IDS de Cloud es un servicio de detección de intrusiones que proporciona la detección de amenazas de intrusiones, software malicioso, software espía y ataques de comando y control en tu red. El IDS de Cloud crea una red con intercambio de tráfico administrada por Google con instancias de máquina virtual (VM) duplicadas. El tráfico en la red de intercambio de tráfico se duplica y, luego, se inspecciona con las tecnologías de protección contra amenazas de Palo Alto Networks para proporcionar una detección avanzada de amenazas. Puedes duplicar todo el tráfico o el tráfico filtrado según el protocolo, el rango de direcciones IP o la entrada y la salida.
IDS de Cloud proporciona visibilidad completa del tráfico de red, incluido el tráfico de norte a sur y de este a oeste, lo que te permite supervisar la comunicación de VM a VM para detectar movimientos laterales. Esto proporciona un motor de inspección que inspecciona el tráfico dentro de la subred.
También puedes usar el IDS de Cloud para cumplir con los requisitos avanzados de detección y cumplimiento de amenazas, incluidos PCI 11.4 y la HIPAA.
El IDS de Cloud está sujeto al Anexo de Procesamiento de Datos de Cloud de Google Cloud.
El IDS de Cloud detecta amenazas y alerta sobre ellas, pero no toma medidas para evitar ataques o reparar daños. Para tomar medidas sobre las amenazas que detecta el IDS de Cloud, puedes usar productos como Google Cloud Armor.
En las siguientes secciones, se proporcionan detalles sobre los extremos de IDS y la detección avanzada de amenazas.
Extremos de IDS
IDS de Cloud usa un recurso conocido como extremo de IDS, un recurso zonal que puede inspeccionar el tráfico desde cualquier zona de su región. Cada extremo de IDS recibe tráfico duplicado y realiza un análisis de detección de amenazas.
El acceso privado a servicios es una conexión privada entre tu red de nube privada virtual (VPC) y una red que pertenece a Google o terceros. En el caso del IDS de Cloud, la conexión privada conecta tus VM a las VMs con intercambio de tráfico administradas por Google. Para los extremos de IDS en la misma red de VPC, se vuelve a usar la misma conexión privada, pero se asigna una nueva subred a cada extremo. Si necesitas agregar rangos de direcciones IP a una conexión privada existente, debes modificar la conexión.
Puedes usar IDS de Cloud para crear un extremo de IDS en cada región que desees supervisar. Puedes crear múltiples extremos de IDS para cada región. Cada extremo de IDS tiene una capacidad de inspección máxima de 5 Gbps. Si bien cada extremo de IDS puede manejar picos de tráfico anómalos de hasta 17 Gbps, recomendamos configurar un extremo de IDS por cada 5 Gbps de capacidad de procesamiento que experimenta tu red.
Políticas de duplicación de paquetes
El IDS de Cloud usa la duplicación de paquetes de Google Cloud, que crea una copia del tráfico de red. Después de crear un extremo de IDS, debes adjuntarle una o más políticas de duplicación de paquetes. Estas políticas envían el tráfico duplicado a un único extremo de IDS para que lo inspeccione. La lógica de duplicación de paquetes envía todo el tráfico de las VM individuales a las VM de IDS administradas por Google: por ejemplo, todo el tráfico duplicado de VM1 y VM2 siempre se envía a IDS-VM1.
Detección avanzada de amenazas
Las funciones de detección de amenazas del IDS de Cloud cuentan con las siguientes tecnologías de prevención de amenazas de Palo Alto Networks.
ID de aplicación
El ID de aplicación (App-ID) de Palo Alto Networks proporciona visibilidad sobre las aplicaciones que se ejecutan en tu red. App-ID usa varias técnicas de identificación para determinar la identidad de las aplicaciones que atraviesan la red, sin importar el puerto, el protocolo, la táctica evasiva ni la encriptación. App-ID identifica la aplicación y te proporciona conocimiento para ayudarte a protegerla.
La lista de App-ID se expande semanalmente, y, por lo general, se agregan de tres a cinco aplicaciones nuevas en función de los comentarios de los clientes, los socios y las tendencias del mercado. Después de que se desarrolla y prueba un nuevo ID de app, se agrega automáticamente a la lista como parte de las actualizaciones de contenido diarias.
Puedes ver la información de la aplicación en la página Amenazas del IDS en la consola de Google Cloud.
