Bonnes pratiques pour Cloud IDS

Cette page présente les bonnes pratiques à suivre pour configurer Cloud IDS.

Cloud IDS est un service de détection des intrusions qui repère les menaces telles que les intrusions, les logiciels malveillants, les logiciels espions et les attaques de commande et de contrôle sur votre réseau. Cloud IDS utilise une ressource appelée point de terminaison IDS : il s'agit d'une ressource zonale capable d'inspecter le trafic provenant de n'importe quelle zone dans sa région. Chaque point de terminaison IDS reçoit le trafic mis en miroir et réalise une analyse de détection des menaces.

Déployer des points de terminaison IDS

• Créez un point de terminaison IDS dans chaque région que vous souhaitez surveiller à l'aide de Cloud IDS. Vous pouvez créer plusieurs points de terminaison IDS pour chaque région.
• Laissez jusqu'à 20 minutes à Cloud IDS pour créer et configurer les pare-feu.
• Lorsque vous créez un point de terminaison IDS, vous devez choisir un niveau de gravité des alertes. Pour une visibilité maximale, nous vous recommandons le niveau informational.
• Si vous créez une règle de mise en miroir de paquets depuis la page Mise en miroir de paquets de la console Google Cloud , assurez-vous d'activer l'option Autoriser le trafic entrant et sortant.

  Accéder à la page "Mise en miroir de paquets"

• Si vous configurez un point de terminaison IDS depuis la page Cloud IDS, vous n'avez pas besoin d'activer l'option Autoriser le trafic entrant et sortant, car elle est automatiquement activée.

  Accéder au tableau de bord Cloud IDS

Cloud IDS vous permet de créer un point de terminaison IDS dans chaque région que vous souhaitez surveiller. Vous pouvez créer plusieurs points de terminaison IDS pour chaque région. Chaque point de terminaison IDS a une capacité d'inspection maximale de 5 Gbit/s. Bien que chaque point de terminaison IDS puisse gérer des pics de trafic anormaux allant jusqu'à 17 Gbit/s, nous vous recommandons de configurer un point de terminaison IDS pour chaque tranche de 5 Gbit/s de débit que rencontre votre réseau.

Associer des règles de mise en miroir de paquets

• Nous vous recommandons d'associer plusieurs règles de mise en miroir de paquets à un point de terminaison IDS lorsque vous souhaitez mettre en miroir le trafic provenant de plusieurs types de sources, y compris de sous-réseaux, d'instances ou de tags réseau. Vous ne pouvez mettre en miroir le trafic que depuis des sous-réseaux situés dans la même région que le point de terminaison IDS.
• Sélectionnez uniquement les sous-réseaux dont vous souhaitez mettre en miroir le trafic sur Cloud IDS.

Optimisation des coûts

Cloud IDS applique un coût fixe pour chaque point de terminaison IDS et un coût variable en fonction du volume de trafic inspecté. Sans planification minutieuse, tout le trafic réseau d'un cloud privé virtuel (VPC) peut être mis en miroir et inspecté, ce qui peut entraîner des factures étonnamment élevées. Pour contrôler vos dépenses, nous vous recommandons de procéder comme suit :

• Comprenez les exigences spécifiques en matière de sécurité et de conformité pour choisir judicieusement les VPC, les régions, les sous-réseaux et, surtout, les flux de trafic qui doivent réellement être inspectés.
• Commencez par une inspection minimale des éléments critiques, puis étendez-la progressivement.
• Utilisez des filtres de mise en miroir de paquets pour contrôler précisément la quantité de trafic traitée, ce qui réduit considérablement les coûts variables.

L'exemple suivant ajuste la règle de mise en miroir de paquets Cloud IDS pour optimiser les coûts :

Supposons que vous deviez inspecter le trafic dans VPC-x et subnet-x, et que seul le trafic vers ou depuis Internet doive être inspecté. Vous prenez cette décision en fonction de vos exigences de sécurité et de conformité. Supposons également que seules les instances de machines virtuelles (VM) accessibles sur Internet dans le sous-réseau x doivent être inspectées.

1. Taggez les VM accessibles sur Internet avec tag-x.
2. Utilisez les plages d'adresses IP CIDR (Classless Inter-Domain Routing) dans la stratégie de mise en miroir de paquets pour inspecter tout le trafic entre les VM taguées avec tag-x et Internet. Étant donné que la négation n'est pas compatible avec la mise en miroir de paquets, vous devez la construire différemment. Supposons que ce VPC utilise le CIDR 10.0.0.0/8. Dans ce cas, vous devez créer un CIDR pour tout sauf 10.0.0.0/8, qui est le suivant :
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Pour créer la règle de mise en miroir de paquets, exécutez la commande suivante :

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Remplacez les éléments suivants :

• NAME : nom de la mise en miroir de paquets à créer.
• REGIONS : région de la mise en miroir de paquets

Étapes suivantes

• Pour consulter des informations conceptuelles, consultez la présentation de Cloud IDS.
• Pour configurer Cloud IDS, consultez Configurer Cloud IDS.