Mengonfigurasi Cloud IDS

Gunakan petunjuk ini untuk mengonfigurasi Cloud IDS untuk aplikasi Anda. Untuk informasi konseptual tentang Cloud IDS, lihat Ringkasan Cloud IDS.

Sebelum memulai

Sebelum mengonfigurasi Cloud IDS, Anda harus menyelesaikan persyaratan berikut.

Menyiapkan izin IAM untuk Cloud IDS

Cloud IDS memiliki beberapa peran Identity and Access Management (IAM). Anda dapat menggunakan contoh perintah untuk memberikan izin IAM yang diperlukan kepada akun utama.

  • Peran Admin Cloud IDS (roles/ids.admin). Akun utama project dengan peran ini dapat membuat endpoint IDS. Jika Anda adalah pemilik project, Anda sudah memiliki izin ini dan tidak memerlukan peran ids.admin eksplisit untuk membuat endpoint IDS.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=roles/ids.admin \
    --member=user:USER_NAME ;

    Peran ini memungkinkan operasi berikut:

    • Buat endpoint
    • Hapus endpoint
    • Mendapatkan endpoint
    • Endpoint daftar

  • Peran Cloud IDS Viewer (roles/ids.viewer). Pelihat project dan principal dengan peran ini memiliki akses hanya baca ke endpoint IDS. Jika Anda adalah pemilik, editor, atau pelihat project, Anda sudah memiliki izin ini.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=roles/ids.viewer \
    --member=user:USER_NAME ;

  • Peran pengguna Compute packet mirroring (roles/compute.packetMirroringUser). Peran yang diperlukan untuk melampirkan kebijakan duplikasi paket ke endpoint IDS. Jika memiliki peran compute.securityAdmin atau container.serviceAgent, Anda sudah memiliki izin ini. Untuk mengetahui informasi selengkapnya tentang peran ini, lihat Referensi peran dasar dan bawaan IAM.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=roles/compute.packetMirroringUser \
    --member=user:USER_NAME ;

  • Peran Logs Viewer (roles/logging.viewer). Peran tambahan diperlukan untuk melihat ancaman terbaru, yang merupakan fitur inti penting Cloud IDS. Untuk mengetahui informasi selengkapnya tentang peran ini, lihat Panduan kontrol akses.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --role=roles/logging.viewer \
    --member=user:USER_NAME ;

Selain itu, Anda memerlukan izin lain-lain berikut:

  • compute.regions.list
  • compute.zones.list

Menyiapkan akses layanan pribadi

Untuk membuat endpoint IDS, Anda harus mengaktifkan Service Networking API, dan menyiapkan peering jaringan untuk jaringan Virtual Private Cloud (VPC). Tindakan ini hanya perlu dilakukan satu kali per project pelanggan dan dapat dilakukan menggunakanGoogle Cloud konsol atau Google Cloud CLI. Saat Anda mengalokasikan rentang alamat IP, rentang alamat IP tersebut harus berupa rentang alamat IP pribadi yang kompatibel dengan RFC 1918 (10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16), atau pembuatan endpoint akan gagal.

Gunakan langkah-langkah berikut untuk menyiapkan akses layanan pribadi:

  1. Aktifkan Service Networking API menggunakan perintah berikut. Ganti PROJECT_ID dengan project ID Anda.

     gcloud services enable servicenetworking.googleapis.com \
     --project=PROJECT_ID

  2. Jika belum mengalokasikan rentang alamat IP di jaringan, Anda harus mengalokasikan rentang IP untuk layanan Google di jaringan VPC. Dalam perintah berikut, Anda dapat menghilangkan kolom addresses dan Google Cloud akan memilih rentang alamat IP yang tidak digunakan di jaringan VPC Anda:

     gcloud compute addresses create RESERVED_RANGE_NAME \
     --global \
     --purpose=VPC_PEERING \
     --addresses=192.168.0.0 \
     --prefix-length=16 \
     --description="DESCRIPTION" \
     --network=VPC_NETWORK

    Ganti kode berikut:

    • RESERVED_RANGE_NAME: nama untuk rentang yang dialokasikan, seperti my-allocated-range

    • DESCRIPTION: deskripsi untuk rentang, seperti allocated for my-service

    • VPC_NETWORK: nama jaringan VPC Anda, seperti my-vpc-network

  3. Buat koneksi pribadi ke produsen layanan. Koneksi pribadi membuat koneksi Peering Jaringan VPC antara jaringan VPC Anda dan jaringan produsen layanan.

