Configurar IDS de Cloud

Usa estas instrucciones para configurar el IDS de Cloud para tu aplicación. Para información conceptual sobre el IDS de Cloud, consulta el Descripción general de IDS de Cloud.

Antes de comenzar

Antes de configurar el IDS de Cloud, debes completar los siguientes requisitos.

Configura permisos de IAM para IDS de Cloud

IDS de Cloud tiene varios roles de Identity and Access Management (IAM). Puedes usar el ejemplo para otorgar a una principal los permisos de IAM necesarios.

  • Función de administrador de IDS de Cloud (roles/ids.admin). Principales del proyecto con este rol puede crear extremos de IDS. Si eres el propietario del proyecto, ya tienes este permiso y no necesitas un permiso La función ids.admin para crear extremos de IDS.

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --role=roles/ids.admin \
   --member=user:USER_NAME ;

    Esta función habilita las siguientes operaciones:

    • Crear extremo
    • Borrar extremo
    • Obtener extremo
    • Mostrar extremo

  • Función de visualizador de IDS de Cloud (roles/ids.viewer). Visualizadores de proyectos y principales con este rol tienen acceso de solo lectura a los extremos de IDS. Si eres un propietario, editor o lector del proyecto, ya tienes este permiso.

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --role=roles/ids.viewer \
   --member=user:USER_NAME ;

  • Rol del usuario de duplicación de paquetes de Compute (roles/compute.packetMirroringUser). Es un rol. necesaria para adjuntar una política de duplicación de paquetes al extremo IDS. Si tienes el compute.securityAdmin o container.serviceAgent, ya tienes este permiso. Para obtener más información sobre este rol, consulta la referencia de roles básicos y predefinidos de IAM.

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --role=roles/compute.packetMirroringUser \
   --member=user:USER_NAME ;

  • Rol de visualizador de registros (roles/logging.viewer). Se necesita un rol adicional. para ver las amenazas recientes, que es una característica fundamental de IDS de Cloud. Para obtener más información sobre este rol, consulta la Guía de control de acceso.

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --role=roles/logging.viewer \
   --member=user:USER_NAME ;

Además, necesitas otros permisos:

  • compute.regions.list
  • compute.zones.list

Configura el acceso privado a servicios

Para crear extremos de IDS, debes habilitar Service Networking y configura el intercambio de tráfico entre redes para la red de nube privada virtual (VPC). Esta solo se debe realizar una vez por proyecto de cliente y se puede hacer usando la consola de Google Cloud o Google Cloud CLI. Cuando asignas un rango de direcciones IP, debe ser un rango de direcciones IP privadas que cumpla con RFC 1918 (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16), o fallará la creación del extremo.

Sigue estos pasos para configurar el acceso privado a los servicios:

  1. Habilita la API de Service Networking con el siguiente comando. Reemplaza PROJECT_ID por el ID del proyecto.

    gcloud services enable servicenetworking.googleapis.com \
 --project=PROJECT_ID

  2. Si aún no asignaste un rango de direcciones IP en tu red, puedes debes asignar un rango de IP para los servicios de Google en tu VPC en cada red. En el siguiente comando, puedes omitir el campo addresses y Google Cloud selecciona un rango de direcciones sin usar en tu VPC red:

    gcloud compute addresses create RESERVED_RANGE_NAME \
  --global \
  --purpose=VPC_PEERING \
  --addresses=192.168.0.0 \
  --prefix-length=16 \
  --description="DESCRIPTION" \
  --network=VPC_NETWORK

    Reemplaza lo siguiente:

    • RESERVED_RANGE_NAME: Es un nombre para el rango asignado. como my-allocated-range

    • DESCRIPTION: Es una descripción para el rango, como allocated for my-service

    • VPC_NETWORK: Es el nombre de tu VPC. red, como my-vpc-network

  3. Crear una conexión privada a un productor de servicios. La conexión privada establece un intercambio de tráfico entre redes de VPC entre tu red de VPC y la productor de servicios en cada red.

