Men-deploy kemampuan pemantauan dan telemetri jaringan di Google Cloud

Telemetri jaringan mengumpulkan data traffic jaringan dari perangkat di jaringan anda sehingga datanya dapat dianalisis. Telemetri jaringan memungkinkan tim operasi keamanan mendeteksi ancaman berbasis jaringan dan mencari ancaman tingkat lanjut, yang bersifat utama untuk autonomic security operations. Untuk mendapatkan telemetri jaringan, Anda perlu mengambil dan menyimpan data jaringan. Blueprint ini menjelaskan cara menggunakan Duplikasi Paket dan Zeek untuk mengambil data jaringan di Google Cloud.

Blueprint ini ditujukan untuk analis keamanan dan administrator jaringan yang ingin menduplikasi traffic jaringan, menyimpan data ini, dan meneruskannya untuk dianalisis. Blueprint ini mengasumsikan bahwa Anda memiliki pengetahuan yang baik tentang networking dan pemantauan jaringan.

Blueprint ini adalah bagian dari security blueprint yang terdiri dari hal berikut:

• Repositori GitHub yang berisi serangkaian skrip dan konfigurasi Terraform.
• Panduan arsitektur, desain, dan kontrol keamanan yang Anda terapkan dengan blueprint (dokumen ini).

Dengan blueprint ini, Anda merekam paket jaringan (termasuk metadata jaringan) menggunakan Duplikasi Paket, mengubah paket jaringan menjadi log Zeek, kemudian menyimpannya di Cloud Logging. Blueprint mengekstrak metadata seperti alamat IP, port, protokol, serta header dan permintaan Lapisan 7. Menyimpan metadata jaringan sebagai log Zeek menggunakan lebih sedikit volume data daripada menyimpan data paket mentah, sehingga jadi lebih hemat biaya.

Dokumen ini mengasumsikan bahwa Anda telah mengonfigurasi serangkaian kontrol keamanan dasar, seperti yang dijelaskan dalam panduan Google Cloud Enterprise Foundation.

Kasus penggunaan yang didukung

Blueprint ini mendukung kasus penggunaan berikut:

• Pusat operasi keamanan (SOC) Anda memerlukan akses ke data log jaringan Google Cloud di lokasi terpusat agar dapat menyelidiki insiden keamanan. Blueprint ini menerjemahkan data paket jaringan menjadi log yang dapat Anda teruskan ke alat analisis dan investigasi Anda. Alat analisis dan investigasi mencakup BigQuery, Chronicle, Flowmon, ExtraHop, atau Informasi Keamanan dan Manajemen Peristiwa (SIEM).
• Tim keamanan Anda memerlukan visibilitas ke jaringan Google Cloud untuk melakukan perburuan ancaman menggunakan alat seperti Chronicle. Anda dapat menggunakan blueprint ini untuk membuat pipeline untuk traffic jaringan Google Cloud.
• Anda ingin mendemonstrasikan cara organisasi Anda memenuhi persyaratan kepatuhan untuk deteksi dan respon jaringan. Contoh, organisasi Anda harus menunjukkan kepatuhan terhadap Memorandum M-21-31 dari United States Office of Management and Budget (OMB).
• Analis keamanan jaringan Anda memerlukan data log jaringan jangka panjang. Blueprint ini mendukung pemantauan jangka panjang dan on-demand.

Jika Anda juga memerlukan data pengambilan paket (pcap), Anda perlu menggunakan alat penganalisis protokol jaringan (misalnya, Wireshark atau tcpdump). Penggunaan alat penganalisis protokol jaringan tidak tercakup dalam blueprint ini.

Anda tidak dapat men-deploy blueprint ini dengan Cloud Intrusion Detection System. Solusi ini dan Cloud Intrusion Detection System menggunakan kebijakan Duplikasi Paket, dan kebijakan ini hanya bisa digunakan oleh satu layanan secara bersamaan.

