Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Erstellen und Verwalten der Azure-Network-Watcher-Ressource | Varonis

Geschrieben von Jeff Brown | Aug 24, 2021 4:00:00 AM

Der Azure Network Watcher bietet Überwachung und Protokollierung für Infrastructure-as-a-Service-Ressourcen (IaaS) in virtuellen Azure-Netzwerken. Azure stellt den Azure Network Watcher automatisch bereit, wenn Sie in Ihrem Abonnement ein virtuelles Azure-Netzwerk erstellen oder aktualisieren. Wenn Sie sich jedoch nicht sicher sind, was die Ressource ist, könnten Sie sie versehentlich löschen, ohne zu wissen, dass es sich dabei um eine wichtige Funktion handelt. In diesem Beitrag erfahren Sie mehr über den Azure Network Watcher, einschließlich der Komponenten zur Netzwerkfehlerbehebung. Außerdem wird hier erklärt, wie Sie den Network Watcher erstellen können, falls Sie ihn versehentlich gelöscht haben.

Was ist der Azure Network Watcher?

Der Azure Network Watcher bietet mehrere Tools zur Überwachung und Reparatur des IaaS-Netzwerkzustands. Microsoft hat den Network Watcher für virtuelle Maschinen, virtuelle Netzwerke, Application Gateways und Load Balancer weiter entwickelt. Der Network Watcher ist nicht für Platform-as-a-Server-Angebote (PaaS) oder für Web Analytics geeignet. Zur Überwachung von PaaS-Ressourcen können Sie andere Azure-Dienste verwenden, beispielsweise Application Insights, Azure Monitor und Log Analytics.

Elemente des Azure Network Watchers

Der Network Monitor enthält mehrere Tools zur Verwaltung Ihrer IaaS-Ressourcen. Dazu gehören Überwachung, Diagnose und Protokollierung.

Die Überwachungselemente

Der Network Watcher überwacht verschiedene Endpoints wie virtuelle Maschinen (VMs), einen vollqualifizierten Domänennamen (FQDN, Fully Qualified Domain Name), einen Uniform Resource Identifier (URI) oder eine IPv4-Adresse. Der Verbindungsmonitor berichtet über die Kommunikation zwischen zwei Endpoints, z. B. über Erreichbarkeit, Latenz und Änderungen der Netzwerktopologie. Nehmen wir zum Beispiel an, Sie haben eine VM, die eine Website hostet, die mit einer anderen VM kommunizieren muss, die eine Datenbank hostet. Wenn jemand eine neue Route oder Netzwerksicherheitsregel anwendet, die diese Kommunikation blockiert, informiert der Verbindungsmonitor Sie darüber, dass der Endpoint nicht erreichbar ist und gibt die Gründe dafür an. Der Verbindungsmonitor lässt sich auch verwenden, um zu einem bestimmten Zeitpunkt einen Verbindungstest durchzuführen. Der Netzwerkleistungsmonitor überprüft und berichtet über die Leistung zwischen verschiedenen Endpoints der Netzwerkinfrastruktur. Ebenso überwacht er die Netzwerkverbindungen zur lokalen Infrastruktur über ein VPN oder Azure ExpressRoute. Der Netzwerkleistungsmonitor erkennt Probleme wie Blackholing von Datenverkehr und Routing-Fehler. Wenn Ressourcen die Kapazität einer Netzwerkverbindung überschreiten, kann er Warnungen über das Leistungsproblem senden. Der Monitor zeigt auch Diagramme der Infrastrukturtopologie an. Im Diagramm werden virtuelle Netzwerke, Subnets, Ressourcen und Netzwerksicherheitsgruppen dargestellt. So erstellen Sie ein Diagramm:

  1. Suchen Sie im Azure Portal nach der Ressource Network Watcher.
  2. Wählen Sie in Network Watcher unter Überwachung die Option Topologie aus.
  3. Wählen Sie das Abonnement, die Ressourcengruppe und das virtuelle Netzwerk aus, um das Diagramm zu generieren.
  4. Wählen Sie Topologie herunterladen aus, um das Diagramm im SVG-Dateiformat zu speichern.

