Praktik terbaik untuk Cloud IDS

Halaman ini memberikan praktik terbaik untuk mengonfigurasi Cloud IDS.

Cloud IDS adalah layanan deteksi penyusupan yang menyediakan deteksi ancaman untuk penyusupan, malware, spyware, serta serangan command-and-control di jaringan Anda. Cloud IDS menggunakan resource yang dikenal sebagai endpoint IDS, yaitu resource zona yang dapat memeriksa traffic dari zona mana pun di regionnya. Setiap endpoint IDS menerima traffic yang diduplikasi dan melakukan analisis deteksi ancaman.

Men-deploy endpoint IDS

• Buat endpoint IDS di setiap region yang ingin Anda pantau menggunakan Cloud IDS. Anda dapat membuat beberapa endpoint IDS untuk setiap region.
• Beri waktu 20 menit bagi Cloud IDS untuk membuat dan mengonfigurasi firewall.
• Selama pembuatan endpoint IDS, Anda harus memilih tingkat keparahan pemberitahuan. Untuk visibilitas maksimum, sebaiknya gunakan tingkat informational.
• Jika Anda menggunakan halaman Duplikasi paket di konsol Google Cloud untuk membuat kebijakan duplikasi paket, pastikan Anda mengaktifkan Izinkan traffic ingress maupun egress.

  Buka Duplikasi Paket

• Jika Anda menggunakan halaman Cloud IDS untuk mengonfigurasi endpoint IDS, Anda tidak perlu mengaktifkan Izinkan traffic ingress maupun egress karena sudah diaktifkan secara otomatis.

  Buka dasbor Cloud IDS

Anda dapat menggunakan Cloud IDS untuk membuat endpoint IDS di setiap region yang ingin Anda pantau. Anda dapat membuat beberapa endpoint IDS untuk setiap region. Setiap endpoint IDS memiliki kapasitas pemeriksaan maksimum 5 Gbps. Meskipun setiap endpoint IDS dapat menangani lonjakan traffic anomali hingga 17 Gbps, sebaiknya Anda mengonfigurasi satu endpoint IDS untuk setiap throughput 5 Gbps yang dialami jaringan Anda.

Melampirkan kebijakan duplikasi paket

• Sebaiknya lampirkan lebih dari satu kebijakan duplikasi paket ke endpoint IDS jika Anda ingin menduplikasi traffic dari beberapa jenis sumber, termasuk subnet, instance, atau tag jaringan. Anda hanya dapat menduplikasi traffic dari subnet yang ada di region yang sama dengan endpoint IDS.
• Pilih hanya subnet yang trafficnya ingin Anda duplikasi ke Cloud IDS.

Pengoptimalan biaya

Cloud IDS menggunakan biaya tetap untuk setiap endpoint IDS dan biaya variabel berdasarkan volume traffic yang diperiksa. Tanpa perencanaan yang cermat, semua traffic jaringan dalam Virtual Private Cloud (VPC) dapat diduplikasi dan diperiksa, sehingga menyebabkan tagihan yang sangat tinggi. Untuk mengontrol pengeluaran, sebaiknya Anda melakukan hal berikut:

• Pahami persyaratan keamanan dan kepatuhan tertentu agar dapat secara bijaksana memilih VPC, region, subnet, dan yang paling penting, aliran traffic mana yang benar-benar perlu diperiksa.
• Mulailah dengan pemeriksaan minimal terhadap aset-aset penting, lalu perluas secara bertahap.
• Gunakan filter duplikasi paket untuk secara akurat mengontrol jumlah traffic yang diproses, sehingga mengurangi biaya variabel secara signifikan.

Contoh berikut menyesuaikan kebijakan duplikasi paket Cloud IDS untuk pengoptimalan biaya:

Misalkan Anda perlu memeriksa traffic di VPC-x, subnet-x, dan hanya traffic ke atau dari internet yang perlu diperiksa. Anda membuat keputusan ini berdasarkan persyaratan keamanan dan kepatuhan Anda. Selain itu, misalkan hanya instance virtual machine (VM) yang terhubung ke internet di subnet-x yang perlu diperiksa.

1. Beri tag pada VM yang terhubung ke internet dengan tag-x.
2. Gunakan rentang alamat IP Classless Inter-Domain Routing (CIDR) dalam kebijakan duplikasi paket untuk memeriksa semua traffic antara VM yang diberi tag tag-x dan internet. Karena negasi tidak didukung dengan duplikasi paket, Anda harus menyusunnya dengan cara yang berbeda. Misalkan VPC ini menggunakan CIDR 10.0.0.0/8; jika ya, Anda perlu membuat CIDR untuk semuanya kecuali 10.0.0.0/8, yaitu sebagai berikut:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Untuk membuat kebijakan duplikasi paket, jalankan perintah berikut:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Ganti kode berikut:

• NAME: nama duplikasi paket yang akan dibuat
• REGIONS: region duplikasi paket

Langkah berikutnya

• Untuk meninjau informasi konseptual, lihat Ringkasan Cloud IDS.
• Untuk menyiapkan Cloud IDS, lihat Mengonfigurasi Cloud IDS.