Prácticas recomendadas para IDS de Cloud

En esta página, se proporcionan prácticas recomendadas para configurar IDS de Cloud.

IDS de Cloud es un servicio de detección de intrusiones que proporciona detección de amenazas para intrusiones, software malicioso, software espía y ataques de comando y control en tu red. IDS de Cloud usa un recurso conocido como extremo de IDS, un recurso zonal que puede inspeccionar el tráfico de cualquier zona de su región. Cada extremo de IDS recibe tráfico duplicado y realiza un análisis de detección de amenazas.

Implementa extremos de IDS

• Crea un extremo de IDS en cada región que desees supervisar con IDS de Cloud. Puedes crear varios extremos de IDS para cada región.
• Espera hasta 20 minutos para que IDS de Cloud cree y configure los firewalls.
• Durante la creación del extremo de IDS, debes elegir un nivel de gravedad de la alerta. Para obtener la máxima visibilidad, recomendamos el nivel informational.
• Si usas la página Duplicación de paquetes en la consola de Google Cloud para crear una política de duplicación de paquetes, asegúrate de habilitar la opción Permitir el tráfico de entrada y salida.

  Ir a Duplicación de paquetes

• Si usas la página Cloud IDS para configurar un extremo de IDS, no necesitas habilitar Permitir el tráfico de entrada y salida porque se habilita automáticamente.

  Ir al panel del IDS de Cloud

Puedes usar IDS de Cloud para crear un extremo de IDS en cada región que desees supervisar. Puedes crear varios extremos de IDS para cada región. Cada extremo de IDS tiene una capacidad de inspección máxima de 5 Gbps. Si bien cada extremo del IDS puede controlar picos anómalos de tráfico de hasta 17 Gbps, te recomendamos que configures un extremo del IDS por cada 5 Gbps de rendimiento que experimente tu red.

Adjunta políticas de duplicación de paquetes

• Te recomendamos que adjuntes más de una política de duplicación de paquetes a un extremo de IDS cuando desees duplicar el tráfico de varios tipos de fuentes, incluidas subredes, instancias o etiquetas de red. Solo puedes duplicar el tráfico de las subredes que existen en la misma región que el extremo del IDS.
• Elige solo las subredes cuyo tráfico deseas duplicar en el IDS de Cloud.

Optimización de costos

IDS de Cloud emplea un costo fijo para cada extremo de IDS y un costo variable basado en el volumen de tráfico inspeccionado. Sin una planificación cuidadosa, todo el tráfico de red dentro de una nube privada virtual (VPC) se puede duplicar e inspeccionar, lo que genera facturas inesperadamente altas. Para controlar los gastos, te recomendamos que hagas lo siguiente:

• Comprende los requisitos específicos de seguridad y cumplimiento para seleccionar con criterio qué VPCs, regiones, subredes y, lo que es más importante, qué flujos de tráfico realmente necesitan inspección.
• Comienza con una inspección mínima de los activos críticos y expándela gradualmente.
• Usa filtros de duplicación de paquetes para controlar con precisión la cantidad de tráfico procesado y, de este modo, reducir significativamente el costo variable.

En el siguiente ejemplo, se ajusta la política de duplicación de paquetes del IDS de Cloud para optimizar los costos:

Supongamos que necesitas inspeccionar el tráfico en la VPC-x, la subred-x y solo el tráfico hacia o desde Internet. Tú tomas esta decisión en función de tus requisitos de seguridad y cumplimiento. Además, supón que solo se deben inspeccionar las instancias de máquina virtual (VM) orientadas a Internet en la subred-x.

1. Etiqueta las VMs orientadas a Internet con tag-x.
2. Usa los rangos de direcciones IP de enrutamiento entre dominios sin clases (CIDR) en la política de duplicación de paquetes para inspeccionar todo el tráfico entre las VMs etiquetadas con tag-x y la Internet. Dado que la negación no es compatible con la duplicación de paquetes, debes construirla de otra manera. Supongamos que esta VPC usa el CIDR 10.0.0.0/8. Si es así, debes construir un CIDR para todo, excepto 10.0.0.0/8, que es el siguiente:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Para crear la política de duplicación de paquetes, ejecuta el siguiente comando:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Reemplaza lo siguiente:

• NAME: el nombre de la duplicación de paquetes que se creará
• REGIONS: la región de la duplicación de paquetes

¿Qué sigue?

• Para revisar la información conceptual, consulta la descripción general de Cloud IDS.
• Para configurar IDS de Cloud, consulta Configura IDS de Cloud.