Xin chào mọi người! Có bao giờ bạn cần theo dõi các route cụ thể trong mạng của mình chưa? Đối với nhiều người làm việc với AWS, VPC Flow Logs là một dịch vụ rất quen thuộc để thực hiện nhiệm vụ này. Tuy nhiên, trong một số trường hợp, VPC Flow Logs không cung cấp đủ thông tin chi tiết cần thiết. Vậy có những phương pháp nào khác để theo dõi lưu lượng mạng? Một trong những giải pháp phổ biến nhất chính là Traffic Mirroring. Hãy cùng tìm hiểu về Traffic Mirroring và những điểm nổi bật của nó nhé!
1. Khái niệm về Traffic Mirroring
Traffic Mirroring là một tính năng của Amazon VPC (Virtual Private Cloud), cho phép bạn sao chép lưu lượng mạng từ một Elastic Network Interface (ENI) nhất định và gửi nó đến một thành phần khác để phục vụ cho các mục đích như giám sát hoặc đảm bảo an ninh mạng.
Điểm đến của traffic mirroring có thể là một instance, một nhóm instances, hoặc thậm chí một Load Balancer, và các thành phần này có thể thuộc về một tài khoản AWS khác. Tuy nhiên, chi phí sẽ được tính cho tài khoản nơi có ENI gốc, theo cập nhật mới nhất của AWS vào tháng 10/2022.
Cần lưu ý rằng tính năng Traffic Mirroring không hỗ trợ tất cả các loại instance. Theo tài liệu của AWS, nó áp dụng cho hầu hết các instances sử dụng hệ thống Nitro. Bạn có thể tham khảo tại đây để biết thêm chi tiết.
Traffic Mirroring có một vài thành phần quan trọng như sau:
- Mirroring Filter: Bộ lọc này áp dụng cho đích đến và xác định loại lưu lượng mà bạn muốn sao chép để gửi đến điểm giám sát.
- Mirroring Target: Thông tin về điểm đến cụ thể cho một loại lưu lượng nào đó, có thể là một instance hoặc một Load Balancer.
- Mirroring Session: Một phiên bao gồm cả Mirroring Filter và Mirroring Target. Một Target có thể chứa tối đa 3 Mirroring Sessions để phục vụ cho các nhu cầu giám sát khác nhau. Các thành phần Source và Target có thể nằm trong các VPC khác nhau miễn là có khả năng kết nối với nhau thông qua VPC Peering hoặc Transit Gateway.
2. So sánh Traffic Mirroring với VPC Flow Logs
VPC Flow Logs
Khi thiết kế một hệ thống, việc đảm bảo khả năng theo dõi và giám sát thông tin vào trong VPC là rất quan trọng. VPC Flow Logs là phương pháp phổ biến được nhiều người sử dụng để lưu trữ và theo dõi lưu lượng mạng. Tuy nhiên, thông tin có được từ VPC Flow Logs không được chi tiết và rõ ràng như mong muốn.
Trên VPC Flow Logs, bạn chỉ có thể theo dõi thông tin cơ bản như số byte gửi từ IP nguồn đến IP đích, trạng thái của kết nối,... Mặc dù VPC Flow Logs có thể kết hợp với meta-data, nhưng vẫn chưa cung cấp đủ thông tin cho việc theo dõi sâu hơn.
Mirroring Traffic
Khác với VPC Flow Logs, Traffic Mirroring yêu cầu bạn cài đặt thêm một số thành phần phụ. Dù quá trình cài đặt không quá phức tạp, nhưng tổng thể, nó tốn nhiều công sức hơn so với việc sử dụng VPC Flow Logs.
Ở phía Target, bạn cần cài đặt một số công cụ mã nguồn mở để theo dõi lưu lượng, tương tự như cách thức hoạt động của điểm gốc dù chỉ là lưu lượng sao chép. Những công cụ như Zeek và Suricata là những ví dụ điển hình, giúp bạn giám sát an ninh mạng và phát hiện các loại lưu lượng khác nhau: https://zeek.org/
Kết quả hiển thị trên Kibana cho thấy rằng Traffic Mirroring cung cấp nhiều thông tin chi tiết hơn so với VPC Flow Logs. Ví dụ, đối với traffic SSH đến một server khác, bạn có thể biết được kiểu kết nối, loại server, và phương thức mã hóa được sử dụng.
Tóm lại, Traffic Mirroring cung cấp sự chi tiết và toàn diện hơn cho việc theo dõi lưu lượng mạng so với VPC Flow Logs. Hy vọng rằng những thông tin này sẽ hữu ích cho bạn trong việc áp dụng Traffic Mirroring vào hệ thống của mình để nâng cao khả năng theo dõi và giám sát.
Cảm ơn bạn đã theo dõi bài viết!
source: viblo
