Cloud IDS 권장사항

이 페이지에서는 Cloud IDS 구성을 위한 권장사항을 제공합니다.

Cloud IDS는 네트워크에 대한 침입, 멀웨어, 스파이웨어, 명령어 및 제어 공격에 대한 위협 감지를 제공하는 침입 감지 서비스입니다. Cloud IDS는 리전 내 모든 영역에서 트래픽을 검사할 수 있는 영역 리소스인 IDS 엔드포인트라는 리소스를 사용합니다. 각 IDS 엔드포인트는 미러링된 트래픽을 수신하고 위협 감지 분석을 수행합니다.

IDS 엔드포인트 배포

• Cloud IDS를 사용하여 모니터링할 각 리전에서 IDS 엔드포인트를 만듭니다. 각 리전에 대해 여러 개의 IDS 엔드포인트를 만들 수 있습니다.
• Cloud IDS가 방화벽을 만들고 구성하려면 최대 20분 정도 걸립니다.
• IDS 엔드포인트를 만드는 동안 알림 심각도 수준을 선택해야 합니다. 가시성을 극대화하려면 informational 수준이 권장됩니다.
• Google Cloud 콘솔에서 패킷 미러링 페이지를 사용하여 패킷 미러링 정책을 만드는 경우 인그레스 및 이그레스 트래픽 모두 허용을 사용 설정해야 합니다.

  패킷 미러링으로 이동

• Cloud IDS 페이지를 사용하여 IDS 엔드포인트를 구성하는 경우 인그레스 및 이그레스 트래픽 모두 허용이 자동으로 사용 설정되므로 이를 사용 설정할 필요가 없습니다.

  Cloud IDS 대시보드로 이동

Cloud IDS를 사용하여 모니터링할 각 리전에서 IDS 엔드포인트를 만들 수 있습니다. 각 리전에 대해 여러 개의 IDS 엔드포인트를 만들 수 있습니다. 각 IDS 엔드포인트의 최대 검사 용량은 5Gbps입니다. 각 IDS 엔드포인트는 최대 17Gbps까지 이상 트래픽 급증을 처리할 수 있지만 네트워크에서 발생하는 5Gbps의 처리량마다 IDS 엔드포인트를 하나씩 구성하는 것이 좋습니다.

패킷 미러링 정책 연결

• 서브넷, 인스턴스, 네트워크 태그를 포함하여 여러 유형의 소스에서 트래픽을 미러링하려면 패킷 미러링 정책을 IDS 엔드포인트에 여러 개 연결하는 것이 좋습니다. IDS 엔드포인트와 동일한 리전에 있는 서브넷에서만 트래픽을 미러링할 수 있습니다.
• 트래픽을 Cloud IDS에 미러링하려는 서브넷만 선택합니다.

비용 최적화

Cloud IDS는 각 IDS 엔드포인트에 고정 비용을 적용하고 검사된 트래픽 양에 따라 가변 비용을 적용합니다. 신중하게 계획하지 않으면 가상 프라이빗 클라우드 (VPC) 내의 모든 네트워크 트래픽이 미러링되고 검사되어 예상치 못한 높은 요금이 청구될 수 있습니다. 비용을 관리하려면 다음을 수행하는 것이 좋습니다.

• 특정 보안 및 규정 준수 요구사항을 이해하여 어떤 VPC, 리전, 서브넷, 그리고 가장 중요한 어떤 트래픽 흐름에 검사가 필요한지 신중하게 선택합니다.
• 중요한 애셋에 대한 최소한의 검사로 시작하여 점차 확대합니다.
• 패킷 미러링 필터를 사용하여 처리되는 트래픽 양을 정확하게 제어하여 변동 비용을 크게 줄입니다.

다음 예시에서는 비용 최적화를 위해 Cloud IDS 패킷 미러링 정책을 조정합니다.

VPC-x, 서브넷-x의 트래픽을 검사해야 하며 인터넷으로 향하거나 인터넷에서 오는 트래픽만 검사해야 한다고 가정해 보겠습니다. 보안 및 규정 준수 요구사항에 따라 이 결정을 내립니다. 또한 서브넷-x의 인터넷 연결 가상 머신 (VM) 인스턴스만 검사해야 한다고 가정해 보겠습니다.

1. 인터넷에 연결된 VM에 tag-x 태그를 지정합니다.
2. 패킷 미러링 정책에서 클래스 없는 도메인 간 라우팅 (CIDR) IP 주소 범위를 사용하여 tag-x로 태그된 VM과 인터넷 간의 모든 트래픽을 검사합니다. 패킷 미러링에서는 부정(negation)이 지원되지 않으므로 다른 방식으로 구성해야 합니다. 이 VPC가 10.0.0.0/8 CIDR을 사용한다고 가정해 보겠습니다. 이 경우 10.0.0.0/8를 제외한 모든 항목의 CIDR을 구성해야 합니다. 이는 다음과 같습니다.
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

패킷 미러링 정책을 만들려면 다음 명령어를 실행합니다.

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

다음을 바꿉니다.

• NAME: 만들 패킷 미러링의 이름
• REGIONS: 패킷 미러링의 리전

다음 단계

• 개념 정보를 검토하려면 Cloud IDS 개요를 참조하세요.
• Cloud IDS를 설정하려면 Cloud IDS 구성을 참조하세요.