Die Netzwerk-Diagnosetools

Netzwerksicherheitsgruppen (NSGs) enthalten Regeln, die festlegen, ob der Netzwerkverkehr zwischen zwei Endpoints fließen kann. Azure erstellt NSGs mit Standardregeln zum Zulassen des Datenverkehrs zwischen Subnets oder in das Internet. Sie können zusätzliche Regeln erstellen, um den weiteren Datenverkehr zuzulassen oder zu blockieren, je nach den Netzwerkanforderungen der virtuellen Maschine. Die Regeln enthalten Informationen wie Quell- und Ziel-IPv4-Adressen, Ports, Protokolle und die Datenverkehrsrichtung. Möglicherweise kann es passieren, dass Sie eine Regel erstellen, die den Datenverkehr blockiert und den Workload einer VM beeinträchtigt. Mit dem Tool Überprüfen des IP-Flusses können Sie die Kommunikation zwischen den Endpoints testen und prüfen, ob die Verbindung erfolgreich ist. Es zeigt dann an, welche Regel die Probleme verursacht und den Datenverkehr zulässt bzw. blockiert. Aus dem Topologiediagramm von vorhin geht beispielsweise hervor, dass nsg-webblock-001 mit einem Subnet verbunden ist und ausgehende Verbindungen an Port 80 blockiert. Aufgrund dieser Regel kann nun vm01 keine Verbindung zu vm02 über Port 80 herstellen. Um dies zu testen, navigieren Sie zurück zum Network Watcher und wählen Sie Netzwerkdiagnose-Tools > Überprüfen des IP-Flusses. Geben Sie im Fenster „Überprüfen des IP-Flusses“ das Abonnement, die Ressourcengruppe, den Namen der virtuellen Maschine und die zu testende Netzwerkschnittstelle ein. Wählen Sie für Paketdetails TCP und Ausgehend aus. Die Lokale IP-Adresse wird bereits basierend auf der Netzwerkschnittstelle ausgefüllt. Geben Sie eine kurzlebige Portnummer (0–65535) als lokalen Port ein, von dem aus auf der VM getestet werden soll. Geben Sie für die Remote-IP-Adresse die IP-Adresse einer VM in einem anderen Subnet im gleichen virtuellen Netzwerk ein. Da die NSG den Port 80 blockiert, sollte dies auch der zu testende Remote-Port sein.

Sobald die Testinformationen bestätigt sind, gehen Sie auf die Schaltfläche Überprüfen, um die Diagnose zu starten. Azure zeigt die Ergebnisse des Tests an. In diesem Fall ist er fehlgeschlagen, und Azure zeigt an, aufgrund welcher NSG die Kommunikation blockiert wurde.

Der Network Watcher bietet einige andere Diagnosetools zur Überprüfung Ihrer IaaS-Infrastruktur.

  • NSG-Diagnose: Liefert detaillierte Informationen über die Sicherheitskonfiguration, einschließlich aller NSGs, die der Datenverkehr durchläuft.
  • Nächster Hop: Zeigt den nächsten Hop an, den eine VM zu ihrer Ziel-IP-Adresse nimmt. Nützlich für die Überprüfung von Routing-Tabellen.
  • Paketerfassung: Erstellen von Paketerfassungs-Sitzungen von und zu einer VM, um Probleme mit dem Netzwerkdatenverkehr zu diagnostizieren.
  • Verbindungsfehlerbehebung: Überprüfen der TCP-Verbindungen von einer VM zu einer anderen VM, einem FQDN, einem URI oder einer IPv4-Adresse.

Protokollierungskapazitäten

Der Network Monitor bietet Protokollierungsfunktionen für verschiedene Azure-Ressourcen. Das NSG-Datenflussprotokoll protokolliert, ob der Datenverkehr von einer NSG zugelassen bzw. abgelehnt wurde oder nicht. Die Protokolle lassen sich mit verschiedenen Tools analysieren, unter anderem mit Microsofts PowerBI und der Funktion zur Datenverkehrsanalyse. PowerBI zeigt die Protokolldaten mit umfangreichen Visualisierungen an. Sie können die Diagnoseprotokollierung auch für NSGs, VM-Netzwerkschnittstellen, öffentliche IP-Adressen, Load Balancer, virtuelle Netzwerkgateways und Application Gateways aktivieren. Jede Ressource kann bis zu 5 Diagnoseeinstellungen haben. Azure erfasst die Diagnoseprotokolle und exportiert sie in einen Datenspeicher Ihrer Wahl. Das können unter anderem der Protokollanalyse-Arbeitsbereich, Event Hubs und Azure Storage sein.

