本頁提供設定 Cloud IDS 的最佳做法。
Cloud IDS 是入侵偵測服務,能偵測網路上的入侵活動、惡意軟體、間諜軟體、命令與控制攻擊等威脅。Cloud IDS 運用了名為「IDS 端點」的可用區資源,能檢查所在區域中任何可用區的流量。每個 IDS 端點都會接收鏡像流量,並執行威脅偵測分析。
部署 IDS 端點
- 使用 Cloud IDS 在要監控的區域建立 IDS 端點。一個區域可建立多個 IDS 端點。
- Cloud IDS 建立及設定防火牆最多需要 20 分鐘。
- 建立 IDS 端點時,必須選擇警告嚴重性等級。如果要掌握最完整的偵測結果,建議選用「
informational」(資訊) 等級。 - 若透過 Google Cloud 控制台的「Packet mirroring」(封包鏡像) 頁面建立封包鏡像政策,請務必啟用「Allow both ingress and egress traffic」(同時允許輸入和輸出流量)。
- 只要透過「Cloud IDS」頁面設定 IDS 端點,系統就會自動啟用「Allow both ingress and egress traffic」(同時允許輸入和輸出流量),所以無需執行這項操作。
您可以使用 Cloud IDS,在要監控的區域建立 IDS 端點,而且一個區域可建立多個端點。每個 IDS 端點的檢查容量上限為 5 Gbps。遇到異常的流量高峰時,每個端點的處理量最高可達 17 Gbps,但我們建議您根據實際的網路處理量,每 5 Gbps 就設定一個 IDS 端點。
附加封包鏡像政策
- 如要為子網路、執行個體或網路標記等多種來源的流量建立鏡像,我們建議一個 IDS 端點附加多個封包鏡像政策。子網路所在區域必須與 IDS 端點相同,您才能鏡像流量。
- 設定時,只選擇要將流量鏡像至 Cloud IDS 的子網路。
成本最佳化
Cloud IDS 的收費方式為:每個 IDS 端點收取一筆固定費用,然後根據檢查的流量額外收取變動費用。如未審慎規劃,系統可能會鏡像並檢查虛擬私有雲 (VPC) 內所有網路流量,進而產生超出預期的高額費用。為控管支出,建議採取下列做法:
- 瞭解具體的安全性和法規遵循需求,謹慎選擇確實需要檢查的虛擬私有雲、區域、子網路及流量,其中流量最為重要。
- 先從最小範圍 (即關鍵資產) 開始檢查,再逐步擴大範圍。
- 使用封包鏡像篩選器精確控管處理的流量,藉此大幅降低變動費用。
以下範例示範如何調整 Cloud IDS 封包鏡像政策,並提高成本效益:
假設您需要檢查 VPC-x 中,子網路 subnet-x 內進出網際網路的流量,而且是根據安全性與法規遵循需求做出這個決定。另外,我們假設只需要檢查 subnet-x 中,連結網際網路的虛擬機器 (VM) 執行個體。
- 使用
tag-x為連結網際網路的 VM 加上標記。 - 在封包鏡像政策中,使用無類別跨網域路由 (CIDR) IP 位址範圍,檢查含有
tag-x標記的 VM 與網際網路之間的所有流量。由於封包鏡像功能不支援否定條件,因此必須以其他方式建立這類規則。假設這個虛擬私有雲使用10.0.0.0/8CIDR,那麼您需要為10.0.0.0/8以外的所有位址建立 CIDR,範圍如下:128.0.0.0/164.0.0.0/232.0.0.0/316.0.0.0/40.0.0.0/512.0.0.0/68.0.0.0/711.0.0.0/8
執行下列指令,建立封包鏡像政策:
gcloud compute packet-mirrorings create NAME
--network=vpc-x
--filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
--mirrored-subnets=[subnet-x]
--mirrored-tags=[tag-x]
--region=REGION
更改下列內容:
NAME:要建立的封包鏡像名稱REGIONS:封包鏡像的區域
後續步驟
- 如要查看概念說明,請參閱「Cloud IDS 總覽」。
- 如要設定 Cloud IDS,請參閱「設定 Cloud IDS」。