    Jika Anda sudah memiliki koneksi pribadi, gunakan perintah gcloud services vpc-peerings update untuk memperbaruinya:

      gcloud services vpc-peerings update \
      --service=servicenetworking.googleapis.com \
      --ranges=RESERVED_RANGE_NAME \
      --network=VPC_NETWORK \
      --project=PROJECT_ID

    Jika Anda belum memiliki koneksi pribadi, gunakan perintah gcloud services vpc-peerings connect. Perintah ini memulai operasi yang berjalan lama yang menampilkan nama operasi.

      gcloud services vpc-peerings connect \
      --service=servicenetworking.googleapis.com \
      --ranges=RESERVED_RANGE_NAME \
      --network=VPC_NETWORK \
      --project=PROJECT_ID

    Ganti kode berikut:

    • RESERVED_RANGE_NAME: nama satu atau beberapa rentang yang dialokasikan

    • VPC_NETWORK: nama jaringan VPC Anda

    • PROJECT_ID: ID project yang berisi jaringan VPC Anda

    Untuk memeriksa apakah operasi berhasil, gunakan perintah gcloud services vpc-peerings operations describe:

      gcloud services vpc-peerings operations describe \
      --name=OPERATION_NAME

    Ganti OPERATION_NAME dengan nama operasi yang ditampilkan dari langkah sebelumnya.

Ulangi langkah 2 dan 3 untuk setiap jaringan VPC yang ingin Anda pantau.

Opsional: Aktifkan Kontrol Layanan VPC

Setelah akses layanan pribadi diaktifkan, Anda dapat secara opsional mengaktifkan Kontrol Layanan VPC di Cloud IDS. Jika diaktifkan, jalankan perintah services vpc-peerings enable-vpc-service-controls untuk mengaktifkan Kontrol Layanan VPC untuk semua koneksi peering Anda:

gcloud services vpc-peerings enable-vpc-service-controls \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

Ganti kode berikut:

  • VPC_NETWORK: nama jaringan VPC Anda

  • PROJECT_ID: ID project yang berisi jaringan VPC Anda

Memahami praktik terbaik

Sebaiknya Anda memahami praktik terbaik sebelum mengonfigurasi Cloud IDS. Untuk mengetahui informasi selengkapnya, lihat Praktik terbaik untuk Cloud IDS.

Mengonfigurasi endpoint Cloud IDS

Bagian berikut menjelaskan cara membuat endpoint Cloud IDS, melampirkannya ke kebijakan Packet Mirroring, melihat endpoint Cloud IDS, menghapus endpoint Cloud IDS, dan cara mengonfigurasi pengecualian ancaman.

Membuat endpoint Cloud IDS

Sebaiknya buat endpoint IDS untuk setiap region tempat Anda telah men-deploy workload. Anda juga dapat membuat beberapa endpoint IDS per region. Gunakan langkah-langkah berikut untuk membuat endpoint IDS dan menetapkan profil layanan IDS ke endpoint tersebut.

Konsol

  1. Di konsol Google Cloud , buka IDS Endpoints.

    Buka Endpoint IDS

Konfigurasi endpoint:

  1. Klik Buat endpoint.
  2. Masukkan nama di kolom Endpoint name.
  3. Opsional: Masukkan deskripsi di kolom Deskripsi.
  4. Klik menu drop-down Network, lalu pilih jaringan yang ingin diperiksa oleh Cloud IDS.
  5. Pilih region dan zona jaringan atau subnet Anda dari menu drop-down Region dan Zone.
  6. Klik Lanjutkan.

