À quoi fait référence la technologie NSG Flow Logs
Élément | Description | |
Fonctionnalité | Journalisation du trafic IP transitant par un Network Security Group (NSG) | |
Niveau OSI | Couche 4 (Transport) | |
Format | JSON | |
Périmètre | Inbound et outbound flows par règle NSG | |
Fréquence de collecte | Intervalles de 1 minute | |
Stockage | Compte de stockage Azure (Standard, même région que le NSG) | |
Visualisation | Power BI, Grafana, Traffic Analytics, outils tiers | |
Objectif principal | Audit, sécurité, analyse de trafic, détection d’anomalies | |
Version recommandée | Version 2 (inclut les infos de paquets et d’octets) | |
Rétention | Jusqu’à 1 an (selon la configuration du compte de stockage) | |
Limitations | Certaines règles inbound TCP non-default sont stateless, impactant la précision des logs | |
Prérequis techniques et compétences
Prérequis technique | Détail |
Compte Azure | Accès administrateur ou droits suffisants sur les ressources NSG et stockage |
Network Security Group (NSG) | Déjà créé et associé à un sous-réseau ou une interface réseau |
Compte de stockage Azure | Standard, même région que le NSG, pas de règles réseau restrictives |
Identité Azure (Service principal ou MSI) | Pour automatiser l’accès aux logs |
Outils d’administration | Azure CLI, PowerShell, ou portail Azure |
Workspace Log Analytics (optionnel) | Pour Traffic Analytics |
Compétence requise | Description |
Administration Azure | Maîtrise du portail, CLI ou PowerShell |
Réseaux cloud | Compréhension des NSG, sous-réseaux, interfaces réseau |
Sécurité réseau | Analyse des flux, audit de sécurité |
Gestion du stockage Azure | Création, gestion des comptes de stockage, politiques de rétention |
Visualisation de données (optionnel) | Utilisation de Power BI, Grafana, Traffic Analytics |
Niveau de difficulté
Tâche | Difficulté | Étoiles | Commentaire |
Activation de base des logs | Facile | ★★☆☆☆ | Via portail, CLI ou PowerShell, peu de paramètres |
Configuration avancée (Traffic Analytics, workspace) | Moyen | ★★★☆☆ | Nécessite plusieurs ressources et permissions |
Analyse et visualisation avancée | Moyen | ★★★☆☆ | Requiert outils externes, compréhension des schémas de logs |
Automatisation (scripts, intégration SIEM) | Difficile | ★★★★☆ | Scripts, gestion des identités, intégration tierce |
Optimisation et tuning | Difficile | ★★★★☆ | Ajustement des règles, tuning des performances, coûts |
Présentation de la technologie
Les NSG Flow Logs (journaux de flux des groupes de sécurité réseau) sont une fonctionnalité d’Azure Network Watcher qui permet de consigner les informations sur le trafic IP circulant à travers un groupe de sécurité réseau (NSG). Ces journaux fournissent des données précieuses pour analyser le comportement du trafic, diagnostiquer les problèmes de connectivité et optimiser la sécurité des ressources Azure.
Principaux avantages :
- – Surveillance en temps réel du trafic réseau
- – Analyse détaillée des décisions de sécurité appliquées par les NSG
- – Identification des tendances et des anomalies dans le trafic
- – Aide à la conformité et à l’audit des activités réseau
- – Intégration avec d’autres outils d’analyse et de gestion des logs
Mise en place technique
- Création d’un compte de stockage
Avant d’activer les journaux de flux NSG, un compte de stockage Azure est nécessaire pour stocker les logs.
- – Connectez-vous au portail Azure.
- – Recherchez « Comptes de stockage » et cliquez sur « Créer ».
- – Remplissez les informations requises (nom, région, type de compte).
- – Cliquez sur « Créer » pour finaliser la création du compte.
- Activation des NSG Flow Logs
Pour activer les journaux de flux :
- – Accédez à Network Watcher dans le portail Azure.
- – Dans le menu latéral, sélectionnez Flow logs sous la section Logs.
- – Cliquez sur + Create ou Create flow log.
- – Sélectionnez le groupe de sécurité réseau (NSG) pour lequel vous souhaitez activer les journaux.
- – Configurez les paramètres suivants :
- – Version des logs : Choisissez la version 2 pour obtenir des informations détaillées sur le trafic.
- – Compte de stockage : Sélectionnez le compte que vous avez créé précédemment.
- – Rétention des logs : Définissez la durée pendant laquelle vous souhaitez conserver les logs.
- – Cliquez sur Save pour activer les journaux.
- Configuration des files d’attente de stockage (facultatif)
Pour recevoir des notifications lors de l’ajout de nouveaux blocs aux logs :
- – Allez dans votre compte de stockage.
- – Créez une nouvelle file d’attente sous la section File d’attente.
- – Assurez-vous que la file d’attente est configurée dans le même compte de stockage que celui utilisé pour les NSG Flow Logs.
Exploitation technique courante
- Consultation des journaux
Les journaux sont stockés dans un conteneur nommé insights-logs-networksecuritygroupflowevent. Pour accéder aux logs :
- – Accédez à votre compte de stockage via le portail Azure.
- – Sélectionnez le conteneur insights-logs-networksecuritygroupflowevent.
- – Les fichiers JSON contenant les données des flux seront disponibles ici.
- Analyse des données
Les logs sont enregistrés au format JSON et contiennent plusieurs propriétés importantes :
- – time : Horodatage UTC du log.
- – systemId : ID du groupe de sécurité réseau.
- – category : Toujours NetworkSecurityGroupFlowEvent.
- – flows : Détails sur chaque flux, y compris l’adresse IP source et destination, ainsi que la décision (Autoriser ou Refuser).
Utilisez des outils comme Azure Log Analytics ou Power BI pour analyser ces données et générer des rapports.
- Surveillance continue
Configurez Azure Monitor pour suivre les métriques liées aux NSG Flow Logs :
- – Créez des alertes basées sur des critères spécifiques (par exemple, un nombre élevé d’événements « Refusés »).
- – Utilisez Traffic Analytics pour obtenir une vue d’ensemble du trafic et identifier les problèmes potentiels.
- Optimisation et ajustement
Examinez régulièrement vos règles NSG en fonction des données collectées :
- – Identifiez les règles qui ne sont jamais utilisées et envisagez leur suppression.
- – Ajustez vos règles en fonction du trafic observé pour améliorer la sécurité et l’efficacité.
En maîtrisant ces aspects des NSG Flow Logs, vous serez en mesure d’optimiser la sécurité réseau dans votre environnement Azure, d’améliorer la visibilité sur le trafic et de diagnostiquer rapidement tout problème potentiel.
