Cloud IDS のベスト プラクティス

このページでは、Cloud IDS を構成する際のベスト プラクティスについて説明します。

Cloud IDS は侵入検知サービスで、ネットワーク上の侵入、マルウェア、スパイウェア、コマンド＆コントロール攻撃の脅威を検出します。Cloud IDS では、IDS エンドポイントと呼ばれるリソースが使用されます。これは、そのリージョン内のあらゆるゾーンからのトラフィックを検査できるゾーンリソースです。各 IDS エンドポイントは、ミラーリングされたトラフィックを受信して脅威検出分析を実行します。

IDS エンドポイントをデプロイする

• Cloud IDS を使用して、モニタリングする各リージョンに IDS エンドポイントを作成します。リージョンごとに複数の IDS エンドポイントを作成できます。
• Cloud IDS によるファイアウォールの作成と構成には、最長で 20 分ほどかかります。
• IDS エンドポイントを作成するときに、アラートの重大度レベルを選択する必要があります。可視性を最大限に確保できるよう、informational レベルの使用をおすすめします。
• Google Cloud コンソールの Packet Mirroring ページでパケット ミラーリング ポリシーを作成する場合、[上り（内向き）と下り（外向き）の両方のトラフィックを許可] が有効であることを確認してください。

  [Packet Mirroring] に移動

• [Cloud IDS] のページで IDS エンドポイントを構成する場合は、[上り（内向き）と下り（外向き）の両方のトラフィックを許可] は自動的に有効にされるため、有効にする必要はありません。

  [IDS ダッシュボード] に移動

Cloud IDS を使用して、モニタリングする各リージョンに IDS エンドポイントを作成できます。リージョンごとに複数の IDS エンドポイントを作成できます。各 IDS エンドポイントが検査できる容量は最大 5 Gbps です。各 IDS エンドポイントは、異常なトラフィック急増を最大で 17 Gbps 処理できますが、ネットワークで発生する IDS エンドポイントは 5 Gbps のスループットごとに 1 つ構成することをおすすめします。

パケット ミラーリング ポリシーを接続する

• 複数のソース（サブネット、インスタンス、ネットワーク タグなど）からのトラフィックをミラーリングする場合は、複数のパケット ミラーリング ポリシーを IDS エンドポイントに接続することをおすすめします。ミラーリングできるのは、IDS エンドポイントと同じリージョンにあるサブネットからのトラフィックのみです。
• Cloud IDS にミラーリングするトラフィックのみをサブネットで選択します。

費用の最適化

Cloud IDS では、各 IDS エンドポイントに固定費用が適用され、検査されたトラフィック量に基づいて変動費用が課金されます。慎重に計画しないと、Virtual Private Cloud（VPC）内のすべてのネットワーク トラフィックがミラーリングされて検査され、予期しない高額な請求が発生する可能性があります。費用を管理するには、次のことをおすすめします。

• 特定のセキュリティとコンプライアンスの要件を理解して、どの VPC、リージョン、サブネット、そして最も重要などのトラフィック フローを検査する必要があるかを慎重に選択します。
• 重要なアセットの最小限の検査から始め、徐々に拡大します。
• パケット ミラーリング フィルタを使用して、処理されるトラフィック量を正確に制御することで、変動費を大幅に削減できます。

次の例では、費用最適化のために Cloud IDS Packet Mirroring ポリシーを調整します。

VPC-x と subnet-x のトラフィックを検査する必要があり、インターネットとの間のトラフィックのみを検査する必要があるとします。この決定は、セキュリティとコンプライアンスの要件に基づいて行います。また、subnet-x のインターネットに接続する仮想マシン（VM）インスタンスのみを検査する必要があるとします。

1. インターネットに接続する VM に tag-x のタグを付けます。
2. パケット ミラーリング ポリシーでクラスレス ドメイン間ルーティング（CIDR） IP アドレス範囲を使用して、tag-x タグが付けられた VM とインターネット間のすべてのトラフィックを検査します。パケット ミラーリングでは否定がサポートされていないため、別の方法で構築する必要があります。この VPC が 10.0.0.0/8 CIDR を使用しているとします。その場合は、10.0.0.0/8 以外のすべての CIDR を作成する必要があります。これは次のようになります。
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

パケット ミラーリング ポリシーを作成するには、次のコマンドを実行します。

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

次のように置き換えます。

• NAME: 作成するパケット ミラーリングの名前
• REGIONS: パケット ミラーリングのリージョン

次のステップ

• コンセプトについて Cloud IDS の概要で確認する
• Cloud IDS の設定について Cloud IDS を構成するで確認する