Déployez des capteurs Reveal (x) 360 pour AWS dans des environnements avancés

Reveal (x) 360 propose un environnement flexible et hautement personnalisable qui vous permet de surveiller le trafic provenant des ENI dans plusieurs zones de disponibilité (AZ). En général, vous ne devez déployer que le nombre de capteurs nécessaire pour le volume de trafic que vous souhaitez surveiller, mais chaque sonde doit être configuré pour une seule AZ. Par conséquent, si vous avez des ENI dans plusieurs AZ, nous vous recommandons de déployer un sonde pour chaque AZ.

Remarque :
  • Bien que vous puissiez en déployer un sonde par paire Virtual Private Cloud (VPC) et AZ pour éviter les frais de transfert de données, dans certains environnements à faible trafic, il peut être plus rentable d'en déployer moins capteurs et payez les frais de transfert mineurs entre VPC et entre AZ.
  • Quand partage d'interfaces cibles miroir entre plusieurs comptes AWS, vous devez disposer d'une connectivité VPC, telle qu'un peering VPC ou une passerelle de transit.

Le nombre d'interfaces cibles en miroir dans une seule sonde dépend du sonde taille.

Taille du capteur Nombre d'interfaces cibles en miroir
Très petit, Premium ou Ultra 3
Petit, Premium ou Ultra 3
Prime moyenne 7

Pour les déploiements simples où il vous suffit de refléter le trafic provenant des ENI dans une seule zone de disponibilité (AZ), suivez les instructions du Déployez des capteurs Reveal (x) 360 pour AWS guide.

Pour les environnements plus complexes dans lesquels vous devez refléter le trafic provenant des ENI de plusieurs AZ vers plusieurs capteurs, vous devez répéter certaines procédures pour les ENI dans chaque AZ.

L'organigramme suivant montre l'ordre recommandé pour chaque procédure.

Les étapes suivantes fournissent des liens et des conseils pour chaque procédure.

  1. Récupérez votre identifiant de locataire de Reveal (x) 360.
  2. Créez des ENI dans chaque AZ contenant le trafic que vous souhaitez surveiller. Ces ENI sont vos interfaces cibles miroir.
  3. Si vous ne possédez qu'un seul compte AWS, créer un rôle IAM. Si vos AZ s'étendent sur plusieurs comptes, vous devez créer un rôle IAM pour chaque compte.
  4. Rechercher des cibles en miroir dans Reveal (x) 360. Chaque ENI que vous avez créée dans un AZ doit apparaître dans la liste des interfaces de cibles miroir disponibles.
  5. Déployez la première sonde pour les ENI de la première AZ, puis répétez cette procédure jusqu'à ce que vous ayez configuré une sonde pour les ENI de chaque AZ supplémentaire.
  6. Retournez à AWS et créer une cible miroir du trafic pour les ENI source dans chaque AZ.
  7. Créez des filtres de rétroviseurs pour éviter de dupliquer le trafic provenant des ENI de chaque AZ.
  8. Créez les sessions «   Traffic Mirror » pour les cibles reflétant le trafic que vous avez créées dans chaque AZ.

    Nous vous recommandons de configurer une fonction Lambda pour reflète automatiquement le trafic de vos instances EC2 à vos capteurs.

  9. Enfin, retournez à la console Reveal (x) 360 pour voir votre sonde trafic.
Last modified 2023-11-07