A fin de proporcionar visibilidad para las amenazas e intrusiones detectadas por las instancias de IDS, este redirecciona registros de amenazas y alertas de seguridad a Cloud Logging y a la interfaz de usuario de IDS de Cloud en el proyecto del cliente. Todo esto se realiza en un nivel más profundo, de modo que es sencillo implementar y administrar IDS de Cloud. A continuación, presentamos algunos detalles que debes conocer y considerar cuando implementes IDS de Cloud:
Para comenzar, se crea un extremo de IDS de Cloud (un colector de flujos de conexión) que, en segundo plano, implementa tres máquinas virtuales Palo Alto serie VM con firewall, que se encuentran en un proyecto administrado en Google Cloud.
Durante el proceso de creación del extremo de IDS, se deben especificar la zona y la VPC que se analizarán. Una instancia específica de IDS de Cloud puede inspeccionar el tráfico dentro de una región de una VPC.
El IDS de Cloud aplica semanalmente actualizaciones de Palo Alto Networks y las envía a los extremos existentes de IDS.
Durante la creación del extremo, deberás seleccionar un nivel mínimo de gravedad de alerta, de crítico (menos detallado) a informativo (más detallado).
Para redireccionar tráfico al IDS, deberás crear y adjuntar en el extremo una política de duplicación de paquetes.
Cuando crees la política de duplicación de paquetes para adjuntar en IDS de Cloud, tendrás tres opciones para seleccionar las fuentes duplicadas: subredes, etiquetas e instancias individuales.
Subredes: Son útiles cuando se debe analizar cada instancia de una subred. Una política puede contener hasta 5 subredes.
Etiquetas: Son útiles cuando se deben analizar grupos de instancias de una subred o varias. Una política puede contener hasta 5 etiquetas.
Instancias individuales: Utilízalas solo cuando se deban analizar instancias muy específicas. Se permiten 50 instancias por política.
Ahora que te familiarizaste con algunas de las características y los pasos que se deben seguir para crear un IDS de Cloud, veamos algunos puntos claves que te pueden ayudar a aprovechar al máximo la implementación.
Utiliza las fuentes y los filtros duplicados adecuados para la duplicación de paquetes a fin de controlar e inspeccionar mejor el tráfico
Dentro de una política de duplicación de paquetes, hay una opción para filtrar el tráfico. Es importante comprender que un filtro basado en IP interpreta que el rango de direcciones especificado es la subred remota. Es decir, para el tráfico de entrada, el rango de direcciones del filtro sería la red de origen, mientras que para el tráfico de salida, sería la de destino. No uses filtros basados en IP en tus políticas de duplicación de paquetes si no se conoce la red remota, como en el caso del tráfico general basado en Internet. Si los usas, recuerda que puedes evitar que la política de duplicación de paquetes envíe tráfico al IDS, lo que aumenta las oportunidades de que se generen falsos negativos. Además, si vas a usar filtros, asegúrate de recordar el orden de los filtros para la duplicación de paquetes. Si configuras incorrectamente la estrategia de filtrado, puedes duplicar el tráfico y enviarlo fuera de tu IDS de Cloud. Por último, debes capturar siempre el tráfico bidireccional en la opción Dirección del tráfico.
No obstante, en algunos casos de uso los filtros pueden ser bastante útiles. Por ejemplo, si deseas tener diferentes niveles de gravedad de alerta para redes remotas de confianza y no confiables. En este caso, puedes crear dos extremos de IDS con las mismas fuentes duplicadas, pero diferentes filtros y “Gravedad mínima de alerta”. Esta configuración redirecciona el tráfico de red remota más confiable al extremo de IDS que tiene un nivel de gravedad de alerta más moderado, mientras que el tráfico general de Internet se envía al extremo de IDS que tiene una alerta más detallada.