Cloud IDS 的最佳做法

本頁提供設定 Cloud IDS 的最佳做法。

Cloud IDS 是入侵偵測服務,可針對您網路上的入侵、惡意軟體、間諜軟體、指令與控制攻擊等,提供威脅偵測服務。Cloud IDS 會使用稱為「IDS 端點」的資源,這是一種區域資源,可檢查所在區域中任何可用區的流量。每個 IDS 端點都會收到鏡像流量,並執行威脅偵測分析。

部署 IDS 端點

  • 使用 Cloud IDS 在要監控的每個區域中建立 IDS 端點。每個區域可以建立多個 IDS 端點。
  • Cloud IDS 最多需要 20 分鐘才能建立及設定防火牆。
  • 建立 IDS 端點時,您必須選擇快訊嚴重性等級。如要盡量提高曝光度,建議使用 informational 層級。
  • 如果您使用 Google Cloud 控制台的「封包鏡像」頁面建立封包鏡像政策,請務必啟用「允許輸入和輸出流量」

    前往封包鏡像

  • 如果您使用「Cloud IDS」頁面設定 IDS 端點,則不需要啟用「允許輸入和輸出流量」,因為系統會自動啟用這項設定。

    前往 Cloud IDS 資訊主頁

您可以在要監控的每個區域中,使用 Cloud IDS 建立 IDS 端點。每個區域可以建立多個 IDS 端點。 每個 IDS 端點的檢查容量上限為 5 Gbps。每個 IDS 端點最多可處理 17 Gbps 的異常流量尖峰,但我們建議您為網路的每 5 Gbps 處理量設定一個 IDS 端點。

附加封包鏡像政策

  • 如要鏡像處理來自多種來源的流量 (包括子網路、執行個體或網路標記),建議您將多個封包鏡像處理原則附加至 IDS 端點。您只能從與 IDS 端點位於相同區域的子網路鏡像處理流量。
  • 只選擇要將流量鏡像到 Cloud IDS 的子網路。

成本最佳化

Cloud IDS 會為每個 IDS 端點採用固定費用,並根據檢查的流量大小收取變動費用。如果沒有仔細規劃,虛擬私有雲 (VPC) 內的所有網路流量都會遭到鏡像處理和檢查,導致費用超出預期。為控管支出,建議您採取下列做法:

  • 瞭解具體安全性和法規遵循需求,謹慎選取虛擬私有雲、區域、子網路,以及最重要的,哪些流量確實需要檢查。
  • 先從檢查重要資產開始,再逐步擴大範圍。
  • 使用封包鏡像篩選器精確控管處理的流量,大幅降低變動費用。

以下範例會調整 Cloud IDS 封包鏡像政策,以最佳化成本:

假設您需要檢查 VPC-x 和 subnet-x 中的流量,且只需要檢查往返網際網路的流量。您可以根據安全性和法規遵循需求做出這項決定。此外,假設只有子網路 x 中面向網際網路的虛擬機器 (VM) 執行個體需要檢查。

  1. 使用 tag-x 為面向網際網路的 VM 加上標記。
  2. 在封包鏡像原則中使用無類別跨網域路由 (CIDR) IP 位址範圍,檢查標記為 tag-x 的 VM 與網際網路之間的所有流量。由於封包鏡像功能不支援否定,因此您需要以其他方式建構否定條件。假設這個虛擬私有雲使用 10.0.0.0/8 CIDR,那麼您需要為 10.0.0.0/8 以外的所有項目建構 CIDR,如下所示:
    • 128.0.0.0/1
    • 64.0.0.0/2
    • 32.0.0.0/3
    • 16.0.0.0/4
    • 0.0.0.0/5
    • 12.0.0.0/6
    • 8.0.0.0/7
    • 11.0.0.0/8

如要建立封包鏡像政策,請執行下列指令: 

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION

更改下列內容:

  • NAME:要建立的封包鏡像名稱
  • REGIONS:封包鏡像的區域

後續步驟