כאן מוסבר על השיטות המומלצות להגדרת Cloud IDS.
Cloud IDS הוא שירות לגילוי חדירות שבאמצעותו אפשר לזהות ברשת איומים כמו פריצות, תוכנות זדוניות, תוכנות ריגול ומתקפות להשגת שליטה. Cloud IDS משתמש במשאב שנקרא נקודת קצה של IDS, משאב של תחום מוגדר שיכול לבדוק תעבורת נתונים מכל אזור בתחום הזה. תעבורת הנתונים משוכפלת לכל נקודת קצה של IDS ומנותחת לזיהוי איומים.
פריסת נקודות הקצה של IDS
- אתם יכולים ליצור נקודות קצה של IDS בכל אזור שאתם רוצים לעקוב בו אחרי תעבורת הנתונים באמצעות Cloud IDS. אפשר ליצור כמה נקודות קצה של IDS לכל אזור.
- Cloud IDS ייצור ויגדיר את חומות האש תוך 20 דקות.
- כשאתם יוצרים את נקודות הקצה של IDS, אתם צריכים לבחור את רמת החומרה של ההתראות. כדי שתהיו כמה שיותר עם יד על הדופק, מומלץ שתבחרו ברמה
informational. - אם אתם משתמשים בדף Packet mirroring במסוף Google Cloud בשביל ליצור מדיניות רפליקציה של חבילות נתונים, חשוב שתפעילו את ההגדרה Allow both ingress and egress traffic.
- אם אתם משתמשים בדף Cloud IDS בשביל להגדיר את נקודות הקצה של IDS, ההגדרה Allow both ingress and egress traffic פועלת אוטומטית ואתם לא צריכים להפעיל אותה ידנית.
אתם יכולים להשתמש ב-Cloud IDS כדי ליצור נקודות קצה של IDS בכל אזור שאתם רוצים לעקוב בו אחרי התעבורה. אפשר ליצור כמה נקודות קצה של IDS לכל אזור. קיבולת הבדיקה של כל נקודת קצה של IDS מוגבלת ל-5Gbps. כל נקודת קצה של IDS יכולה לטפל בעליות חריגות בתעבורת הנתונים של עד 17Gbps, אבל אנחנו ממליצים להגדיר נקודת קצה לכל 5Gbps של תפוקה ברשת.
צירוף מדיניות רפליקציה של חבילות נתונים
- אם אתם רוצים לשכפל את תעבורת הנתונים מכמה סוגים של מקורות, כולל רשתות משנה, מכונות או תגי רשת, מומלץ שתצרפו לנקודת הקצה של IDS יותר ממדיניות אחת לרפליקציה של חבילות נתונים. אתם יכולים לשכפל את התעבורה רק מרשתות משנה שנמצאות באותו אזור של נקודת הקצה של IDS.
- בחרו רק את רשתות המשנה שאתם רוצים לשכפל את תעבורת הנתונים שלהן ל-Cloud IDS.
הוזלת עלויות
ההוצאות על Cloud IDS נחלקות לשתיים: עלות קבועה לכל נקודת קצה של IDS, ועלות שמשתנה בהתאם לנפח התעבורה שנבדק. אם לא תתכננו את העבודה כמו שצריך, יכול להיות שכל תעבורת הנתונים ברשת של הענן הווירטואלי הפרטי (VPC) תשוכפל ותיבדק, והחשבון שתקבלו יהיה גבוה ממה שציפיתם. כדי להוזיל את ההוצאות, מומלץ:
- להבין מה דרישות האבטחה והתאימות הספציפיות, בשביל לבחור בצורה מושכלת אילו עננים וירטואליים פרטיים, אזורים, רשתות משנה וגם, אולי הכי חשוב, איזו תעבורת נתונים באמת צריך לבדוק.
- להתחיל בבדיקה מינימלית של נכסים קריטיים ולהרחיב אותה בהדרגה.
- להשתמש במסננים לרפליקציה של חבילות נתונים כדי לשלוט בכמות התעבורה שנבדקת ולהוזיל משמעותית את העלויות המשתנות.
אתם יכולים להיעזר בדוגמה הבאה למדיניות רפליקציה של חבילות נתונים ב-Cloud IDS, שמוזילה את העלויות:
נניח שבדקתם את דרישות האבטחה והתאימות והגעתם למסקנה שאתם צריכים לבדוק את תעבורת הנתונים ב-VPC-x, ב-subnet-x, ורק את התעבורה לאינטרנט או ממנו. נניח גם שאתם צריכים לבדוק רק את המכונות הווירטואליות עם תעבורה יוצאת ברשת המשנה x.
- תייגו את המכונות הווירטואליות שמיועדות לאינטרנט באמצעות
tag-x. - כדי לבדוק את כל תעבורת הנתונים בין מכונות וירטואליות שמיועדות לאינטרנט למכונות וירטואליות שתויגו באמצעות
tag-x, השתמשו במדיניות רפליקציה של חבילות נתונים עם טווחי כתובות IP בפורמט Classless Inter-Domain Routing (CIDR). בגלל שאי אפשר להשתמש בשלילה ברפליקציה של חבילות נתונים, אתם צריכים ליצור אותה בדרך אחרת. נניח שה-VPC הזה משתמש ב-CIDR 10.0.0.0/8. במקרה כזה, אתם צריכים ליצור CIDR לכל דבר חוץ מ-10.0.0.0/8, שייראה ככה:128.0.0.0/164.0.0.0/232.0.0.0/316.0.0.0/40.0.0.0/512.0.0.0/68.0.0.0/711.0.0.0/8
כדי ליצור את מדיניות הרפליקציה של חבילות הנתונים, הריצו את הפקודה הבאה:
gcloud compute packet-mirrorings create NAME
--network=vpc-x
--filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
--mirrored-subnets=[subnet-x]
--mirrored-tags=[tag-x]
--region=REGION
החליפו את מה שכתוב בשדות הבאים:
-
NAME: השם של הרפליקציה של חבילות הנתונים שאתם רוצים ליצור -
REGIONS: האזור של הרפליקציה של חבילות הנתונים
המאמרים הבאים
- צריכים הסבר על המושגים של Cloud IDS? קראו את הסקירה הכללית.
- איך מגדירים את Cloud IDS