Déployez une sonde ExtraHop sur AWS
Les procédures suivantes expliquent comment déployer un ExtraHop virtuel. sonde dans un environnement Amazon Web Services (AWS). Vous devez avoir de l'expérience dans le déploiement de machines virtuelles dans AWS au sein de votre infrastructure de réseau virtuel.
Un ExtraHop virtuel sonde peut vous aider à surveiller les performances de vos applications sur les réseaux internes, l'Internet public ou une interface de bureau virtuel (VDI), y compris la base de données et les niveaux de stockage. Le système ExtraHop peut surveiller les performances des applications dans des environnements géographiquement distribués, tels que des succursales ou des environnements virtualisés via le trafic inter-machines virtuelles.
Cette installation vous permet d'exécuter la surveillance des performances du réseau, la détection et la réponse du réseau, ainsi que la détection des intrusions sur un seul sonde.
Important : | Avant de pouvoir activer le module IDS sur cette sonde, vous devez mettre à jour le microprogramme de la sonde vers la version 9.6 ou ultérieure. Une fois la mise à niveau terminée, vous pouvez appliquer la nouvelle licence à la sonde. |
Remarque : | Si vous avez activé le module IDS sur cette sonde et que votre système ExtraHop ne dispose pas d'un accès direct à Internet et n'a pas accès aux services ExtraHop Cloud, vous devrez télécharger les règles IDS manuellement. Pour plus d'informations, voir Téléchargez les règles IDS dans le système ExtraHop via l'API REST. |
Après avoir déployé le sonde dans AWS, configurez Mise en miroir du trafic AWS ou RPCAP (RPCAP) pour transférer le trafic depuis des appareils distants vers votre sonde. La mise en miroir du trafic AWS est configurable pour toutes les tailles d'instance et constitue la méthode préférée pour envoyer le trafic AWS vers les EDA 6100v et 8200v sonde.
Important : | Pour garantir les meilleures performances lors de la synchronisation initiale de l'équipement, connectez tous les capteurs à la console, puis configurez le transfert du trafic réseau vers les capteurs. |
Exigences du système
Votre environnement doit répondre aux exigences suivantes pour déployer un ExtraHop virtuel sonde dans AWS :
- Vous devez disposer d'un compte AWS.
- Vous devez avoir accès à l'Amazon Machine Image (AMI) de l'ExtraHop sonde.
- Vous devez avoir un ExtraHop sonde clé de produit.
- Vous pouvez éventuellement configurer un disque de stockage pour les déploiements qui incluent la capture précise des
paquets. Consultez la documentation AWS pour savoir comment ajouter un
disque.
- Pour l'EDA 1100v, ajoutez un disque d'une capacité maximale de 250 Go.
- Pour les modèles EDA 6100v et 8200v, ajoutez un disque d'une capacité maximale de 500 Go.
Exigences relatives aux machines virtuelles
Vous devez provisionner le type d'instance AWS qui correspond le mieux à la taille de votre sonde virtuelle ExtraHop et qui répond aux exigences du module suivantes.
Sonde | Modules | Type d'instance recommandé | Taille du disque |
---|---|---|---|
EDA 1 100 V | NDR | c5.xlarge (4 processeurs virtuels et 8 Go de RAM) | 61 GO |
EDA 6320v | NDR + IDS | m5.8xlarge (32 processeurs virtuels, 128 Go de RAM) | 1400 GO |
EDA 6100v | NDR | m5.4xlarge (16 processeurs virtuels et 64 Go de RAM) c5.9xlarge (36 processeurs virtuels et 72 Go de RAM) * |
1000 GO |
EDA 8200 V | NDR | c5n.9xlarge (36 processeurs virtuels et 96 Go de RAM) | 2000 GO |
Remarque : | Débit peut être affectée lorsque plusieurs modules sont activés sur la sonde. |
* Recommandé lorsque l'EDA 6100v ne peut pas être déployé dans le même groupe de placement de cluster que le trafic surveillé. L'instance c5.9xlarge a un coût plus élevé, mais elle est plus résiliente dans les environnements où la fidélité du flux de données est essentielle.