Pilih profil layanan Cloud IDS:

  1. Klik Pilih profil layanan IDS.
  2. Di bagian Tingkat keseriusan ancaman minimum, pilih tingkat pemberitahuan yang benar.
  3. Klik Buat. Proses pembuatan dapat memakan waktu 10-15 menit.

gcloud

Flag opsional

Perintah di bagian ini mungkin memiliki beberapa atau semua tanda opsional berikut:

--no-async
Tunggu hingga operasi yang sedang berlangsung selesai, bukan langsung ditampilkan.
--filter=EXPRESSION
Terapkan EKSPRESI filter Boolean ke setiap item resource yang akan dicantumkan. Jika ekspresi bernilai True, item tersebut akan dicantumkan. Untuk mengetahui detail dan contoh ekspresi filter selengkapnya, jalankan $ gcloud topic filters. Flag ini berinteraksi dengan flag lain yang diterapkan dalam urutan ini: --flatten, --sort-by, --filter, --limit.
--limit=LIMIT
Jumlah maksimum resource yang akan dicantumkan. Defaultnya tidak terbatas. Flag ini berinteraksi dengan flag lain yang diterapkan dalam urutan ini: --flatten, --sort-by, --filter, --limit.
--page-size=PAGE_SIZE
Mengelompokkan output daftar resource Cloud IDS ke dalam halaman. Flag ini menentukan jumlah maksimum resource per halaman. Nilai default ditentukan oleh layanan jika mendukung penomoran halaman; jika tidak, nilai defaultnya tidak terbatas (tanpa penomoran halaman). Penomoran halaman dapat diterapkan sebelum atau setelah tanda --filter dan --limit, bergantung pada layanan.
--sort-by=[FIELD,…]
Daftar nama kunci kolom resource yang dipisahkan koma untuk diurutkan. Urutan defaultnya adalah menaik. Awali kolom dengan tanda gelombang (~) untuk urutan menurun pada kolom tersebut. Flag ini berinteraksi dengan flag lain yang diterapkan dalam urutan ini: --flatten, --sort-by, --filter, --limit.
--uri
Mencetak daftar URI resource, bukan output default.
--threat-exceptions
Daftar ID ancaman yang dipisahkan koma untuk dikecualikan dari pemberitahuan di endpoint ini. Dibatasi hingga 99 pengecualian per endpoint.

Petunjuk

Untuk membuat endpoint IDS baru, lakukan langkah-langkah berikut:

  1. Gunakan perintah gcloud ids endpoints create. Ganti ENDPOINT_NAME, VPC_NETWORK, ZONE, dan SEVERITY dengan informasi yang cocok dengan aplikasi Anda.

    gcloud ids endpoints create ENDPOINT_NAME \
    --network=VPC_NETWORK \
    --zone=ZONE \
    --severity=SEVERITY \
    [--no-async] \
    [GCLOUD_WIDE_FLAG...]

  2. Flag tingkat keparahan wajib diisi, dan menggunakan salah satu nilai berikut:

    • INFORMASIONAL
    • RENDAH
    • SEDANG
    • TINGGI
    • KRITIS

API

Resource endpoint Cloud IDS memiliki kolom berikut:

Kolom Jenis Deskripsi kolom
createTime string [Khusus Output] Stempel waktu pembuatan dalam format teks RFC 3339.
updateTime string [Khusus Output] Stempel waktu pembaruan terakhir dalam format teks RFC 3339.
nama string [Khusus Output] Nama endpoint dalam format projects/{project_id}/locations/{locationId}/endpoints/{endpointId}.
jaringan string Nama jaringan VPC yang terhubung ke endpoint IDS. Kolom ini dapat berisi nama jaringan VPC itu sendiri (seperti "src-net") atau URL lengkap ke jaringan (seperti "projects/{project_id}/global/networks/src-net"). Kolom ini wajib diisi saat membuat endpoint.
tingkat keseriusan, string

Tingkat keparahan minimum peringatan yang dilaporkan oleh endpoint. Kemungkinan nilainya adalah sebagai berikut:

  • INFORMASIONAL
  • RENDAH
  • SEDANG
  • TINGGI
  • KRITIS

Kolom ini wajib diisi saat membuat endpoint.
deskripsi string Deskripsi opsional untuk endpoint.
endpoint_forwarding_rule string [Khusus Output] URL alamat jaringan endpoint yang menjadi tujuan pengiriman traffic oleh Duplikasi Paket.
endpoint string [Khusus Output] Alamat IP internal titik entri jaringan endpoint.

