Práticas recomendadas para o Cloud IDS

Esta página fornece práticas recomendadas para configurar o Cloud IDS.

O Cloud IDS é um serviço de deteção de intrusões que oferece deteção de ameaças para intrusões, software malicioso, spyware e ataques de comando e controlo na sua rede. O Cloud IDS usa um recurso conhecido como um ponto final de IDS, um recurso zonal que pode inspecionar o tráfego de qualquer zona na respetiva região. Cada ponto final do IDS recebe tráfego espelhado e realiza uma análise de deteção de ameaças.

Implemente pontos finais de IDS

• Crie um ponto final de IDS em cada região que quer monitorizar através do Cloud IDS. Pode criar vários pontos finais do IDS para cada região.
• Aguarde até 20 minutos para que o Cloud IDS crie e configure firewalls.
• Durante a criação do ponto final do IDS, tem de escolher um nível de gravidade do alerta. Para uma visibilidade máxima, recomendamos o nível informational.
• Se usar a página Espelhamento de pacotes na Google Cloud consola para criar uma política de espelhamento de pacotes, certifique-se de que ativa a opção Permitir tráfego de entrada e saída.

  Aceda à opção Refletir pacotes

• Se usar a página Cloud IDS para configurar um ponto final de IDS, não precisa de ativar a opção Permitir tráfego de entrada e saída porque é ativada automaticamente.

  Aceda ao painel de controlo do Cloud IDS

Pode usar o Cloud IDS para criar um ponto final de IDS em cada região que quer monitorizar. Pode criar vários pontos finais do IDS para cada região. Cada ponto final do IDS tem uma capacidade de inspeção máxima de 5 Gbps. Embora cada ponto final do IDS possa processar picos de tráfego anómalos de até 17 Gbps, recomendamos que configure um ponto final do IDS para cada 5 Gbps de débito que a sua rede regista.

Anexe políticas de espelhamento de pacotes

• Recomendamos que anexe mais do que uma política de replicação de pacotes a um ponto final do IDS quando quiser replicar tráfego de vários tipos de origens, incluindo sub-redes, instâncias ou etiquetas de rede. Só pode espelhar tráfego de sub-redes que existam na mesma região que o ponto final do IDS.
• Escolha apenas as sub-redes cujo tráfego quer duplicar para o Cloud IDS.

Otimização de custos

O Cloud IDS usa um custo fixo para cada ponto final do IDS e um custo variável com base no volume de tráfego inspecionado. Sem um planeamento cuidadoso, todo o tráfego de rede numa nuvem privada virtual (VPC) pode ser duplicado e inspecionado, o que leva a faturas inesperadamente elevadas. Para controlar as despesas, recomendamos que faça o seguinte:

• Compreenda os requisitos específicos de segurança e conformidade para selecionar criteriosamente as VPCs, as regiões, as sub-redes e, mais criticamente, os fluxos de tráfego que realmente precisam de inspeção.
• Comece com uma inspeção mínima dos recursos críticos e expanda-a gradualmente.
• Use filtros de espelhamento de pacotes para controlar com precisão a quantidade de tráfego processado, reduzindo assim significativamente o custo variável.

O exemplo seguinte otimiza a política de espelhamento de pacotes do Cloud IDS para otimização de custos:

Suponhamos que precisa de inspecionar o tráfego na VPC-x, na sub-rede-x e apenas o tráfego para ou a partir da Internet precisa de ser inspecionado. Toma esta decisão com base nos seus requisitos de segurança e conformidade. Suponha também que apenas as instâncias de máquinas virtuais (VMs) viradas para a Internet na sub-rede x precisam de ser inspecionadas.

1. Etiquete as VMs viradas para a Internet com tag-x.
2. Use os intervalos de endereços IP de Classless Inter-Domain Routing (CIDR) na política de replicação de pacotes para inspecionar todo o tráfego entre as VMs etiquetadas com tag-x e a Internet. Como a negação não é suportada com a replicação de pacotes, tem de a construir de forma diferente. Suponhamos que este VPC usa o CIDR 10.0.0.0/8. Se for o caso, tem de construir um CIDR para tudo, exceto 10.0.0.0/8, que é o seguinte:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Para criar a política de espelhamento de pacotes, execute o seguinte comando:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Substitua o seguinte:

• NAME: o nome da replicação de pacotes a criar
• REGIONS: a região do espelhamento de pacotes

O que se segue?

• Para rever informações conceptuais, consulte a vista geral do Cloud IDS.
• Para configurar o Cloud IDS, consulte o artigo Configure o Cloud IDS.