Praktik terbaik untuk Cloud IDS

Halaman ini memberikan praktik terbaik untuk mengonfigurasi Cloud IDS.

Cloud IDS adalah layanan deteksi penyusupan yang menyediakan deteksi ancaman untuk intrusi, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda. Cloud IDS menggunakan resource yang dikenal sebagai endpoint IDS, yaitu resource zonal yang dapat memeriksa traffic dari zona mana pun di regionnya. Setiap endpoint IDS menerima lalu lintas yang di-mirror dan melakukan analisis deteksi ancaman.

Men-deploy endpoint IDS

• Buat endpoint IDS di setiap region yang ingin Anda pantau menggunakan Cloud IDS. Anda dapat membuat beberapa endpoint IDS untuk setiap region.
• Tunggu hingga 20 menit agar Cloud IDS membuat dan mengonfigurasi firewall.
• Selama pembuatan endpoint IDS, Anda harus memilih tingkat keparahan pemberitahuan. Untuk visibilitas maksimum, sebaiknya gunakan tingkat informational.
• Jika Anda menggunakan halaman Packet mirroring di konsol Google Cloud untuk membuat kebijakan duplikasi paket, pastikan Anda mengaktifkan Allow both ingress and egress traffic.

  Buka Packet mirroring

• Jika Anda menggunakan halaman Cloud IDS untuk mengonfigurasi endpoint IDS, Anda tidak perlu mengaktifkan Izinkan traffic ingress dan egress karena endpoint tersebut diaktifkan secara otomatis.

  Buka dasbor Cloud IDS

Anda dapat menggunakan Cloud IDS untuk membuat endpoint IDS di setiap region yang ingin Anda pantau. Anda dapat membuat beberapa endpoint IDS untuk setiap region. Setiap endpoint IDS memiliki kapasitas pemeriksaan maksimum 5 Gbps. Meskipun setiap endpoint IDS dapat menangani lonjakan traffic anomali hingga 17 Gbps, sebaiknya Anda mengonfigurasi satu endpoint IDS untuk setiap throughput 5 Gbps yang dialami jaringan Anda.

Melampirkan kebijakan duplikasi paket

• Sebaiknya lampirkan lebih dari satu kebijakan duplikasi paket ke endpoint IDS jika Anda ingin menduplikasi traffic dari beberapa jenis sumber, termasuk subnet, instance, atau tag jaringan. Anda hanya dapat mencerminkan traffic dari subnet yang ada di region yang sama dengan endpoint IDS.
• Pilih hanya subnet yang trafficnya ingin Anda mirror ke Cloud IDS.

Pengoptimalan biaya

Cloud IDS menggunakan biaya tetap untuk setiap endpoint IDS dan biaya variabel berdasarkan volume traffic yang diperiksa. Tanpa perencanaan yang cermat, semua traffic jaringan dalam Virtual Private Cloud (VPC) dapat diduplikasi dan diperiksa, sehingga menyebabkan tagihan yang sangat tinggi. Untuk mengontrol pengeluaran, sebaiknya Anda melakukan hal berikut:

• Pahami persyaratan keamanan dan kepatuhan tertentu untuk secara bijaksana memilih VPC, region, subnet, dan yang paling penting, aliran traffic mana yang benar-benar perlu diperiksa.
• Mulailah dengan inspeksi minimal terhadap aset penting dan perluas secara bertahap.
• Gunakan filter duplikasi paket untuk mengontrol secara tepat jumlah traffic yang diproses, sehingga mengurangi biaya variabel secara signifikan.

Contoh berikut menyesuaikan kebijakan duplikasi paket Cloud IDS untuk pengoptimalan biaya:

Misalkan Anda perlu memeriksa traffic di VPC-x, subnet-x, dan hanya traffic ke atau dari internet yang perlu diperiksa. Anda membuat keputusan ini berdasarkan persyaratan keamanan dan kepatuhan Anda. Selain itu, misalkan hanya instance virtual machine (VM) yang terhubung ke internet di subnet-x yang perlu diperiksa.

1. Beri tag pada VM yang terhubung ke internet dengan tag-x.
2. Gunakan rentang alamat IP Classless Inter-Domain Routing (CIDR) dalam kebijakan duplikasi paket untuk memeriksa semua traffic antara VM yang diberi tag tag-x dan internet. Karena negasi tidak didukung dengan duplikasi paket, Anda harus menyusunnya dengan cara yang berbeda. Misalkan VPC ini menggunakan CIDR 10.0.0.0/8; jika ya, Anda perlu membuat CIDR untuk semuanya kecuali 10.0.0.0/8, yaitu sebagai berikut:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Untuk membuat kebijakan duplikasi paket, jalankan perintah berikut:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Ganti kode berikut:

• NAME: nama duplikasi paket yang akan dibuat
• REGIONS: region duplikasi paket

Langkah berikutnya

• Untuk meninjau informasi konseptual, lihat Ringkasan Cloud IDS.
• Untuk menyiapkan Cloud IDS, lihat Mengonfigurasi Cloud IDS.