Prácticas recomendadas para IDS de Cloud

En esta página, se proporcionan prácticas recomendadas para configurar IDS de Cloud.

IDS de Cloud es un servicio de detección de intrusiones que proporciona la detección de amenazas de intrusiones, malware, software espía y ataques de comando y control en tu red. IDS de Cloud usa el extremo de IDS, un recurso zonal que puede inspeccionar el tráfico de cualquier zona de su región. Cada extremo de IDS recibe tráfico duplicado y realiza un análisis de detección de amenazas.

Implementa extremos de IDS

• Crea un extremo de IDS en cada región que desees supervisar con IDS de Cloud. Puedes crear varios extremos de IDS para cada región.
• Espera hasta 20 minutos para que IDS de Cloud cree y configure los firewalls.
• Durante la creación del extremo de IDS, debes elegir un nivel de gravedad de la alerta. Para obtener la máxima visibilidad, recomendamos el nivel informational.
• Si usas la página Duplicación de paquetes en la consola de Google Cloud para crear una política de Duplicación de paquetes, asegúrate de habilitar la opción Permitir el tráfico de entrada y salida.

  Ir a Duplicación de paquetes

• Si usas la página IDS de Cloud para configurar un extremo de IDS, no necesitas habilitar Permitir tráfico de entrada y de salida porque se habilita de forma automática.

  Ir al panel del IDS de Cloud

Puedes usar IDS de Cloud para crear un extremo de IDS en cada región que desees supervisar. Puedes crear varios extremos de IDS para cada región. Cada extremo de IDS tiene una capacidad de inspección máxima de 5 Gbps. Si bien cada extremo de IDS puede controlar los aumentos repentinos de tráfico de hasta 17 Gbps, te recomendamos que configures un extremo de IDS por cada 5 Gbps de capacidad de procesamiento que experimente tu red.

Adjunta políticas de Duplicación de paquetes

• Te recomendamos que adjuntes más de una política de Duplicación de paquetes a un extremo de IDS cuando desees duplicar el tráfico de varios tipos de fuentes, incluidas subredes, instancias o etiquetas de red. Solo puedes duplicar el tráfico de las subredes que existen en la misma región que el extremo del IDS.
• Elige solo las subredes cuyo tráfico deseas duplicar en IDS de Cloud.

Optimización de costos

IDS de Cloud emplea un costo fijo para cada extremo de IDS y un costo variable basado en el volumen de tráfico inspeccionado. Sin una planificación cuidadosa, todo el tráfico de red en una nube privada virtual (VPC) se puede duplicar y también inspeccionar, lo que genera facturas altas de forma inesperada. Para controlar los gastos, te recomendamos que sigas los siguientes pasos:

• Comprende los requisitos específicos de seguridad y cumplimiento para elegir con criterio qué VPCs, regiones, subredes y, lo que es más importante, qué flujos de tráfico realmente necesitan inspección.
• Empieza con una inspección mínima de los activos fundamentales y expándela de forma gradual.
• Usa filtros de Duplicación de paquetes para controlar con precisión la cantidad de tráfico procesado y, de este modo, reducir de forma significativa el costo variable.

En el siguiente ejemplo, se ajusta la política de Duplicación de paquetes del IDS de Cloud para optimizar los costos:

Supongamos que necesitas inspeccionar el tráfico en la VPC-x, la subred-x y solo el tráfico hacia o desde Internet. Tú tomas esta decisión en función de tus requisitos de seguridad y cumplimiento. Además, si tenemos en cuenta que solo se deben inspeccionar las instancias de máquinas virtuales (VM) orientadas a Internet en la subred-x.

1. Etiqueta las VMs orientadas a Internet con tag-x.
2. Usa los rangos de direcciones IP de enrutamiento entre dominios sin clases (CIDR) en la política de Duplicación de paquetes para inspeccionar todo el tráfico entre las VMs etiquetadas con tag-x y en Internet. Dado que la negación no es compatible con la Duplicación de paquetes, debes construirla de otra manera. Supongamos que esta VPC usa el CIDR 10.0.0.0/8. Si es así, debes construir un CIDR para todo, excepto 10.0.0.0/8, que es el siguiente:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Para crear la política de Duplicación de paquetes, ejecuta el siguiente comando:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Reemplaza lo siguiente:

• NAME: Es el nombre de la Duplicación de paquetes que se creará.
• REGIONS: Es la región de la Duplicación de paquetes.

¿Qué sigue?

• Para revisar la información conceptual, consulta la descripción general de IDS de Cloud.
• Para configurar IDS de Cloud, consulta Configura IDS de Cloud.