VPC Flow Logs

VPC Flow Logs דוגם מנות ברשת של הענן הווירטואלי הפרטי (VPC) כדי ליצור יומני תעבורה. יומני זרימה נצברים לפי חיבור IP (5-tuple). VPC Flow Logs דוגם את החבילות הבאות:

אפשר לראות את יומני הזרימה ב-Cloud Logging, ולייצא את היומנים לכל יעד שנתמך בייצוא של Cloud Logging. היומנים האלה יכולים לשמש למעקב אחרי הרשת, לפורנזיקה דיגיטלית, לניתוח אבטחה ולאופטימיזציה של ההוצאות. מידע נוסף זמין במאמר בנושא תצורות נתמכות.

תרחישים לדוגמה

הנה כמה תרחישי שימוש ב-VPC Flow Logs.

מעקב אחרי הרשת

יומני זרימה של VPC מספקים לכם נראות של תפוקת הרשת והביצועים שלה. אתם יכולים:

  • מעקב אחרי רשת ה-VPC
  • ביצוע ניתוח של הרשת
  • סינון של יומני תעבורת הנתונים לפי מכונות וירטואליות, נקודות קצה ללא שרתים, קבצים מצורפים של VLAN ומנהרות Cloud VPN כדי להבין את השינויים בתעבורה
  • הסבר על גידול בתנועת הגולשים לצורך חיזוי קיבולת

הסבר על השימוש ברשת ואופטימיזציה של ההוצאות על תנועת הרשת

אתם יכולים לנתח את השימוש ברשת באמצעות VPC Flow Logs כדי לבצע אופטימיזציה של הוצאות תעבורת הרשת. לדוגמה, אפשר לנתח את זרימות הנתונים ברשת במקרים הבאים:

  • תנועה בין אזורים ותחומים
  • תנועת גולשים למדינות ספציפיות באינטרנט
  • תעבורה לרשתות מקומיות ולרשתות ענן אחרות
  • הגורמים שיוצרים הכי הרבה תעבורה ברשת, כולל מכונות וירטואליות, נקודות קצה בלי שרת (serverless), צירופים ל-VLAN ומנהרות Cloud VPN

פורנזיקה דיגיטלית ברשת

אתם יכולים להשתמש ב-VPC Flow Logs כדי לבצע ניתוח משפטי של רשתות. לדוגמה, אם מתרחש אירוע, אפשר לבדוק את הדברים הבאים:

  • אילו כתובות IP תקשרו זו עם זו ומתי
  • אילו כתובות IP נפרצו על ידי ניתוח כל זרימות הנתונים ברשת שנכנסות ויוצאות

איך Cloud de Confiance by S3NS משתמשים יכולים לשפר את ההגנה שלהם מפני מתקפות סייבר באמצעות יומני תנועה של VPC

הגדרות נתמכות

אפשר להפעיל יומני זרימה של VPC ברמת הארגון והפרויקט. הגדרה של יומני זרימה של VPC ברמת הארגון מאפשרת יומני זרימה לכל רשתות המשנה, לכל חיבורי ה-VLAN ולכל מנהרות Cloud VPN בכל רשתות ה-VPC בארגון.

ברמת הפרויקט, אפשר להפעיל יומנים לתיעוד מידע על תעבורת ה-IP של VPC עבור רשתות VPC ספציפיות, רשתות משנה, קבצים מצורפים של VLAN ומנהרות Cloud VPN.

היקף ההגדרה יצירת יומני זרימה למשאבים האלה שלבים להפעלה
ארגון
  • כל מופעי מכונות ה-VM ומשאבי Cloud Run בכל רשתות המשנה בארגון
  • כל הצירופים ל-VLAN בארגון
  • כל מנהרות ה-VPN בענן בארגון
 הפעלת יומני זרימה של VPC בארגון
רשת VPC
  • כל המכונות הווירטואליות ומשאבי Cloud Run בכל רשתות המשנה ברשת ה-VPC
  • כל הצירופים ל-VLAN ברשת ה-VPC
  • כל מנהרות Cloud VPN ברשת ה-VPC
 הפעלת יומני זרימה של VPC ברשת VPC
תת-רשת כל המכונות הווירטואליות ומשאבי Cloud Run ברשת משנה ספציפית

כדי להפעיל VPC Flow Logs עבור רשת משנה:
צירוף ל-VLAN צירוף ספציפי ל-VLAN הפעלת יומני זרימה של VPC לצירוף ל-VLAN
מנהרת Cloud VPN מנהרת Cloud VPN ספציפית הפעלת יומני זרימה של VPC למנהרת Cloud VPN

אתם יכולים להשתמש במסננים כדי להתאים אישית את היקפי ההגדרה האלה. מידע נוסף זמין במאמר בנושא דגימה ועיבוד של יומנים.

איסוף יומנים

הדגימה של המנות מתבצעת במרווח צבירה. כל החבילות שנאספו עבור קישור דרך IP נתון במרווח הצבירה מצטברות לרשומה אחת ביומן זרימת התנועה. הנתונים האלה נשלחים אל Logging בפרויקט Cloud de Confiance של רשת ה-VPC שדיווחה על התנועה.

כברירת מחדל, היומנים מאוחסנים ב-Logging למשך 30 יום. אם רוצים לשמור את היומנים למשך תקופה ארוכה יותר, אפשר להגדיר תקופת שמירה מותאמת אישית או לייצא אותם ליעד נתמך.

דגימה ועיבוד של יומנים

כדי ליצור יומני תעבורה, התכונה 'יומני תעבורה של VPC' דוגמת מנות ברשת ה-VPC, כולל מנות שנשלחות ממכונות וירטואליות ומנקודות קצה בלי שרתים ומתקבלות מהן, ומנות שעוברות דרך שערים כמו צירופים ל-VLAN או מנהרות Cloud VPN. אחרי שיומני הזרימה נוצרים, שירות VPC Flow Logs מעבד אותם לפי התהליך שמתואר בקטע הזה.

‫VPC Flow Logs דוגם מנות באמצעות קצב דגימה ראשי. תדירות הדגימה הראשונית היא דינמית ומשתנה בהתאם לעומס של המארח הפיזי שמריץ את משאב הדיווח בזמן הדגימה. ההסתברות לדגימה של כל חיבור IP בודד עולה עם נפח החבילות. אי אפשר לשלוט בתהליך הדגימה של יומן הזרימה הראשי או לשנות את קצב הדגימה הראשי.

אחרי שיומני התעבורה נוצרים, שירות VPC Flow Logs מעבד אותם לפי התהליך הבא:

  1. סינון. אתם יכולים לציין שיופקו רק יומנים שתואמים לקריטריונים שצוינו. לדוגמה, אפשר לסנן כך שרק יומנים של מכונה וירטואלית מסוימת או רק יומנים עם ערך מטא-נתונים מסוים ייווצרו, והשאר יימחקו. מידע נוסף זמין במאמר בנושא סינון יומנים.
  2. צבירה. המידע על מנות שנדגמו מצטבר לאורך מרווח צבירה שניתן להגדרה, כדי ליצור רשומה ביומן התעבורה.
  3. דגימה של יומן זרימה משני. זהו תהליך דגימה שני. רשומות ביומן של תנועת נתונים נדגמות עוד יותר בהתאם לפרמטר קצב דגימה משני שניתן להגדרה. הדגימה המשנית מתבצעת ביומני הזרימה שנוצרו על ידי תהליך הדגימה הראשי של יומני הזרימה. לדוגמה, אם קצב הדגימה המשני מוגדר ל-1.0, או ל-100%, אז VPC Flow Logs דוגם 100% מיומני התנועה שנוצרו על ידי הדגימה הראשית של יומני התנועה.
  4. מטא-נתונים. אם האפשרות מושבתת, כל הערות המטא-נתונים נמחקות. אם רוצים לשמור את המטא-נתונים, אפשר לשמור את כל השדות או קבוצה ספציפית של שדות. מידע נוסף מופיע במאמר בנושא הערות מטא-נתונים.
  5. כתיבה לרישום ביומן. רשומות היומן הסופיות נכתבות ב-Cloud Logging.

מכיוון ש-VPC Flow Logs לא מתעד כל חבילת נתונים, הוא מפצה על חבילות נתונים שלא תועדו על ידי אינטרפולציה מחבילות הנתונים שתועדו. זה קורה למנות שפספסנו בגלל הגדרות הדגימה הראשוניות וההגדרות שניתנות להתאמה אישית על ידי המשתמש.