    Si ya tienes una conexión privada, usa el Comando gcloud services vpc-peerings update para actualizarlo:

    gcloud services vpc-peerings update \
  --service=servicenetworking.googleapis.com \
  --ranges=RESERVED_RANGE_NAME \
  --network=VPC_NETWORK \
  --project=PROJECT_ID

    Si aún no tienes una conexión privada, usa el Comando gcloud services vpc-peerings connect Este comando inicia una operación de larga duración que muestra un nombre de operación.

    gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --ranges=RESERVED_RANGE_NAME \
  --network=VPC_NETWORK \
  --project=PROJECT_ID

    Reemplaza lo siguiente:

    • RESERVED_RANGE_NAME: Es el nombre de uno o más. rangos asignados

    • VPC_NETWORK: Es el nombre de tu red de VPC.

    • PROJECT_ID: El ID del proyecto que contiene tu red de VPC

    Para comprobar si la operación se realizó correctamente, usa el Comando gcloud services vpc-peerings operations describe:

    gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

    Reemplaza OPERATION_NAME por el nombre de la operación. que se devolvió en el paso anterior.

Repite los pasos 2 y 3 para cada red de VPC que quieras supervisar.

Habilita los Controles del servicio de VPC (opcional)

Una vez habilitado el acceso privado a servicios, puedes habilitar los Controles del servicio de VPC en Cloud IDS. Si está habilitado, ejecuta el comando services vpc-peerings enable-vpc-service-controls. a fin de habilitar los Controles del servicio de VPC para todas tus conexiones de intercambio de tráfico:

gcloud services vpc-peerings enable-vpc-service-controls \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

Reemplaza lo siguiente:

  • VPC_NETWORK es el nombre de tu red de VPC.

  • PROJECT_ID: Es el ID del proyecto que contiene tu red de VPC.

Crea un extremo de IDS de Cloud

Recomendamos que crees un extremo de IDS para cada región en la que las cargas de trabajo implementadas. También puedes crear varios extremos de IDS por región. Usa sigue estos pasos para crear un extremo de IDS y asignarle un servicio de IDS perfil.

Console

  1. En la consola de Google Cloud, ve a Extremos de IDS.

    Ir a Extremos de IDS

Configura el extremo:

  1. Haz clic en Crear extremo.
  2. Ingresa un nombre en el campo Nombre del extremo.
  3. Opcional: Ingresa una descripción en el campo Descripción.
  4. Haz clic en la lista desplegable Red y selecciona la red que deseas quieres que el IDS de Cloud inspeccione.
  5. En Región, elige la región y la zona de tu red o subred. y las listas desplegables Zona.
  6. Haga clic en Continuar.

Selecciona el perfil de servicio del IDS de Cloud:

  1. Haz clic en Seleccionar perfil de servicio de IDS.
  2. En Nivel mínimo de gravedad de amenazas, selecciona el nivel de alerta correcto.
  3. Haz clic en Crear. El proceso de creación puede tardar entre 10 y 15 minutos.

Después de crear el extremo de IDS, adjunta una política de duplicación de paquetes al extremo de IDS:

  1. Selecciona la pestaña Extremos.
  2. Junto al extremo de IDS, haz clic en Adjuntar.
  3. En el campo Nombre de la política, ingresa el nombre de la política de Duplicación de paquetes.
  4. Haz clic en Siguiente.
  5. Elige la subred o las instancias que deseas duplicar. Puedes seleccionar varias subredes y instancias.
  6. Haz clic en Siguiente.
  7. Determina si deseas duplicar todo el tráfico o filtrarlo:
    1. Si deseas duplicar todo el tráfico, asegúrate de que esté seleccionada la opción Duplicar todo el tráfico.
    2. Si quieres filtrar el tráfico según el protocolo, el rango de direcciones IP o para el tráfico de entrada o salida, selecciona Duplicar el tráfico filtrado:
      1. Selecciona Permitir todos los protocolos o Permitir protocolos específicos.
      2. Selecciona Permitir todos los rangos de IP o Permitir rangos de IP específicos.
  8. Haz clic en Enviar. Se crea el extremo.