Preise für den Azure Network Watcher

Wenn Azure einen Network Watcher erstellt, wirkt sich die Aktivierung nicht auf andere Ressourcen oder die zugehörigen Gebühren aus. Einige der zuvor beschriebenen Elemente sind jedoch mit Kosten verbunden. Die Preise unterscheiden sich je nach Region und Verfügbarkeit der Dienste. Die folgenden Einheiten und Preise sind ein Beispiel für die Azure-Region „USA, Osten“. Sie können beispielsweise bis zu 5 GB pro Monat an Netzwerkprotokollen erfassen, aber Microsoft berechnet dann 0,50 $ pro GB an gesammelten Protokollen. Der Network Watcher speichert Protokolle in einem Speicherkonto, für das Sie eine Aufbewahrungsrichtlinie von bis zu 365 Tagen festlegen. Wenn Sie keine Aufbewahrungsrichtlinie festlegen, bewahrt Azure die Protokolle unbegrenzt auf. Beim Network Watcher sind monatlich 1.000 Prüfungen mit dem Netzwerkdiagnose-Tool inbegriffen. Wenn Sie dieses Limit erreichen, berechnet Microsoft 1 $ pro 1.000 Prüfungen. Beim Verbindungsmonitor sind 10 Tests pro Monat inklusive. Anschließend kommt ein gestuftes Abrechnungssystem je nach Anzahl der durchgeführten Tests zur Anwendung. Mit zunehmender Anzahl der Tests sinkt der Preis pro Test.

  • 10 bis 240.010 Tests – 0,30 $ pro Test pro Monat
  • 240.010 bis 750.010 Tests – 0,10 $ pro Test pro Monat
  • 750.010 bis 1.000.010 Tests – 0,05 $ pro Test pro Monat
  • Über 1.000.010 Tests – 0,02 $ pro Test pro Monat

Weitere Informationen für Ihre Region finden Sie auf der Preisseite für Network Watcher von Microsoft unter diesem Link.

Erstellen von Network Watcher in Azure

Azure erstellt den Azure Network Watcher automatisch, wenn Sie in Ihrem Abonnement ein virtuelles Azure-Netzwerk erstellen oder aktualisieren. Azure erstellt eine Ressourcengruppe namens NetworkWatcherRG, die Network Watchers für jede Azure-Region enthält, in der virtuelle Netzwerke bereitgestellt wurden.

Wenn in der Ressourcengruppe nichts angezeigt wird, aktivieren Sie das Kontrollkästchen Ausgeblendete Typen anzeigen. Da Azure diese Ressourcen verwaltet, werden diese Zusatzressourcen nicht in der Ressourcengruppe angezeigt. Ich habe beispielsweise eine leere Ressourcengruppe gesehen und diese gelöscht. Durch diese Aktion werden die Network-Watcher-Ressourcen entfernt, und man verliert den Zugriff auf seine Funktionen. Ich vermute, dass Microsoft die Network-Watcher-Ressourcen jetzt anzeigt, um das zu verhindern. Kann man den Network Watcher wieder aktivieren, wenn man ihn versehentlich gelöscht hat? Absolut! Er lässt sich über die Network-Watcher-Ressource erneut aktivieren. Löschen Sie für diese Demo eine vorhandene Network-Watcher-Ressource, die eine Azure-Region in der Ressourcengruppe darstellt. Aktivieren Sie das Kontrollkästchen neben der Network-Watcher-Ressource und wählen Sie dann Löschen aus dem Menü (möglicherweise müssen Sie die drei Punkte für Weitere Optionen auswählen, um die Löschoption zu sehen).

Um den Azure Network Watcher für eine Region neu zu erstellen, befolgen Sie die folgenden Schritte.

Schritt 1: Navigieren Sie zur Azure-Network-Watcher-Ressource

Suchen Sie im Suchfeld am oberen Rand des Azure-Portals nach „Network Watcher“. Wählen Sie den Network Watcher aus der Liste der Dienste.