Biaya

Blueprint ini dapat memengaruhi biaya Anda karena Anda are menambahkan resource komputasi dan menyimpan data dengan jumlah yang signifikan di Cloud Logging. Pertimbangkan hal berikut saat Anda men-deploy blueprint:

• Setiap mesin virtual kolektor (VM) di Compute Engine berjalan sebagai instance e2-medium.
• Anda dapat mengontrol biaya penyimpanan dengan hal berikut:
  • Menggunakan filter Duplikasi Paket.
  • Tidak menduplikasi lintas zona untuk menghindari biaya traffic keluar antar zona.
  • Menyimpan data hanya selama diperlukan oleh organisasi Anda.

Anda dapat menggunakan Kalkulator Harga untuk mendapatkan perkiraan biaya komputasi, logging, dan penyimpanan Anda.

Arsitektur

Diagram arsitektur berikut menunjukkan layanan infrastruktur yang Anda terapkan menggunakan blueprint ini:

Arsitektur yang ditampilkan pada gambar sebelumnya menggunakan kombinasi dari layanan dan fitur Google Cloud berikut:

• Dua jaringan Virtual Private Cloud (VPC):

  • Jaringan Virtual Private Cloud untuk sumber yang diduplikasi.
  • Jaringan VPC untuk instance kolektor.

  Jaringan VPC ini harus berada dalam project yang sama.

• Compute Engine atau Google Kubernetes Engine (GKE) instance (disebut dengan sumber yang diduplikasi) di region dan subnet tertentu yang merupakan sumber bagi paket jaringan. Anda mengidentifikasi instance mana yang menduplikasi sumber menggunakan salah satu dari metode berikut:

  • Network tags
  • Nama instance komputasi
  • Nama subnet

• Instance Compute Engine yang berfungsi sebagai instance kolektor di balik Load Balancer Jaringan passthrough internal, di region yang sama dengan sumber yang diduplikasi. Instance ini menjalankan Image Zeek-Fluentd Golden atau image kustom zeek-fluentd Anda. VM adalah e2-medium dan throughput yang didukung adalah 4 Gbps.

• Load Balancer Jaringan passthrough internal yang menerima paket dari sumber yang diduplikasi dan meneruskannya ke instance kolektor untuk diproses. Aturan penerusan rule untuk load balancer menggunakan --is-mirroring-collector flag.

• Aturan firewall VPC yang mengizinkan hal berikut:

  • Traffic keluar dari sumber yang diduplikasi ke Load Balancer Jaringan passthrough internal.
  • Traffic masuk dari instance kolektor ke instance yang diduplikasi.

• Kebijakan Duplikasi Paket yang menentukan region, subnet, instance yang diduplikasi, protokol, arah, dan aturan penerusan. Setiap region memerlukan kebijakan Duplikasi Paket sendiri.

• Peering Jaringan VPC untuk mengizinkan konektivitas menggunakan alamat IP internal antara VMs Compute Engine yang sangat tersedia di beberapa region. Peering Jaringan VPC memungkinkan sumber yang diduplikasi untuk berkomunikasi dengan Load Balancer Jaringan passthrough internal.

• Cloud Logging instance yang mengumpulkan semua paket untuk penyimpanan dan pengambilan oleh alat analisis dan investigasi.

Memahami kontrol keamanan yang Anda perlukan

Bagian ini membahas kontrol keamanan dalam Google Cloud yang dapat Anda gunakan untuk membantu mengamankan komponen dari arsitektur pemantauan jaringan.

Kontrol keamanan jaringan VPC

Anda membuat jaringan VPC di sekitar sumber yang diduplikasi dan kolektor Anda. Saat Anda membuat jaringan VPC untuk kolektor, Anda menghapus rute default yang dihasilkan sistem, yang berarti semua rute gateway internet dinonaktifkan. Dengan menonaktifkan gateway internet default membantu mengurangi permukaan serangan jaringan Anda dari penyerang ancaman eksternal.