Remarque : | Dans la mesure du possible, localisez sonde dans le même groupe de placement de cluster que les périphériques qui transfèrent le trafic. Cette bonne pratique optimise la qualité des aliments pour animaux sonde reçoit. |
Important : | AWS impose une limite de 10 sessions pour la mise en miroir du trafic du cloud privé virtuel (VPC) ; toutefois, la limite de sessions peut être augmentée pour capteurs s'exécutant sur un hôte dédié c5. Nous recommandons l'hôte dédié c5 pour les instances EDA 8200v et EDA 6100v qui nécessitent une limite de session plus importante. Contactez le support AWS pour demander l'augmentation de la limite de session. |
Exigences relatives aux ports
Les ports suivants doivent être ouverts pour les instances AWS ExtraHop.
Port | Descriptif |
---|---|
Ports TCP 22, 80 et 443 entrants vers le système ExtraHop | Ces ports sont nécessaires pour administrer le système ExtraHop. |
Port TCP 443 sortant vers ExtraHop Cloud Services | Ajoutez l'adresse IP actuelle des services cloud ExtraHop. Pour plus d'informations, voir Configurez vos règles de pare-feu. |
Port UDP 53 sortant vers votre serveur DNS | Le port UDP 53 doit être ouvert pour que la sonde puisse se connecter au serveur de licences ExtraHop. |
(Facultatif) Ports TCP/UDP 2003-2034 entrants vers le système ExtraHop depuis le VPC AWS | Si vous ne configurez pas Mise en miroir du trafic AWS, vous devez ouvrir un port (ou une plage de ports) pour que le redirecteur de paquets puisse transférer le trafic RPCAP depuis vos ressources AWS VPC. Pour plus d'informations, voir Transfert de paquets avec RPCAP. |
Créez l'instance ExtraHop dans AWS
Prochaines étapes
- Enregistrez votre système ExtraHop.
- (Recommandé) Configurer Mise en miroir du trafic AWS pour copier le
trafic réseau de vos instances EC2 vers une interface
ERSPAN/VXLAN/GENEVE hautes performances sur votre sonde.
Conseil : Si votre déploiement nécessite un débit supérieur à 15 Gbit/s, répartissez vos sources de mise en miroir du trafic sur deux interfaces ERSPAN/VXLAN/GENEVE hautes performances sur l'EDA 8200v. - (Facultatif) Transférer le trafic encapsulé à Geneve depuis un équilibreur de charge AWS Gateway.
- Configuration de la sonde.
- Passez en revue le Liste de contrôle après le déploiement des capteurs et des consoles.
Création d'une cible miroir de trafic
Effectuez ces étapes pour chaque interface réseau Elastic (ENI) que vous avez créée.
- Dans la console de gestion AWS, dans le menu supérieur, cliquez sur Services.
- Cliquez .
- Dans le volet de gauche, sous Traffic Mirroring, cliquez sur Cibles en miroir.
- Cliquez Créer une cible miroir de trafic.
- Facultatif : Dans le champ Tag Name, saisissez un nom descriptif pour la cible.
- Facultatif : Dans le champ Description, saisissez la description de la cible.
- À partir du Type de cible dans la liste déroulante, sélectionnez Interface réseau.
- À partir du Cible dans la liste déroulante, sélectionnez l'ENI que vous avez créé précédemment.
- Cliquez Créez.
Création d'un filtre Traffic Mirror
Vous devez créer un filtre pour autoriser ou restreindre le trafic depuis vos sources miroir de trafic ENI vers votre système ExtraHop.
- Tout le trafic sortant est reflété dans le sonde, si le trafic est envoyé d'un équipement homologue à un autre sur le sous-réseau ou s'il est envoyé vers un périphérique situé en dehors du sous-réseau.
