Best practice per Cloud IDS

Questa pagina fornisce le best practice per la configurazione di Cloud IDS.

Cloud IDS è un servizio di rilevamento delle intrusioni che offre il rilevamento delle minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Cloud IDS utilizza una risorsa di zona nota come endpoint IDS, che può ispezionare il traffico da qualsiasi zona della sua regione. Ogni endpoint IDS riceve il traffico sottoposto a mirroring ed esegue l'analisi per il rilevamento delle minacce.

Esegui il deployment degli endpoint IDS

• Crea un endpoint IDS in ogni regione che vuoi monitorare utilizzando Cloud IDS. Puoi creare più endpoint IDS per ogni regione.
• Attendi fino a 20 minuti per consentire a Cloud IDS di creare e configurare i firewall.
• Durante la creazione dell'endpoint IDS, devi scegliere un livello di gravità dell'avviso. Per avere la massima visibilità, ti consigliamo il livello informational.
• Se utilizzi la pagina Mirroring pacchetto nella console Google Cloud per creare una policy di Mirroring pacchetto, assicurati di abilitare Consenti il traffico in entrata e in uscita.

  Vai a Mirroring pacchetto

• Se utilizzi la pagina Cloud IDS per configurare un endpoint IDS, non è necessario abilitare l'opzione Consenti traffico in entrata e in uscita perché viene abilitata automaticamente.

  Vai alla dashboard di Cloud IDS

Puoi utilizzare Cloud IDS in modo da creare un endpoint IDS in ogni regione che vuoi monitorare. Puoi creare più endpoint IDS per ogni regione. Ogni endpoint IDS ha una capacità di ispezione massima di 5 Gbps. Sebbene ogni endpoint IDS possa gestire picchi di traffico anomali fino a 17 Gbps, ti consigliamo di configurare un endpoint IDS per ogni 5 Gbps di throughput registrati nella tua rete.

Collega le policy di Mirroring pacchetto

• Ti consigliamo di collegare più di una policy di Mirroring pacchetto a un endpoint IDS quando vuoi eseguire il mirroring del traffico da più tipi di origini, tra cui subnet, istanze o tag di rete. Puoi eseguire il mirroring del traffico solo dalle subnet che si trovano nella stessa regione dell'endpoint IDS.
• Scegli solo le subnet di cui vuoi eseguire il mirroring del traffico in Cloud IDS.

Ottimizzazione dei costi

Cloud IDS prevede un costo fisso per ogni endpoint IDS e un costo variabile in base al volume di traffico ispezionato. Senza un'attenta pianificazione, tutto il traffico di rete all'interno di un virtual private cloud (VPC) può essere sottoposto a mirroring e ispezione. Di conseguenza, le fatture potrebbero essere inaspettatamente elevate. Per controllare le spese, ti consigliamo di procedere come segue:

• Cerca di conoscere bene i requisiti specifici di sicurezza e conformità per selezionare con giudizio quali VPC, regioni, subnet e, soprattutto, quali flussi di traffico richiedono davvero l'ispezione.
• Inizia con un'ispezione minima degli asset critici ed espandila gradualmente.
• Utilizza i filtri di Mirroring pacchetto per controllare con precisione la quantità di traffico elaborato, così da ridurre in modo significativo i costi variabili.

L'esempio seguente perfeziona la policy di Mirroring pacchetto di Cloud IDS al fine di ottimizzare i costi:

Supponiamo che tu debba ispezionare il traffico nel VPC-x e nella subnet-x e solo il traffico da o verso internet. Hai preso questa decisione sulla base dei tuoi requisiti di sicurezza e conformità. Supponiamo inoltre che debbano essere ispezionate solo le istanze di macchine virtuali (VM) con accesso a internet nella subnet-x.

1. Tagga le VM per internet con tag-x.
2. Utilizza gli intervalli di indirizzi IP Classless Inter-Domain Routing (CIDR) nella policy di Mirroring pacchetto per ispezionare tutto il traffico tra le VM taggate con tag-x e internet. Poiché la negazione non è supportata con Mirroring pacchetto, devi crearla in modo diverso. Supponiamo che questo VPC utilizzi il CIDR 10.0.0.0/8; in questo caso, devi creare un CIDR per tutto tranne 10.0.0.0/8, ovvero:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Per creare la policy di Mirroring pacchetto, esegui questo comando:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Sostituisci quanto segue:

• NAME: il nome del Mirroring pacchetto da creare
• REGIONS: la regione del Mirroring pacchetto

Passaggi successivi

• Per esaminare alcune informazioni concettuali, consulta la panoramica di Cloud IDS.
• Per configurare Cloud IDS, consulta Configura Cloud IDS.