Amazon VPC traffic mirroring

Apa itu Amazon VPC Traffic Mirroring?

Traffic mirroring adalah fitur untuk Amazon Virtual Private Cloud (Amazon VPC). Fitur ini digunakan untuk memantau tingkat lalu lintas jaringan dari beban kerja. Traffic mirroring bekerja dengan memberikan pengguna akses langsung ke paket jaringan yang melewati VPC. Pengguna kemudian dapat mengirimkan lalu lintas yang telah disalin ke alat analisis keamanan dan jaringan untuk memeriksa konten, memantau potensi ancaman, dan menyelesaikan masalah yang muncul.

Fitur pemantauan lalu lintas ini membantu mengisi celah di mana suatu organisasi harus memantau lalu lintas jaringan dalam beban kerja mereka sendiri. Pengguna Amazon VPC dapat menggunakan fitur ini untuk mendeteksi anomali jaringan dan meningkatkan visibilitas jaringan.

Fitur ini juga dapat digunakan dalam lingkungan multi-akun AWS; terutama berguna untuk menangkap lalu lintas jaringan di berbagai akun AWS, kemudian mengirimkan data tersebut ke VPC pusat untuk pemantauan. Pengguna dapat memilih untuk menangkap semua lalu lintas atau menggunakan filter untuk menangkap paket tertentu.

Penggunaan Traffic Mirroring dalam Ekosistem AWS

Traffic mirroring dapat menyalin lalu lintas jaringan dari elastic network interface di AWS EC2 (Amazon Elastic Compute Cloud) instances. Lalu lintas dapat dipantau pada instansi EC2 mana pun yang didukung oleh sistem AWS Nitro. VPC traffic mirroring juga dapat digunakan dalam lingkungan multi-akun AWS untuk menangkap data lalu lintas jaringan dalam skala besar.

Jika suatu organisasi ingin mencapai high-availability monitoring, mereka harus menggunakan network load balancer untuk meneruskan instansi AWS EC2. Dengan cara ini, lingkungan berbasis AWS dapat memantau lalu lintasnya terhadap aktivitas berbahaya.

Manfaat Traffic Mirroring

Fitur ini memberikan manfaat bagi pengguna dalam lingkungan AWS dengan meningkatkan keamanan, menyederhanakan operasi, memberikan lebih banyak pilihan dalam opsi pemantauan, integrasi dengan instansi EC2, serta fleksibilitas dalam jumlah lalu lintas yang ditangkap.

  • Meningkatkan keamanan — dengan memberikan wawasan lebih dalam tentang lalu lintas jaringan VPC.
  • Menyederhanakan operasi — melalui pencerminan (penyalinan) lalu lintas VPC, sehingga agen penerusan paket tidak perlu digunakan.
  • Memberikan lebih banyak pilihan dalam opsi pemantauan — setelah data lalu lintas dikumpulkan, dapat dikirim ke berbagai alat keamanan.
  • Integrasi dengan instansi EC2 — sehingga semuanya bekerja dengan lancar.
  • Fleksibilitas dalam jumlah lalu lintas yang ditangkap — termasuk menangkap semua lalu lintas jaringan, paket jaringan tertentu, dan membatasi jumlah byte yang ditangkap per paket.

Bagaimana Traffic Mirroring Bekerja?

Pengguna dapat membuat, mengelola, dan mengakses sumber daya traffic mirror melalui berbagai cara. Misalnya, fitur ini dapat diakses melalui AWS Management Console, AWS Command Line Interface (CLI), Query API, dan AWS Software Development Kits (SDKs).

Traffic mirroring bekerja dengan menyalin lalu lintas masuk dan keluar. Proses ini melibatkan enkapsulasi paket asli dalam paket VXLAN, yang kemudian diteruskan ke listener User Datagram Protocol (UDP). Data juga ditransfer melalui Amazon VPC peering atau AWS Transit Gateway ke VPC pusat.

Beberapa elemen utama dari traffic mirroring meliputi:

  • Sumber traffic mirror, yaitu sumber lalu lintas dalam VPC tertentu; biasanya Elastic Network Interface (ENI).
  • Target traffic mirror, yaitu tujuan paket yang dicerminkan; biasanya berupa ENI atau network load balancer.
  • Sesi traffic mirror, yaitu koneksi antara sumber dan target mirror.
  • Filter traffic mirror, yaitu data yang akan ditangkap berdasarkan spesifikasi pengguna.

VPC traffic mirroring juga memiliki beberapa keterbatasan, antara lain:

  • AWS dapat memotong paket menjadi maksimum transmission unit (MTU) tertentu jika ukuran paket mirror lebih besar dari nilai MTU target.
  • VPC traffic mirroring tidak dapat mencerminkan semua jenis lalu lintas, seperti ARP, DHCP, Instance metadata service, NTP, dan Windows activation traffic.
  • Lalu lintas yang dicerminkan dihitung terhadap bandwidth instansi, sehingga pengguna harus mengakomodasi ekstra Gbps untuk lalu lintas masuk dan keluar.

Keterbatasan lainnya termasuk dukungan terhadap instansi tertentu dan pertimbangan penggunaan load balancer.

Alat Traffic Mirroring Lain yang Bersaing

Konsep VPC traffic mirroring sangat mirip dengan port mirroring, yang memantau lalu lintas jaringan dan meneruskan salinan setiap paket dari satu port switch jaringan ke yang lain. Ini berarti ada beberapa alat dengan tujuan serupa, seperti Terminal Access Point jaringan virtual Microsoft.

Sebagian besar penyedia layanan cloud lainnya masih menggunakan pendekatan berbasis agen lokal. Ini mungkin menunjukkan bahwa traffic mirroring adalah layanan yang tidak banyak dibutuhkan oleh pelanggan atau sulit dan mahal untuk diterapkan dalam instansi cloud.

Beberapa alat analisis data jaringan lainnya dirancang khusus untuk layanan cloud. Contohnya adalah ExtraHop Reveal(x) Cloud, sebuah alat SaaS yang menawarkan deteksi ancaman jaringan, investigasi, dan respons menggunakan AWS VPC Traffic Mirroring.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *