Best practice per Cloud IDS

Questa pagina fornisce le best practice per la configurazione di Cloud IDS.

Cloud IDS è un servizio di rilevamento delle intrusioni che offre il rilevamento delle minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Cloud IDS utilizza una risorsa nota come endpoint IDS, una risorsa di zona che può ispezionare il traffico da qualsiasi zona della sua regione. Ogni endpoint IDS riceve il traffico sottoposto a mirroring ed esegue l'analisi di rilevamento delle minacce.

Deployment degli endpoint IDS

• Crea un endpoint IDS in ogni regione che vuoi monitorare utilizzando Cloud IDS. Puoi creare più endpoint IDS per ogni regione.
• Attendi fino a 20 minuti per consentire a Cloud IDS di creare e configurare i firewall.
• Durante la creazione dell'endpoint IDS, devi scegliere un livello di gravità dell'avviso. Per massima visibilità, ti consigliamo il livello informational.
• Se utilizzi la pagina Mirroring pacchetto nella console Google Cloud per creare una policy di mirroring pacchetto, assicurati di attivare Consenti il traffico in entrata e in uscita.

  Vai a Mirroring pacchetto

• Se utilizzi la pagina Cloud IDS per configurare un endpoint IDS, non è necessario attivare l'opzione Consenti traffico in entrata e in uscita perché viene attivata automaticamente.

  Vai alla dashboard di Cloud IDS

Puoi utilizzare Cloud IDS per creare un endpoint IDS in ogni regione che vuoi monitorare. Puoi creare più endpoint IDS per ogni regione. Ogni endpoint IDS ha una capacità di ispezione massima di 5 Gbps. Sebbene ogni endpoint IDS possa gestire picchi di traffico anomali fino a 17 Gbps, ti consigliamo di configurare un endpoint IDS per ogni 5 Gbps di throughput che la tua rete registra.

Collega policy di mirroring pacchetto

• Ti consigliamo di collegare più di una policy di mirroring dei pacchetti a un endpoint IDS quando vuoi eseguire il mirroring del traffico da più tipi di origini, tra cui subnet, istanze o tag di rete. Puoi eseguire il mirroring del traffico solo dalle subnet che si trovano nella stessa regione dell'endpoint IDS.
• Scegli solo le subnet di cui vuoi eseguire il mirroring del traffico in Cloud IDS.

Ottimizzazione dei costi

Cloud IDS utilizza un costo fisso per ogni endpoint IDS e un costo variabile in base al volume di traffico ispezionato. Senza un'attenta pianificazione, tutto il traffico di rete all'interno di un Virtual Private Cloud (VPC) può essere sottoposto a mirroring e ispezione, con conseguenti fatture inaspettatamente elevate. Per controllare le spese, ti consigliamo di procedere come segue:

• Comprendi i requisiti specifici di sicurezza e conformità per selezionare con giudizio quali VPC, regioni, subnet e, soprattutto, quali flussi di traffico richiedono davvero l'ispezione.
• Inizia con un'ispezione minima degli asset critici ed espandila gradualmente.
• Utilizza i filtri di mirroring dei pacchetti per controllare con precisione la quantità di traffico elaborato, riducendo così in modo significativo il costo variabile.

L'esempio seguente ottimizza la policy di mirroring dei pacchetti Cloud IDS per l'ottimizzazione dei costi:

Supponiamo che tu debba ispezionare il traffico in VPC-x, subnet-x e solo il traffico da o verso internet. Prendi questa decisione in base ai tuoi requisiti di sicurezza e conformità. Supponiamo inoltre che debbano essere ispezionate solo le istanze di macchine virtuali (VM) con accesso a internet nella subnet x.

1. Tagga le VM con accesso a internet con tag-x.
2. Utilizza gli intervalli di indirizzi IP Classless Inter-Domain Routing (CIDR) nella policy di mirroring dei pacchetti per ispezionare tutto il traffico tra le VM taggate con tag-x e internet. Poiché la negazione non è supportata con il mirroring dei pacchetti, devi costruirla in modo diverso. Supponiamo che questo VPC utilizzi il CIDR 10.0.0.0/8; in questo caso, devi creare un CIDR per tutto tranne 10.0.0.0/8, ovvero:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Per creare il criterio di mirroring pacchetto, esegui questo comando:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Sostituisci quanto segue:

• NAME: il nome del mirroring pacchetto da creare
• REGIONS: la regione del mirroring pacchetto

Passaggi successivi

• Per esaminare le informazioni concettuali, consulta la panoramica di Cloud IDS.
• Per configurare Cloud IDS, consulta Configurare Cloud IDS.