Schritt 2: Azure-Abonnement auswählen

Erweitern Sie auf der Seite Azure-Netzwerkübersicht die Liste der Regionen neben dem Azure-Abonnement, indem Sie das Caret-Symbol auswählen. In diesem Beispiel zahle ich nutzungsbasiert für mein Abonnement. Diese Aktion erweitert die Liste der Regionen und zeigt an, ob der Network Watcher aktiviert ist oder nicht.

Schritt 3: Network Watcher der Region aktivieren

Suchen Sie die Region, in der Sie den Network Watcher aktivieren möchten, und klicken Sie auf die drei Punkte für Weitere Optionen. Wählen Sie Network Watcher aktivieren aus dem Menü.  Um die Bereitstellung zu überprüfen, navigieren Sie zurück zur Ressourcengruppe NetworkWatcherRG und überprüfen Sie, ob der Network Watcher für die Region bereitgestellt wurde.

Aktivieren des Network Watchers mit Befehlszeilen-Tools

Wenn Sie viele Network Watcher aktivieren müssen, können Sie dazu die Befehlszeile verwenden. Microsoft bietet Optionen sowohl in Azure PowerShell als auch in CLI-Modulen. Hier können Sie erfahren, wie man eine ausgehende Verbindung zu Azure AD und anderen Office-365-Modulen herstellt. Um einen Network Watcher mit PowerShell zu aktivieren, verwenden Sie den folgenden Befehl und ersetzen Sie „USA, Westen“ durch die Region Ihrer Wahl.

New-AzNetworkWatcher -Name "NetworkWatcher_westcentralus" -ResourceGroupName "NetworkWatcherRG" -Location "West Central US"
  1. New-AzNetworkWatcher -Name "NetworkWatcher_westcentralus" -ResourceGroupName "NetworkWatcherRG" -Location "West Central US"
New-AzNetworkWatcher -Name "NetworkWatcher_westcentralus" -ResourceGroupName "NetworkWatcherRG" -Location "West Central US"

Verwenden Sie diesen Befehl in Azure CLI, um einen Network Watcher zu aktivieren, und geben Sie erneut die benötigte Region an:

az network watcher configure --resource-group NetworkWatcherRG --locations westus --enabled
  1. az network watcher configure --resource-group NetworkWatcherRG --locations westus --enabled
az network watcher configure --resource-group NetworkWatcherRG --locations westus --enabled

Automatische Aktivierung des Network Watchers deaktivieren

Microsoft bietet zwei Möglichkeiten, die automatische Aktivierung von Network Watcher zu deaktivieren. Als erste Option können Sie mit Azure PowerShell die automatische Aktivierung mit den folgenden Befehlen deaktivieren:

Register-AzProviderFeature -FeatureName DisableNetworkWatcherAutocreation -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
  1. Register-AzProviderFeature -FeatureName DisableNetworkWatcherAutocreation -ProviderNamespace Microsoft.Network
  2. Register-AzResourceProvider -ProviderNamespace Microsoft.Network
Register-AzProviderFeature -FeatureName DisableNetworkWatcherAutocreation -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

Wenn Sie eher Azure VLI verwenden möchten, nutzen Sie die folgenden Befehle:

az feature register --name DisableNetworkWatcherAutocreation --namespace Microsoft.Network
az provider register -n Microsoft.Network
  1. az feature register --name DisableNetworkWatcherAutocreation --namespace Microsoft.Network
  2. az provider register -n Microsoft.Network
az feature register --name DisableNetworkWatcherAutocreation --namespace Microsoft.Network
az provider register -n Microsoft.Network

Microsoft warnt jedoch davor, die automatische Aktivierung zu deaktivieren, da Sie das nicht rückgängig machen können, ohne den Support zu kontaktieren.

Fazit

Der Azure Network Watcher ist eine hervorragende Ressource für die Fehlersuche und Diagnose von Netzwerkproblemen in Ihrer Umgebung. Die Nutzung der Ressource ist zwar kostenlos, die Verwendung einzelner Komponenten ist jedoch kostenpflichtig. Planen Sie Ihre Protokollaufbewahrung und die Anzahl der durchzuführenden Diagnosen entsprechend, um die anfallenden Kosten unter Kontrolle zu halten. Wenn Sie die Network-Watcher-Ressource versehentlich entfernt haben, stehen Ihnen jetzt die Werkzeuge zur Verfügung, um sie wieder zu aktivieren.