Ahora puedes verificar si se generaron registros de amenazas. Los siguientes pasos son opcionales:

  1. Haz clic en la pestaña IDS Threats.
  2. Haz clic en el nombre de una amenaza para ver la página Detalles de la amenaza.
  3. Regresa a la pestaña Threats.
  4. Haz clic en el menú que se encuentra a la derecha de tu extremo de IDS y selecciona Ver registros de amenazas.

gcloud

Marcas opcionales

Los comandos de esta sección pueden tener algunas o todas las siguientes marcas opcionales:

--no-async
Espera a que se complete la operación en curso, en lugar de regresar de inmediato.
--filter=EXPRESSION
Aplica un filtro booleano EXPRESIÓN a cada elemento del recurso que se vaya a enumerar. Si la expresión se evalúa como Verdadero, se muestra ese elemento. Para ver más detalles y ejemplos de expresiones de filtro, ejecuta $ gcloud topic filters. Esta marca interactúa con otras marcas que se aplican en este orden: --flatten, --sort-by, --filter, --limit.
--limit=LIMIT
Cantidad máxima de recursos para la lista. El valor predeterminado es ilimitado. Esta marca interactúa con otras marcas que se aplican en este orden: --flatten, --sort-by y --filter --limit
--page-size=PAGE_SIZE
Una lista de recursos de grupos de IDS de Cloud se divide en páginas. Esta marca especifica la cantidad máxima de recursos por página. El servicio determina el valor predeterminado si admite la paginación; de lo contrario, es ilimitado (sin paginación). Paging se puede aplicar antes o después de --filter y --limit según el servicio.
--sort-by=[FIELD,…]
Una lista separada por comas de los nombres de claves de los campos de recursos para ordenar. El orden predeterminado es ascendente. Agrega un prefijo “~” a un campo para obtener el orden descendente en ese campo. Esta marca interactúa con otras que se aplican en este orden: --flatten, --sort-by y --filter --limit
--uri
Imprime una lista de URI de recursos en lugar del resultado predeterminado.
--threat-exceptions
Una lista separada por comas de los IDs de amenazas para excluir de esta alerta extremo. Límite de 99 excepciones por extremo.

Instrucciones

Para crear un extremo de IDS nuevo, sigue estos pasos:

  1. Usa el comando gcloud ids endpoints create. Reemplaza ENDPOINT_NAME, VPC_NETWORK, ZONE y SEVERITY por información que coincida con tu aplicación.

    gcloud ids endpoints create ENDPOINT_NAME \
  --network=VPC_NETWORK \
  --zone=ZONE \
  --severity=SEVERITY \
 [--no-async] \
 [GCLOUD_WIDE_FLAG...]

  2. La marca de gravedad es obligatoria y puede tener uno de los siguientes valores:

    • INFORMACIÓN
    • BAJO
    • MEDIO
    • ALTO
    • CRÍTICO

  3. Después de crear el extremo, adjuntar una política de Duplicación de paquetes que se les asigna. Primero, obtén la URL del campo endpoint_forwarding_rule con el siguiente comando:

    gcloud ids endpoints describe ENDPOINT_NAME

  4. Crea la política de duplicación de paquetes con el siguiente comando:

    gcloud compute packet-mirrorings create POLICY_NAME \
--region=REGION --collector-ilb=ENDPOINT_FORWARDING_RULE \
--network=VPC_NETWORK --mirrored-subnets=SUBNET

  5. La Duplicación de paquetes tiene varias marcas opcionales, incluidas aquellas que puedes usar para filtrar el tráfico según el protocolo, el rango de direcciones IP o el tráfico de salida. Para obtener más información sobre estas marcas opcionales, consulta la referencia de la duplicación de paquetes.

Para borrar un extremo de IDS, usa el comando gcloud ids endpoints delete. Reemplaza ENDPOINT_NAME, PROJECT_ID, y ZONE con información que coincida con tu aplicación:

gcloud ids endpoints delete ENDPOINT_NAME \
   [--project=PROJECT_ID] \
   [--zone=ZONE] \
   [--no-async] \
   [GCLOUD_WIDE_FLAG...]