Untuk membuat endpoint Cloud IDS, gunakan permintaan POST HTTP seperti berikut, dengan mengganti variabel yang sesuai. ENDPOINT_NAME harus terdiri dari 1-63 karakter; hanya boleh berisi huruf kecil, angka, dan tanda hubung; harus dimulai dengan huruf kecil; dan tidak boleh diakhiri dengan tanda hubung.

POST https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints?endpointId=ENDPOINT_NAME
{
    "network": "NETWORK_NAME",
    "severity": "SEVERITY_LEVEL",
}

Melampirkan kebijakan Duplikasi Paket ke endpoint Cloud IDS

Gunakan langkah-langkah berikut untuk melampirkan kebijakan Packet Mirroring ke endpoint IDS.

Konsol

Setelah endpoint IDS dibuat, lampirkan kebijakan Packet Mirroring ke endpoint IDS:

  1. Di konsol Google Cloud , buka IDS Endpoints.

    Buka Endpoint IDS

  2. Di samping endpoint IDS, klik Lampirkan.

  3. Di kolom Nama kebijakan, masukkan nama untuk kebijakan Packet Mirroring.

  4. Klik Berikutnya.

  5. Pilih subnet atau instance yang akan diduplikasikan. Anda dapat memilih beberapa subnet dan instance.

  6. Klik Berikutnya.

  7. Tentukan apakah Anda ingin menduplikasikan semua traffic atau memfilter traffic:

    1. Jika Anda ingin menduplikasikan semua traffic, pastikan Mirror All Traffic dipilih.
    2. Jika Anda ingin memfilter traffic berdasarkan protokol, rentang alamat IP, atau traffic masuk atau keluar, pilih Mirror filtered traffic:
      1. Pilih Izinkan semua protokol atau Izinkan protokol tertentu.
      2. Pilih Izinkan semua rentang IP atau Izinkan rentang IP tertentu.

  8. Klik Kirim. Endpoint telah dibuat.

gcloud

  1. Setelah endpoint dibuat, lampirkan kebijakan Duplikasi Paket ke endpoint tersebut. Pertama, dapatkan URL dari kolom endpoint_forwarding_rule menggunakan perintah berikut:

    gcloud ids endpoints describe ENDPOINT_NAME

  2. Buat kebijakan Duplikasi Paket menggunakan perintah berikut:

     gcloud compute packet-mirrorings create POLICY_NAME \
     --region=REGION \
     --collector-ilb=ENDPOINT_FORWARDING_RULE \
     --network=VPC_NETWORK \
     --mirrored-subnets=SUBNET

  3. Duplikasi Paket memiliki beberapa tanda opsional, termasuk tanda yang dapat Anda gunakan untuk memfilter traffic berdasarkan protokol, rentang alamat IP, atau traffic masuk atau keluar. Untuk mengetahui informasi selengkapnya tentang flag opsional ini, lihat referensi Packet Mirroring.

Menjelaskan endpoint Cloud IDS

Gunakan langkah-langkah berikut untuk menjelaskan endpoint IDS.

Konsol

  1. Di konsol Google Cloud , buka IDS Endpoints.

    Buka Endpoint IDS

  2. Di halaman Endpoint IDS, klik nama endpoint IDS. Halaman Endpoint details akan ditampilkan.

gcloud

Untuk mendeskripsikan endpoint IDS, gunakan perintah gcloud ids endpoints describe. Ganti ENDPOINT_NAME, PROJECT_ID, dan ZONE dengan informasi yang cocok dengan aplikasi Anda:

gcloud ids endpoints describe ENDPOINT_NAME \
    [--project=PROJECT_ID] \
    [--zone=ZONE] \
    [GCLOUD_WIDE_FLAG...]