Anda membuat subnet di jaringan VPC Anda untuk setiap region. Subnet memungkinkan Anda mengontrol aliran traffic antara workload Anda di Google Cloud dan juga dari sumber eksternal. Subnet telah mengaktifkan Akses Google Pribadi . Akses Google Pribadi juga membantu mengurangi permukaan serangan jaringan Anda, sementara mengizinkan VMs untuk berkomunikasi dengan Google APIs dan layanan Google.

Untuk mengizinkan komunikasi antar jaringan VPC, Anda mengaktifkan Peering Jaringan VPC. Peering Jaringan VPC menggunakan rute subnet untuk konektivitas alamat IP internal. Anda dapat mengimpor dan mengekspor rute kustom untuk mengizinkan koneksi langsung antara sumber yang diduplikasi dan kolektor. Anda harus membatasi semua komunikasi ke rute regional karena Load Balancer Jaringan passthrough internal untuk kolektor tidak mendukung rute global.

Aturan firewall

Anda menggunakan aturan firewall untuk menentukan koneksi yang dapat dibuat oleh sumber dan kolektor yang diduplikasi. Anda menyiapkan aturan traffic masuk guna mengizinkan waktu beroperasi reguler health check, aturan traffic keluar untuk semua protokol di sumber yang diduplikasi, dan aturan traffic masuk untuk semua protokol di kolektor.

Kontrol keamanan VM kolektor

VM kolektor bertanggung jawab untuk menerima data paket. VM kolektor adalah VM identik yang beroperasi sebagai grup instance terkelola (MIGs). Anda mengaktifkan health check untuk mengizinkan pembuatan ulang dari VM yang tidak responsif secara otomatis. Disamping itu, Anda mengizinkan kolektor untuk melakukan penskalaan otomatis berdasarkan persyaratan penggunaan Anda.

Setiap kolektor VM menjalankan image zeek-fluentd Packer. Image ini terdiri dari Zeek, yang menghasilkan log, dan Fluentd, yang meneruskan log ke Cloud Logging. Setelah Anda men-deploy modul Terraform, Anda dapat memperbarui OS VM dan paket Zeek dan menerapkan kontrol keamanan yang diperlukan untuk organisasi Anda.

Kontrol keamanan load balancer internal

Load Balancer Jaringan passthrough internal mengarahkan traffic paket jaringan dari sumber yang diduplikasi ke VM kolektor untuk diproses. Semua VM kolektor harus berjalan di region yang sama dengan Load Balancer Jaringan passthrough internal.

Aturan penerusan untuk Load Balancer Jaringan passthrough internal menentukan bahwa akses dapat dilakukan dari semua port, namun akses global tidak diizinkan. Selain itu, aturan penerusan menentukan load balancer ini sebagai kolektor yang diduplikasi, menggunakan flag --is-mirroring-collector.

Anda tidak perlu menyiapkan load balancer untuk penyimpanan, karena setiap VM kolektor langsung mengupload log ke Cloud Logging.

Duplikasi Paket

Duplikasi Paket memerlukan Anda untuk mengidentifikasi instance yang ingin Anda duplikasi. Anda dapat mengidentifikasi instance yang ingin anda duplikasi menggunakan network tags, nama instance, atau subnet dimana tempat instance berada. Selain itu, Anda dapat memfilter traffic lebih lanjut dengan menggunakan satu atau beberapa dari hal berikut:

• Protokol Lapisan 4, seperti TCP, UDP, atau ICMP.
• Rentang IPv4 CIDR di header IP, seperti 10.0.0.0/8.
• Arah traffic yang ingin Anda duplikasi, seperti masuk, keluar, atau keduanya.

Akun layanan dan kontrol akses

Akun layanan adalah identitas yang dapat digunakan Google Cloud untuk menjalankan permintaan API atas nama Anda. Akun layanan memastikan bahwa identitas pengguna tidak memiliki akses langsung ke layanan.