Para describir un extremo de IDS, usa el comando gcloud ids endpoints describe. Reemplaza ENDPOINT_NAME, PROJECT_ID, y ZONE con información que coincida con tu aplicación:

gcloud ids endpoints describe ENDPOINT_NAME \
   [--project=PROJECT_ID] \
   [--zone=ZONE] \
   [GCLOUD_WIDE_FLAG...]

Para enumerar los extremos de IDS, usa el comando gcloud ids endpoints list:

gcloud ids endpoints list /
    [--filter=EXPRESSION] \
    [--limit=LIMIT] \
    [--page-size=PAGE_SIZE] \
    [--sort-by=[FIELD,...]] \
    [--uri] \
    [GCLOUD_WIDE_FLAG...]

API

Los recursos de extremo de IDS de Cloud tienen los siguientes campos:

Campo Tipo Descripción del campo
createTime string [Solo salida] Marca de tiempo de creación en formato de texto RFC 3339.
updateTime string [Solo salida] Marca de tiempo de la última actualización en formato de texto RFC 3339.
name string [Solo salida] Es el nombre del extremo con el formato projects/{project_id}/locations/{locationId}/endpoints/{endpointId}.
network string Es el nombre de la red de VPC que está conectada al extremo del IDS. Puede contener el nombre de la red de VPC (como "src-net") o la URL completa a la red (como "projects/{project_id}/global/networks/src-net"). Este campo es obligatorio cuando se crea el extremo.
gravedad, string

El nivel mínimo de gravedad de alerta que informa el extremo. Los valores posibles son los siguientes:

  • INFORMACIÓN
  • BAJO
  • MEDIO
  • ALTO
  • CRÍTICO

Este campo es obligatorio cuando se crea el extremo.
descripción string Una descripción opcional del extremo.
endpoint_forwarding_rule string [Solo salida] URL de la dirección de red del extremo a la que se dirige el tráfico se enviará a través de la Duplicación de paquetes.
extremo string [Solo salida] Dirección IP interna del punto de entrada de red del extremo.

Para crear un extremo de IDS de Cloud, usa una solicitud HTTP POST como la siguiente y reemplaza las variables según corresponda. El ENDPOINT_NAME debe tener entre 1 y 63 caracteres. solo debe contener letras minúsculas, dígitos y guiones debe comenzar con una letra minúscula; y no puede terminar con un guion.

POST https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints?endpointId=ENDPOINT_NAME
{
    "network": "NETWORK_NAME",
    "severity": "SEVERITY_LEVEL",
}

Para borrar un extremo de IDS de Cloud, usa una solicitud HTTP DELETE como la siguiente y reemplaza las variables según corresponda:

DELETE https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints?endpointId=ENDPOINT_NAME

Para obtener un extremo de IDS de Cloud, usa una solicitud HTTP GET como la y reemplaza las variables según corresponda:

GET https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints?endpointId=ENDPOINT_NAME

Para enumerar todos los extremos del IDS de Cloud en una zona, usa una solicitud HTTP GET, como lo siguiente y reemplaza las variables según corresponda:

GET https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/ZONE/endpoints

Como alternativa, para enumerar todos los extremos de IDS de Cloud en todas las zonas, puedes reemplazar ZONE por un guion, como en el siguiente ejemplo:

GET https://ids.googleapis.com/v1/projects/PROJECT_NAME/locations/-/endpoints

Opcional: Configura excepciones de amenazas

Puede inhabilitar los ID de amenazas ruidosos o innecesarios mediante el La marca --threat-exceptions cuando creas o actualizas tu IDS de Cloud extremo. En el siguiente ejemplo, se actualiza un extremo de IDS de Cloud existente ENDPOINT_NAME para eximir los IDs de amenaza THREAT_ID1 y THREAT_ID2:

   gcloud ids endpoints update ENDPOINT_NAME 

      --threat-exceptions=THREAT_ID1,THREAT_ID2

¿Qué sigue?