Conjunto de firmas predeterminado
El IDS de Cloud proporciona un conjunto predeterminado de firmas de amenazas que puedes usar de inmediato para proteger tu red de amenazas. En la consola de Google Cloud, este conjunto de firmas se denomina perfil de servicio del IDS de Cloud. Para personalizar este conjunto, elige el nivel de gravedad mínimo de las alertas. Las firmas se usan para detectar vulnerabilidades y software espía.
Las firmas de detección de vulnerabilidades detectan intentos de explotación de fallas del sistema o de acceso no autorizado a estos. Mientras que las firmas de software antiespía ayudan a identificar los hosts infectados cuando el tráfico sale de la red, las firmas de detección de vulnerabilidades protegen contra las amenazas que ingresan a la red.
Por ejemplo, las firmas de detección de vulnerabilidades ayudan a protegerte contra desbordamientos de búfer, ejecución de código ilegal y otros intentos de aprovecharse de las vulnerabilidades del sistema. Las firmas de detección de vulnerabilidades predeterminadas proporcionan detección para clientes y servidores de todas las amenazas críticas, de gravedad alta y media conocidas.
Las firmas de software espía se usan para detectar software espía en hosts vulnerados. Este software espía podría intentar comunicarse con servidores externos de comando y control (C2). Cuando el IDS de Cloud detecta tráfico malicioso que sale de la red desde hosts infectados, genera una alerta que se guarda en el registro de amenazas y se muestra en la consola de Google Cloud.
Niveles de gravedad de amenazas
La gravedad de una firma indica el riesgo del evento detectado, y el IDS de Cloud genera alertas para el tráfico coincidente. Puedes elegir el nivel de gravedad mínimo en el conjunto de firmas predeterminado. En la siguiente tabla, se resumen los niveles de gravedad de las amenazas.
| Gravedad | Descripción |
|---|---|
| Crítica | Las amenazas graves, como las que afectan las instalaciones predeterminadas de software ampliamente implementado, dan como resultado el compromiso de las raíces de los servidores y cuando el código de explotación está ampliamente disponible para los atacantes. Por lo general, el atacante no necesita credenciales de autenticación ni conocimientos especiales sobre las víctimas individuales, y no es necesario manipular el objetivo para que realice funciones especiales. |
| Alta | Las amenazas que pueden volverse críticas, pero con factores mitigadores, por ejemplo, pueden ser difíciles de aprovechar, no derivan en privilegios elevados o no tienen un grupo grande de víctimas. |
| Media | Amenazas menores en las que se minimice el impacto y que no comprometan el objetivo, o exploits que requieran que un atacante resida en la misma red local que la víctima, afecten solo configuraciones no estándar, aplicaciones ocultas o proporcionen acceso muy limitado. |
| Bajo | Amenazas a nivel de advertencia que tienen muy poco impacto en la infraestructura de una organización. Por lo general, requieren acceso local o físico al sistema y, a menudo, pueden generar problemas de privacidad de las víctimas y filtración de información. |
| Información | Eventos sospechosos que no representan una amenaza inmediata, pero que se informan para llamar la atención sobre problemas más profundos que podrían existir. |
Excepciones de amenazas
Si decides que el IDS de Cloud genera alertas sobre más amenazas de las necesarias, puedes inhabilitar los IDs de amenazas ruidosos o innecesarios mediante la marca --threat-exceptions. Puedes encontrar los IDs de las amenazas existentes que detecta el IDS de Cloud en tus registros de amenazas. Tienes un límite de 99 excepciones por extremo de IDS.
Frecuencia de actualización del contenido
El IDS de Cloud actualiza de forma automática todas las firmas sin la intervención de los usuarios, lo que permite que los usuarios se enfoquen en analizar y resolver las amenazas sin administrar ni actualizar las firmas. Las actualizaciones de contenido incluyen el Application-ID y las firmas de amenazas, incluidas las firmas de vulnerabilidad y software antiespía.
El IDS de Cloud recoge las actualizaciones de Palo Alto Networks a diario y las envía a todos los extremos de IDS existentes. Se estima que la latencia de actualización máxima es de hasta 48 horas.
Logging
Varias funciones del IDS de Cloud generan alertas, que se envían al registro de amenazas. Para obtener más información sobre el registro, consulta Registro del IDS de Cloud.
¿Qué sigue?
- Para configurar el IDS de Cloud, consulta Cómo configurar el IDS de Cloud.