Best Practices für Cloud IDS

Auf dieser Seite finden Sie Best Practices zum Konfigurieren von Cloud IDS.

Cloud IDS ist ein Einbruchserkennungsdienst, der Bedrohungserkennung bei Einbrüchen, Malware, Spyware und Command-and-Control-Angriffen in Ihrem Netzwerk bietet. Cloud IDS verwendet eine Ressource, die als IDS-Endpunkt bezeichnet wird. Dies ist eine zonale Ressource, die Traffic aus jeder Zone in ihrer Region prüfen kann. Jeder IDS-Endpunkt empfängt gespiegelten Traffic und führt eine Analyse zur Erkennung von Bedrohungen durch.

IDS-Endpunkte bereitstellen

• Erstellen Sie in jeder Region, die Sie mit Cloud IDS überwachen möchten, einen IDS-Endpunkt. Sie können für jede Region mehrere IDS-Endpunkte erstellen.
• Es kann bis zu 20 Minuten dauern, bis Cloud IDS Firewalls erstellt und konfiguriert hat.
• Beim Erstellen eines IDS-Endpunkts müssen Sie einen Schweregrad für Benachrichtigungen auswählen. Für maximale Transparenz empfehlen wir die Stufe informational.
• Wenn Sie in der Google Cloud Console auf der Seite Paketspiegelung eine Paketspiegelungsrichtlinie erstellen, müssen Sie Eingehenden und ausgehenden Traffic zulassen aktivieren.

  Zu „Paketspiegelung“

• Wenn Sie die Seite Cloud IDS verwenden, um einen IDS-Endpunkt zu konfigurieren, müssen Sie Eingehenden und ausgehenden Traffic zulassen nicht aktivieren, da diese Option automatisch aktiviert ist.

  Zum Cloud IDS-Dashboard

Sie können mit Cloud IDS in jeder Region, die Sie überwachen möchten, einen IDS-Endpunkt erstellen. Sie können für jede Region mehrere IDS-Endpunkte erstellen. Jeder IDS-Endpunkt hat eine maximale Prüfungskapazität von 5 Gbit/s. Jeder IDS-Endpunkt kann zwar anomale Traffic-Spitzen von bis zu 17 Gbit/s verarbeiten. Wir empfehlen jedoch, pro 5 Gbit/s an Durchsatz in Ihrem Netzwerk jeweils einen IDS-Endpunkt zu konfigurieren.

Paketspiegelungsrichtlinien anhängen

• Wir empfehlen, an einen IDS-Endpunkt mehr als eine Paketspiegelungsrichtlinie anzuhängen, wenn Sie Traffic von mehreren Quelltypen spiegeln möchten, darunter Subnetze, Instanzen und Netzwerk-Tags. Sie können Traffic nur von Subnetzen spiegeln, die sich in derselben Region wie der IDS-Endpunkt befinden.
• Wählen Sie nur die Subnetze aus, deren Traffic Sie zu Cloud IDS spiegeln möchten.

Kostenoptimierung

Cloud IDS verwendet einen Festpreis für jeden IDS-Endpunkt und einen variablen Preis, der auf dem Volumen des geprüften Traffics basiert. Ohne sorgfältige Planung kann der gesamte Netzwerk-Traffic in einer Virtual Private Cloud (VPC) gespiegelt und geprüft werden, was zu unerwartet hohen Rechnungen führen kann. Um Ausgaben zu kontrollieren, empfehlen wir Folgendes:

• Sie müssen die spezifischen Sicherheits- und Compliance-Anforderungen kennen, um sorgfältig auszuwählen, welche VPCs, Regionen, Subnetze und vor allem welche Traffic-Flüsse wirklich geprüft werden müssen.
• Beginnen Sie mit einer minimalen Überprüfung kritischer Assets und weiten Sie diese nach und nach aus.
• Mit Paketspiegelungsfiltern können Sie die Menge des verarbeiteten Traffics genau steuern und so die variablen Kosten erheblich senken.

Im folgenden Beispiel wird die Cloud IDS-Paketspiegelungsrichtlinie zur Kostenoptimierung angepasst:

Angenommen, Sie müssen den Traffic in VPC-x, Subnetz-x prüfen und nur Traffic zum oder vom Internet muss geprüft werden. Sie treffen diese Entscheidung auf Grundlage Ihrer Sicherheits- und Compliance-Anforderungen. Angenommen, nur die VM-Instanzen (virtuelle Maschine) mit Internetzugang in Subnetz x müssen geprüft werden.

1. Taggen Sie die VMs, die mit dem Internet verbunden sind, mit tag-x.
2. Verwenden Sie die CIDR-IP-Adressbereiche (Classless Inter-Domain Routing) in der Paketspiegelungsrichtlinie, um den gesamten Traffic zwischen VMs mit dem Tag tag-x und dem Internet zu untersuchen. Da die Negation bei der Paketspiegelung nicht unterstützt wird, müssen Sie sie auf andere Weise erstellen. Angenommen, für diese VPC wird der CIDR-Bereich 10.0.0.0/8 verwendet. Dann müssen Sie einen CIDR-Bereich für alles außer 10.0.0.0/8 erstellen, der so aussieht:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Führen Sie folgenden Befehl aus, um die Paketspiegelungsrichtlinie zu erstellen:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Ersetzen Sie Folgendes:

• NAME: der Name der zu erstellenden Paketspiegelung
• REGIONS: die Region der Paketspiegelung

Nächste Schritte

• Konzeptionelle Informationen finden Sie in der Übersicht über Cloud IDS.
• Informationen zum Einrichten von Cloud IDS finden Sie unter Cloud IDS konfigurieren.