Untuk men-deploy kode Terraform, Anda harus meniru identitas akun layanan yang memiliki peran berikut dalam project:

• roles/compute.admin
• roles/compute.networkAdmin
• roles/compute.packetMirroringAdmin
• roles/compute.packetMirroringUser
• roles/iam.serviceAccountTokenCreator
• roles/iam.serviceAccountUser
• roles/logging.logWriter
• roles/monitoring.metricWriter
• roles/storage.admin

VM kolektor juga memerlukan akun layanan ini sehingga mereka dapat mengautentikasi ke layanan Google Cloud, mendapatkan paket jaringan, dan meneruskannya ke Cloud Logging.

Praktik data retensi

Anda dapat menentukan durasi penyimpanan log jaringan oleh Cloud Logging menggunakan aturan retensi untuk bucket log Anda. Untuk menentukan durasi penyimpanan data, tinjau persyaratan peraturan organisasi Anda.

Logging dan audit

Anda dapat menggunakan Cloud Monitoring untuk menganalisis performa dari VM kolektor dan menyiapkan pemberitahuan untuk cek uptime dan kondisi performa seperti beban CPU.

Anda dapat melacak akses administrator atau perubahan pada data dan konfigurasi menggunakan Cloud Audit Logs. Logging audit didukung oleh Compute Engine, Cloud Load Balancing, dan Cloud Logging.

Anda dapat mengekspor informasi pemantauan sebagai berikut:

• Ke Chronicle untuk analisis tambahan. Untuk informasi lebih lanjut, lihat Proses Transfer Login Google Cloud ke Chronicle.

• Untuk SIEM pihak ketiga, menggunakan Pub/Sub dan Dataflow. Untuk informasi lebih lanjut, lihat Mengekspor data keamanan Google Cloud ke sistem SIEM Anda.

Menyatukan semuanya

Untuk mengimplementasikan arsitektur yang dijelaskan dalam dokumen ini, lakukan hal berikut:

1. Deploy dasar pengukuran yang aman di Google Cloud, seperti yang dijelaskan dalam blueprint Enterprise Foundation Google Cloud. Jika Anda memilih untuk tidak men-deploy blueprint Enterprise Foundation, pastikan lingkungan Anda memiliki dasar pengukuran keamanan yang serupa.
2. Tinjau Readme untuk memeriksa blueprint dan pastikan bahwa Anda memenuhi semua prasyarat.

3. Di lingkungan pengujian Anda, deploy salah satu contoh konfigurasi telemetri jaringan untuk melihat kinerja blueprint. Sebagai bagian dari proses pengujian Anda, lakukan hal berikut:

   1. Verifikasi bahwa kebijakan Duplikasi Paket dan subnet telah dibuat.

   2. Pastikan bahwa Anda memiliki peran Logs Viewer (roles/logging.viewer) dan jalankan perintah curl untuk melihat data log Anda. Contoh:

      curl http://example.com/

      Anda akan melihat bahwa data log disimpan di Cloud Logging.

   3. Gunakan Security Command Center untuk memindai resource yang baru dibuat berdasarkan persyaratan kepatuhan Anda.

   4. Pastikan sistem Anda menangkap dan menyimpan paket jaringan yang sesuai, dan meningkatkan performanya sesuai yang dibutuhkan.

4. Men-deploy blueprint ke lingkungan produksi Anda.

5. Sambungkan Cloud Logging ke SIEM atau Chronicle Anda sehingga SOC dan analis keamanan jaringan Anda dapat menyertakan telemetri baru ke dasbor.

Langkah selanjutnya

• Kerjakan blueprint.
• Baca tentang Kapan harus menggunakan lima tipe telemetri dalam pemantauan ancaman keamanan.
• Baca tentang Memanfaatkan Telemetri Jaringan di Google Cloud.
• Baca tentang cara mengubah SOC Anda menggunakanautonomic security operations.