本页面介绍配置 Cloud IDS 的最佳实践。
Cloud IDS 是一种入侵检测服务,可针对网络中的入侵、恶意软件、间谍软件以及“命令和控制”攻击提供威胁检测。Cloud IDS 使用一种称为 IDS 端点的资源,这是一种可用区级资源,可检查其区域中任何可用区的流量。每个 IDS 端点都会接收镜像流量并执行威胁检测分析。
部署 IDS 端点
- 在您要使用 Cloud IDS 监控的每个区域中创建一个 IDS 端点。您也可以为每个区域创建多个 IDS 端点。
- Cloud IDS 最多需要 20 分钟来创建和配置防火墙。
- 在创建 IDS 端点期间,您必须选择提醒严重级别。为了尽可能显示更多的威胁条目,我们建议使用
informational级别。 - 如果您使用 Google Cloud 控制台中的数据包镜像页面创建数据包镜像政策,请务必启用允许入站流量和出站流量。
- 如果您使用 Cloud IDS 页面配置 IDS 端点,则无需启用允许入站流量和出站流量,因为它会自动启用。
您可以使用 Cloud IDS 在要监控的每个区域中创建一个 IDS 端点。您也可以为每个区域创建多个 IDS 端点。每个 IDS 端点的检查容量上限为 5 Gbps。虽然每个 IDS 端点都可以处理高达 17 Gbps 的异常流量峰值,但我们建议您为网络中每 5 Gbps 的吞吐量配置一个 IDS 端点。
关联数据包镜像政策
- 如果您想镜像来自多种类型来源(包括子网、实例或网络标记)的流量,我们建议您将多项数据包镜像政策关联到 IDS 端点。您只能镜像与 IDS 端点位于同一区域的子网中的流量。
- 仅选择要将流量镜像到 Cloud IDS 的子网。
费用优化
Cloud IDS 采用固定费用(针对每个 IDS 端点)和可变费用(基于检查的流量)。如果不仔细规划,虚拟私有云 (VPC) 内的所有网络流量都可以被镜像和检查,从而导致账单费用意外过高。为了控制支出,我们建议您执行以下操作:
- 了解具体的安全和合规性要求,以便明智地选择哪些 VPC、区域、子网,以及最关键的,哪些流量确实需要检查。
- 先从对关键资产进行最少的检查开始,然后逐步扩大检查范围。
- 使用数据包镜像过滤条件可精确控制处理的流量,从而显著降低可变费用。
以下示例调整了 Cloud IDS 数据包镜像政策,以优化费用:
假设您需要检查 VPC-x 和 subnet-x 中的流量,并且只需要检查进出互联网的流量。您可以根据自己的安全和合规性要求做出此决定。此外,假设只需要检查子网-x 中面向互联网的虚拟机 (VM) 实例。
- 使用
tag-x标记面向互联网的虚拟机。 - 使用数据包镜像政策中的无类别域间路由 (CIDR) IP 地址范围来检查标记为
tag-x的虚拟机与互联网之间的所有流量。由于数据包镜像不支持否定,因此您需要以其他方式构建否定。假设此 VPC 使用10.0.0.0/8CIDR;如果是,则需要构建一个除10.0.0.0/8之外的所有内容的 CIDR,如下所示:128.0.0.0/164.0.0.0/232.0.0.0/316.0.0.0/40.0.0.0/512.0.0.0/68.0.0.0/711.0.0.0/8
如需创建数据包镜像政策,请运行以下命令:
gcloud compute packet-mirrorings create NAME
--network=vpc-x
--filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
--mirrored-subnets=[subnet-x]
--mirrored-tags=[tag-x]
--region=REGION
替换以下内容:
NAME:要创建的数据包镜像的名称REGIONS:数据包镜像的区域
后续步骤
- 如需查看概念性信息,请参阅 Cloud IDS 概览。
- 如需设置 Cloud IDS,请参阅配置 Cloud IDS。