Práticas recomendadas para o Cloud IDS

Nesta página, você encontra as práticas recomendadas para configurar o Cloud IDS.

O Cloud IDS é um serviço de detecção de intrusões que identifica ameaças de invasão, malware, spyware e ataques de comando e controle na rede. O Cloud IDS usa um recurso zonal chamado endpoint do IDS, que consegue inspecionar o tráfego de qualquer zona na região. Cada endpoint do IDS recebe tráfego espelhado e realiza análises para a detecção de ameaças.

Implantar endpoints do IDS

• Crie um endpoint do IDS em cada região que você quer monitorar usando o Cloud IDS. É possível criar vários endpoints do IDS para cada região.
• Aguarde até 20 minutos para que o Cloud IDS crie e configure firewalls.
• Durante a criação do endpoint do IDS, é preciso escolher um nível de gravidade do alerta. Para maximizar a visibilidade, recomendamos o nível informational.
• Se você usar a página Espelhamento de pacotes no console do Google Cloud para criar uma política de espelhamento de pacotes, ative a opção Permitir tráfego de entrada e saída.

  Acesse Espelhamento de Pacotes

• Se você usar a página Cloud IDS para configurar um endpoint do IDS, não será necessário ativar a opção Permitir tráfego de entrada e saída, porque ela é ativada automaticamente.

  Acesse o painel do Cloud IDS

Use o Cloud IDS para criar um endpoint do IDS em cada região que você quer monitorar. É possível criar vários endpoints do IDS para cada região. Cada um deles tem uma capacidade máxima de inspeção de 5 Gbps. Embora cada endpoint do IDS possa processar picos de tráfego anômalos de até 17 Gbps, recomendamos configurar um endpoint do IDS para cada 5 Gbps de capacidade de processamento da sua rede.

Anexar políticas de espelhamento de pacotes

• Recomendamos anexar mais de uma política de espelhamento de pacotes a um endpoint do IDS quando quiser espelhar o tráfego de vários tipos de fontes, incluindo sub-redes, instâncias ou tags de rede. Só é possível espelhar o tráfego de sub-redes que estão na mesma região do endpoint do IDS.
• Escolha apenas as sub-redes cujo tráfego você quer espelhar no Cloud IDS.

Otimização de custos

O Cloud IDS usa um custo fixo para cada endpoint do SDI e um custo variável com base no volume de tráfego inspecionado. Sem um planejamento cuidadoso, todo o tráfego de rede em uma nuvem privada virtual (VPC) pode ser espelhado e inspecionado, resultando em faturas inesperadamente altas. Para controlar os gastos, recomendamos que você faça o seguinte:

• Entenda os requisitos específicos de segurança e compliance para selecionar com cuidado quais VPCs, regiões, sub-redes e, principalmente, quais fluxos de tráfego realmente precisam de inspeção.
• Comece com uma inspeção mínima dos recursos críticos e expanda gradualmente.
• Use filtros de espelhamento de pacotes para controlar com precisão a quantidade de tráfego processado, reduzindo significativamente o custo variável.

O exemplo a seguir ajusta a política de espelhamento de pacotes do Cloud IDS para otimização de custos:

Suponha que você precise inspecionar o tráfego na VPC-x, na sub-rede-x e apenas o tráfego de ou para a Internet precise ser inspecionado. Você toma essa decisão com base nos seus requisitos de segurança e compliance. Suponha também que apenas as instâncias de máquina virtual (VM) voltadas para a Internet na sub-rede x precisem ser inspecionadas.

1. Marque as VMs voltadas para a Internet com tag-x.
2. Use os intervalos de endereços IP CIDR na política de espelhamento de pacotes para inspecionar todo o tráfego entre VMs marcadas com tag-x e a Internet. Como a negação não é compatível com o espelhamento de pacotes, é necessário construí-la de outra forma. Suponha que essa VPC use o CIDR 10.0.0.0/8. Se for o caso, construa um CIDR para tudo, exceto 10.0.0.0/8, que é o seguinte:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Para criar a política de espelhamento de pacotes, execute o seguinte comando:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Substitua:

• NAME: o nome do espelhamento de pacotes a ser criado.
• REGIONS: a região do espelhamento de pacotes

A seguir

• Para analisar informações conceituais, consulte Visão geral do Cloud IDS.
• Para configurar o Cloud IDS, consulte Configurar o Cloud IDS.