Per poter analizzare il traffico di rete è necessario disporre di un Network Watcher in ogni region dove sono presenti i NSG per i quali si intente analizzare il traffico. Il Network Watcher è un servizio regionale grazie al quale è possibile monitorare e diagnosticare il networking di Azure. L’abilitazione del Network Watcher può essere fatta dal portale Azure, tramite Powershell oppure via REST API. Creandolo dal portale non è possibile stabilire il nome del Network Watcher e il relativo Resource Group, ma viene assegnato un nome di default a entrambe le entità.
![](https://i0.wp.com/www.cloudcommunity.it/wp-content/uploads/2018/03/2018_03_21_AzureTrafficManager-02.png?resize=640%2C429&ssl=1)
![](https://i0.wp.com/www.cloudcommunity.it/wp-content/uploads/2018/03/2018_03_21_AzureTrafficManager-03.png?resize=640%2C83&ssl=1)
Trattandosi di un servizio in preview per poterlo utilizzare è necessario effettuare nuovamente la registrazione del network resource provider sulla subscription Azure interessata. Inoltre è necessario registrare il provider Azure Insights.
![](https://i0.wp.com/www.cloudcommunity.it/wp-content/uploads/2018/03/2018_03_21_AzureTrafficManager-04.png?resize=640%2C205&ssl=1)
Per poter abilitare la raccolta degli NSG Flow Logs è necessario dotarsi di uno storage account sul quale memorizzarli. Inoltre è necessario disporre di un workspace OMS Log Analytics sul quale Traffic Analytics consoliderà i dati aggregati e indicizzati. Le informazioni presenti in Log Analytics verranno poi utilizzate per generare la relativa analisi.
Primo step di configurazione delle impostazioni dei NSG flow logs:
![](https://i0.wp.com/www.cloudcommunity.it/wp-content/uploads/2018/03/2018_03_21_AzureTrafficManager-05.png?resize=640%2C279&ssl=1)
Scelta dello storage account e del workspace OMS Log Analytics per ogni NSG:
![](https://i0.wp.com/www.cloudcommunity.it/wp-content/uploads/2018/03/2018_03_21_AzureTrafficManager-06.png?resize=640%2C576&ssl=1)
Gli step precedentemente riportati dovranno essere ripetuti per ogni NSG per il quale si desidera abilitare Traffic Analytics.
![](https://i0.wp.com/www.cloudcommunity.it/wp-content/uploads/2018/03/2018_03_21_AzureTrafficManager-07.png?resize=640%2C298&ssl=1)
Entro alcuni minuti dall’abilitazione, tempo necessario per avere un quantitativo di dati aggregati sufficientemente indicativo, viene popolata la relativa dashboard con le informazioni di Traffic Analytics.
![](https://i0.wp.com/www.cloudcommunity.it/wp-content/uploads/2018/03/2018_03_21_AzureTrafficManager-08.png?resize=640%2C404&ssl=1)
Dalla dashboard di Traffic Analytics sono facilmente reperibili le informazioni quali: gli host con un livello elevato di comunicazione, i protocolli applicativi maggiormente utilizzati, le comunicazioni che avvengono in modo più frequente e i flussi relativi al traffico di rete nel cloud.
Selezionando la sezione di interesse viene mostrata la query di Log Analytics che estrapola i dati:
![](https://i0.wp.com/www.cloudcommunity.it/wp-content/uploads/2018/03/2018_03_21_AzureTrafficManager-09.png?resize=640%2C338&ssl=1)
Per avere una panoramica completa dei possibili scenari di utilizzo di Traffic Analytics è possibile consultare questo documento Microsoft.
Conclusioni
Traffic Analytics è una nuova funzionalità, al momento in preview, introdotta in Azure. Si tratta di uno strumento efficace e di facile utilizzo che consente di tenere sotto controllo lo stato della rete in Azure riportando dati molto utili, come chi si sta collegando e dove, quali porte sono esposte verso internet, quale traffico di rete viene generato e molto altro. Si tratta di informazioni fondamentali per individuare eventuali anomalie e apportare le dovute azioni correttive. Tutte operazioni di difficile raggiungimento senza questo strumento totalmente integrato nella platform.