- Le trafic entrant n'est reflété que sur sonde lorsque le trafic provient d'un équipement externe. Par exemple, cette règle garantit qu'une demande de serveur d' applications n'est pas dupliquée deux fois : une fois depuis le serveur d'applications d'origine et une fois depuis la base de données qui a reçu la demande.
- Les numéros de règles déterminent l'ordre dans lequel les filtres sont appliqués. Les règles comportant des nombres inférieurs, tels que 100, sont appliquées en premier.
Important : | Ces filtres ne doivent être appliqués que lors de la mise en miroir de toutes les instances d'un bloc CIDR. |
- Dans l'AWS Management Console, dans le volet de gauche, sous Traffic Mirroring, cliquez sur Filtres pour miroirs.
- Cliquez Créer un filtre Traffic Mirror.
- Dans le Etiquette nominative champ, saisissez le nom du filtre.
- Dans le Descriptif champ, saisissez la description du filtre.
- En dessous Services réseau, sélectionnez le amazon dns case à cocher.
- Dans le Règles relatives aux appels entrants section, cliquez sur Ajouter une règle.
-
Configurez une règle entrante :
- Dans le Numéro champ, saisissez un numéro pour la règle, tel que 100.
- À partir du Action relative à la règle liste déroulante, sélectionnez rejeter.
- À partir du Protocole liste déroulante, sélectionnez Tous les protocoles.
- Dans le Bloc CIDR source dans le champ, saisissez le bloc CIDR pour le sous-réseau.
- Dans le Bloc CIDR de destination dans le champ, saisissez le bloc CIDR pour le sous-réseau.
- Dans le Descriptif dans ce champ, saisissez la description de la règle.
- Dans les sections Règles relatives aux appels entrants, cliquez sur Ajouter une règle.
-
Configurez une règle entrante supplémentaire :
- Dans le Numéro champ, saisissez un numéro pour la règle, tel que 200.
- À partir du Action relative à la règle liste déroulante, sélectionnez accepter.
- À partir du Protocole liste déroulante, sélectionnez Tous les protocoles.
- Dans le Bloc CIDR source champ, type 0,0,0,0/0.
- Dans le Bloc CIDR de destination champ, type 0,0,0,0/0.
- Dans le Descriptif dans ce champ, saisissez la description de la règle.
- Dans la section Règles sortantes, cliquez sur Ajouter une règle.
-
Configurez une règle sortante :
- Dans le Numéro champ, saisissez un numéro pour la règle, tel que 100.
- À partir du Action relative à la règle liste déroulante, sélectionnez accepter.
- À partir du Protocole liste déroulante, sélectionnez Tous les protocoles.
- Dans le Bloc CIDR source champ, type 0,0,0,0/0.
- Dans le Bloc CIDR de destination champ, type 0,0,0,0/0.
- Dans le Descriptif dans ce champ, saisissez la description de la règle.
- Cliquez Créez.
Création d'une session Traffic Mirror
Vous devez créer une session pour chaque ressource AWS que vous souhaitez surveiller. Vous pouvez créer un maximum de 500 sessions Traffic Mirror par sonde.
Important : | Pour éviter que les paquets miroir ne soient tronqués, définissez la valeur MTU de l'interface source du miroir de trafic à 54 octets de moins que la valeur MTU cible du miroir de trafic pour IPv4 et à 74 octets de moins que la valeur MTU cible du miroir de trafic pour IPv6. Pour plus d'informations sur la configuration de la valeur MTU du réseau, consultez la documentation AWS suivante : Unité de transmission maximale réseau (MTU) pour votre instance EC2 . |
Configuration de la sonde
Que faire ensuite
Une fois que le système a obtenu une licence et que vous avez vérifié que le trafic est détecté, suivez les procédures recommandées dans liste de contrôle après le déploiement .
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?