1.107 NSG Flow Logs

 Présentation de la technologie

Les NSG Flow Logs (journaux de flux des groupes de sécurité réseau) sont une fonctionnalité d’Azure Network Watcher qui permet de consigner les informations sur le trafic IP circulant à travers un groupe de sécurité réseau (NSG). Ces journaux fournissent des données précieuses pour analyser le comportement du trafic, diagnostiquer les problèmes de connectivité et optimiser la sécurité des ressources Azure.

 Principaux avantages :

• – Surveillance en temps réel du trafic réseau
• – Analyse détaillée des décisions de sécurité appliquées par les NSG
• – Identification des tendances et des anomalies dans le trafic
• – Aide à la conformité et à l’audit des activités réseau
• – Intégration avec d’autres outils d’analyse et de gestion des logs

 Mise en place technique

1. Création d’un compte de stockage

Avant d’activer les journaux de flux NSG, un compte de stockage Azure est nécessaire pour stocker les logs.

• – Connectez-vous au portail Azure.
• – Recherchez « Comptes de stockage » et cliquez sur « Créer ».
• – Remplissez les informations requises (nom, région, type de compte).
• – Cliquez sur « Créer » pour finaliser la création du compte.

2. Activation des NSG Flow Logs

Pour activer les journaux de flux :

• – Accédez à Network Watcher dans le portail Azure.
• – Dans le menu latéral, sélectionnez Flow logs sous la section Logs.
• – Cliquez sur + Create ou Create flow log.
• – Sélectionnez le groupe de sécurité réseau (NSG) pour lequel vous souhaitez activer les journaux.
• – Configurez les paramètres suivants :
  •   – Version des logs : Choisissez la version 2 pour obtenir des informations détaillées sur le trafic.
  •   – Compte de stockage : Sélectionnez le compte que vous avez créé précédemment.
  •   – Rétention des logs : Définissez la durée pendant laquelle vous souhaitez conserver les logs.
• – Cliquez sur Save pour activer les journaux.

3. Configuration des files d’attente de stockage (facultatif)

Pour recevoir des notifications lors de l’ajout de nouveaux blocs aux logs :

• – Allez dans votre compte de stockage.
• – Créez une nouvelle file d’attente sous la section File d’attente.
• – Assurez-vous que la file d’attente est configurée dans le même compte de stockage que celui utilisé pour les NSG Flow Logs.

 Exploitation technique courante

1. Consultation des journaux

Les journaux sont stockés dans un conteneur nommé insights-logs-networksecuritygroupflowevent. Pour accéder aux logs :

• – Accédez à votre compte de stockage via le portail Azure.
• – Sélectionnez le conteneur insights-logs-networksecuritygroupflowevent.
• – Les fichiers JSON contenant les données des flux seront disponibles ici.

2. Analyse des données

Les logs sont enregistrés au format JSON et contiennent plusieurs propriétés importantes :

• – time : Horodatage UTC du log.
• – systemId : ID du groupe de sécurité réseau.
• – category : Toujours NetworkSecurityGroupFlowEvent.
• – flows : Détails sur chaque flux, y compris l’adresse IP source et destination, ainsi que la décision (Autoriser ou Refuser).

Utilisez des outils comme Azure Log Analytics ou Power BI pour analyser ces données et générer des rapports.

3. Surveillance continue

Configurez Azure Monitor pour suivre les métriques liées aux NSG Flow Logs :

• – Créez des alertes basées sur des critères spécifiques (par exemple, un nombre élevé d’événements « Refusés »).
• – Utilisez Traffic Analytics pour obtenir une vue d’ensemble du trafic et identifier les problèmes potentiels.

4. Optimisation et ajustement

Examinez régulièrement vos règles NSG en fonction des données collectées :

• – Identifiez les règles qui ne sont jamais utilisées et envisagez leur suppression.
• – Ajustez vos règles en fonction du trafic observé pour améliorer la sécurité et l’efficacité.

En maîtrisant ces aspects des NSG Flow Logs, vous serez en mesure d’optimiser la sécurité réseau dans votre environnement Azure, d’améliorer la visibilité sur le trafic et de diagnostiquer rapidement tout problème potentiel.