API

Untuk mendapatkan endpoint Cloud IDS, gunakan permintaan HTTP GET seperti berikut, dengan mengganti variabel yang sesuai:

GET https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints?endpointId=ENDPOINT_NAME

Mencantumkan endpoint Cloud IDS

Gunakan langkah-langkah berikut untuk mencantumkan semua endpoint IDS.

Konsol

  1. Di konsol Google Cloud , buka IDS Endpoints.

    Buka Endpoint IDS

gcloud

Untuk mencantumkan endpoint IDS, gunakan perintah gcloud ids endpoints list:

gcloud ids endpoints list \
    [--filter=EXPRESSION] \
    [--limit=LIMIT] \
    [--page-size=PAGE_SIZE] \
    [--sort-by=[FIELD,...]] \
    [--uri] \
    [GCLOUD_WIDE_FLAG...]

Ganti kode berikut:

  • EXPRESSION: menerapkan filter Boolean ke setiap item resource yang akan dicantumkan. Jika ekspresi bernilai True, item tersebut akan dicantumkan.
  • LIMIT: jumlah maksimum resource yang akan dicantumkan.
  • PAGE_SIZE: jumlah maksimum resource per halaman.
  • FIELD: daftar nama kunci kolom resource yang dipisahkan koma untuk diurutkan.

API

Untuk mencantumkan semua endpoint Cloud IDS dalam zona, gunakan permintaan HTTP GET seperti berikut, dengan mengganti variabel yang sesuai:

GET https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints

Atau, untuk mencantumkan semua endpoint Cloud IDS di semua zona, Anda dapat mengganti ZONE dengan tanda hubung seperti berikut:

GET https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/-/endpoints

Menghapus endpoint Cloud IDS

Gunakan langkah-langkah berikut untuk menghapus endpoint IDS.

Konsol

  1. Di konsol Google Cloud , buka IDS Endpoints.

    Buka Endpoint IDS

  2. Di halaman Endpoint IDS, klik nama endpoint IDS. Halaman Endpoint details akan ditampilkan.

  3. Klik Hapus Endpoint.

gcloud

Untuk menghapus endpoint IDS, gunakan perintah gcloud ids endpoints delete. Ganti ENDPOINT_NAME, PROJECT_ID, dan ZONE dengan informasi yang cocok dengan aplikasi Anda:

gcloud ids endpoints delete ENDPOINT_NAME \
    [--project=PROJECT_ID] \
    [--zone=ZONE] \
    [--no-async] \
    [GCLOUD_WIDE_FLAG...]

API

Untuk menghapus endpoint Cloud IDS, gunakan permintaan HTTP DELETE seperti berikut, dengan mengganti variabel yang sesuai:

DELETE https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints?endpointId=ENDPOINT_NAME

Opsional: Mengonfigurasi pengecualian ancaman

Anda dapat menonaktifkan ID ancaman yang berisik atau tidak perlu dengan menggunakan flag --threat-exceptions saat membuat atau memperbarui endpoint Cloud IDS. Contoh berikut mengupdate endpoint Cloud IDS ENDPOINT_NAME yang ada untuk mengecualikan ID ancaman THREAT_ID1 dan THREAT_ID2:

gcloud ids endpoints update ENDPOINT_NAME \
    --threat-exceptions=THREAT_ID1,THREAT_ID2

Melihat log ancaman

Gunakan langkah-langkah berikut untuk memeriksa apakah ada log ancaman yang telah dibuat.

  1. Di konsol Google Cloud , buka IDS Threats.

    Buka Ancaman IDS

  2. Klik nama ancaman untuk melihat halaman Detail ancaman untuk ancaman tersebut.

  3. Kembali ke tab Ancaman.

  4. Klik Menu di sebelah kanan endpoint IDS Anda, lalu pilih Lihat log ancaman.

Langkah berikutnya