למרות ש Cloud de Confiance לא מתעדת כל חבילה, רשומות היומן יכולות להיות גדולות מאוד. כדי לאזן בין הצורך בגישה לנתוני התנועה לבין עלויות האחסון, אפשר לשנות את ההגדרות הבאות של איסוף היומנים:

  • Aggregation interval. מנות שנדגמו במרווח זמן מסוים מצטברות לרשומה אחת ביומן. מרווח הזמן הזה יכול להיות 5 שניות (ברירת מחדל), 30 שניות, דקה אחת, 5 דקות, 10 דקות או 15 דקות.
  • תדירות דגימה משנית.
    • בהגדרות שנוצרו באמצעות Compute Engine API, ‏ 50% מרישומי היומן נשמרים כברירת מחדל. אפשר להגדיר את הפרמטר הזה מ-1.0 (100%, כל הרשומות ביומן נשמרות) עד 0.0 (0%, אף יומן לא נשמר).
    • בהגדרות שנוצרו באמצעות Network Management API, כל רשומות היומן נשמרות כברירת מחדל. אפשר להגדיר את הפרמטר הזה מ-1.0 עד למספר גדול מ-0.0.
  • הערות של מטא-נתונים. כברירת מחדל, רשומות של יומני תנועה מוערות בפרטי מטא-נתונים, כמו השמות של המקור והיעד בתוך Cloud de Confiance או האזור הגיאוגרפי של מקורות ויעדים חיצוניים. כדי לחסוך במקום אחסון, אפשר להשבית את ההערות של המטא-נתונים או לציין רק הערות מסוימות.
  • סינון. כברירת מחדל, יומנים נוצרים לכל זרימה שנדגמת. אפשר להגדיר מסננים כדי ליצור יומנים שתואמים רק לקריטריונים מסוימים.

מפרטים

  • הפעלת VPC Flow Logs לא גורמת לעיכוב או לפגיעה בביצועים.
  • ‫VPC Flow Logs פועל עם רשתות VPC, ולא עם רשתות מדור קודם.
  • דוגמאות ליומני זרימה של VPC של זרימות TCP,‏ UDP,‏ ICMP,‏ ESP,‏ GRE ו-RDMA:
    • מתבצעת דגימה של תנועה נכנסת ויוצאת. ב-RDMA over Converged Ethernet ‏ (RoCE), מתבצעת דגימה רק של תנועה יוצאת.
    • הזרימות יכולות להיות בתוך Cloud de Confiance או בין Cloud de Confiance לבין רשתות אחרות.
    • אם זרימה נדגמת, VPC Flow Logs יוצר יומן עבור הזרימה. כל רשומה של זרימה כוללת את המידע שמתואר בקטע פורמט הרשומה.
    • ב-Flow logs לא מצוין איזו נקודת קצה התחילה את הזרימה, אלא רק כיוון החבילה.
  • האינטראקציה בין VPC Flow Logs לבין כללי חומת אש מתבצעת בדרכים הבאות:
    • מנות נתונים יוצאות (egress) נדגמות לפני כללי חומת האש של תעבורת נתונים יוצאת (egress). גם אם כלל חומת אש ליציאה דוחה חבילות יוצאות, אפשר לדגום את החבילות האלה באמצעות VPC Flow Logs.
    • מנות נתונים נכנסות נדגמות אחרי כללי חומת האש של התעבורה הנכנסת. אם כלל חומת אש של תעבורת נתונים נכנסת דוחה חבילות נתונים נכנסות, המערכת לא דוגמת את החבילות האלה ב-VPC Flow Logs.
  • אפשר להשתמש במסננים ביומני התנועה של VPC כדי ליצור רק יומנים מסוימים.
  • יומני התנועה של VPC תומכים במכונות וירטואליות עם כמה ממשקי רשת. בכל VPC, צריך להפעיל את VPC Flow Logs לכל רשת משנה שמכילה ממשק רשת.
  • כדי לרשום ביומן את התנועה בין קבוצות Pod באותו צומת Google Kubernetes Engine ‏ (GKE), צריך להפעיל חשיפה בתוך הצומת באשכול.
  • אי אפשר להשתמש ביומני תעבורה של VPC ברשתות משנה עם ייעוד INTERNAL_HTTPS_LOAD_BALANCER, כי רשתות המשנה האלה משמשות כרשתות משנה של פרוקסי בלבד, ואין בהן מכונות וירטואליות או נקודות קצה ללא שרת.
  • VPC Flow Logs כותב יומנים לפרויקט של רשת ה-VPC שמופיעה בדוח. לגבי משאבים ברשתות VPC משותפות, הדוחות של היומנים מופיעים בפרויקט המארח.

המאמרים הבאים