O Cloud IDS é um serviço que detecta ameaças de intrusões, malware, spyware e ataques de comando e controle na rede. Cloud IDS cria uma rede em peering gerenciada pelo Google com instâncias de máquina virtual (VM) espelhada. O tráfego na rede com peering é espelhado e depois inspecionado pelas tecnologias de proteção contra ameaças da Palo Alto Networks para detecção avançada de ameaças. É possível espelhar todo o tráfego ou o tráfego filtrado com base no protocolo, intervalo de endereços IP ou entrada e saída.
O Cloud IDS oferece total visibilidade do tráfego de rede, incluindo norte-sul e leste-oeste, permitindo que você monitore a comunicação entre VMs para detectar movimento lateral. Isso fornece um mecanismo de inspeção que inspeciona o tráfego dentro da sub-rede.
Também é possível usar o Cloud IDS para atender aos requisitos avançados de detecção e conformidade de ameaças, incluindo PCI 11.4 e HIPAA.
O Cloud IDS está sujeito ao Adendo sobre processamento de dados do Cloud do Google Cloud.
O Cloud IDS detecta e alerta ameaças, mas não toma medidas para evitar ataques ou reparar danos. Para tomar medidas contra as ameaças que o Cloud IDS detecta, use produtos como o Google Cloud Armor.
As seções a seguir fornecem detalhes sobre endpoints do SDI e a detecção avançada de ameaças.
Endpoints IDS
Cloud IDS usa um recurso zonal chamado endpoint do IDS, que pode inspecionar o tráfego de qualquer zona na região. Cada endpoint do IDS recebe tráfego espelhado e realiza análise de detecção de ameaças.
O acesso a serviços privados é uma conexão privada entre sua rede de nuvem privada virtual (VPC) e uma rede de propriedade do Google ou de terceiros. No caso do Cloud IDS, a conexão particular conecta suas VMs às VMs com peering gerenciadas pelo Google. Para endpoints IDS na mesma rede VPC, a mesma conexão particular é reutilizada, mas uma nova sub-rede é atribuída a cada endpoint. Se você precisar adicionar intervalos de endereços IP a uma conexão particular, modifique a conexão.
É possível usar o Cloud IDS para criar um endpoint do SDI em cada região que você quer monitorar. É possível criar vários endpoints do SDI para cada região. Cada endpoint do IDS tem uma capacidade máxima de inspeção de 5 Gbps. Embora cada endpoint do SDI possa lidar com picos de tráfego anômalo de até 17 Gbps, recomendamos que você configure um endpoint SDI para cada 5 Gbps de capacidade de processamento de sua rede.
Políticas de espelhamento de pacote
O Cloud IDS usa o recurso Espelhamento de pacotes do Google Cloud, que cria uma cópia do tráfego de rede. Depois de criar um endpoint do SDI, é preciso anexar uma ou mais políticas de espelhamento de pacotes a ele. Essas políticas enviam o tráfego espelhado a um único endpoint do SDI para inspeção. A lógica de espelhamento de pacotes envia todo o tráfego de VMs individuais para VMs do IDS gerenciadas pelo Google. Por exemplo, todo o tráfego espelhado de VM1
e VM2
é sempre enviado para IDS-VM1
.
Detecção avançada de ameaças
Os recursos de detecção de ameaças do Cloud IDS usam as seguintes tecnologias de prevenção de ameaças da Palo Alto Networks.
ID do aplicativo
O ID do aplicativo (App-ID) da Palo Alto Networks fornece visibilidade dos aplicativos em execução na sua rede. O ID do app usa várias técnicas de identificação para determinar a identidade dos aplicativos que passam pela rede, independente de porta, protocolo, tática evasiva ou criptografia. O ID do app identifica o aplicativo, fornecendo o conhecimento para ajudar a protegê-lo.
A lista de IDs de apps é ampliada semanalmente, com três a cinco novos aplicativos normalmente adicionados com base nas informações de clientes, parceiros e tendências de mercado. Depois que um novo ID do app é desenvolvido e testado, ele é adicionado automaticamente à lista como parte das atualizações diárias de conteúdo.
É possível visualizar as informações do aplicativo na página Ameaças do IDS no console do Google Cloud.
Conjunto padrão de assinaturas
O Cloud IDS fornece um conjunto padrão de assinaturas de ameaças que pode ser usado imediatamente para proteger sua rede contra ameaças. No console do Google Cloud, esse conjunto de assinaturas é chamado de perfil de serviço do Cloud IDS. É possível personalizar esse conjunto escolhendo o nível mínimo de gravidade do alerta. As assinaturas são usadas para detectar vulnerabilidades e spyware.
As assinaturas de detecção de vulnerabilidades detectam tentativas de explorar falhas do sistema ou ter acesso não autorizado a eles. Enquanto as assinaturas antispyware ajudam a identificar hosts infectados quando o tráfego sai da rede, as assinaturas de detecção de vulnerabilidades protegem contra ameaças que entrem na rede.
Por exemplo, assinaturas de detecção de vulnerabilidades ajudam a proteger contra estouro de buffer, execução de código ilegal e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas padrão de detecção de vulnerabilidades fornecem detecção a clientes e servidores de todas as ameaças críticas, altas e médias conhecidas.
As assinaturas antispyware são usadas para detectar spyware em hosts comprometidos. Esse spyware pode tentar entrar em contato com servidores externos de comando e controle (C2, na sigla em inglês). Quando o Cloud IDS detecta tráfego malicioso que sai da rede por hosts infectados, ele gera um alerta que é salvo no registro de ameaças e mostrado no console do Google Cloud.
Níveis de gravidade de ameaças
A gravidade de uma assinatura indica o risco do evento detectado, e o Cloud IDS gera alertas para o tráfego correspondente. Você pode escolher o nível de gravidade mínimo no conjunto de assinaturas padrão. A tabela a seguir resumo dos níveis de gravidade das ameaças.
Gravidade | Descrição |
---|---|
Crítica | Ameaças graves, como aquelas que afetam instalações padrão de software amplamente implantado, resultam em comprometimento raiz dos servidores e em que o código de exploração está amplamente disponível para invasores. O invasor geralmente não precisa de credenciais de autenticação especiais ou de conhecimento sobre as vítimas individuais, e o alvo não precisa ser manipulado para executar nenhuma função especial. |
Alta | Ameaças que têm a capacidade de se tornar críticas, mas têm fatores de mitigação. Por exemplo, podem ser difíceis de explorar, não resultam em privilégios elevados ou não têm um grande conjunto de vítimas. |
Média | Ameaças menores em que o impacto é minimizado que não comprometam o alvo, ou explorações que exigem que o invasor resida na mesma rede local que a vítima, afetam apenas configurações não padrão, aplicativos ocultos ou fornecem acesso muito limitado. |
Baixo | Ameaças de alerta com pouco impacto na infraestrutura de uma organização. Elas geralmente exigem acesso ao sistema local ou físico e podem resultar em problemas de privacidade para as vítimas e vazamento de informações. |
Informativa | Eventos suspeitos que não representam uma ameaça imediata, mas são reportados para chamar a atenção para problemas mais profundos que podem existir. |
Exceções de ameaças
Se você decidir que o Cloud IDS gera alertas sobre mais ameaças do que o necessário,
será possível desativar IDs de ameaças com ruído ou desnecessários usando a
flag --threat-exceptions
. É possível encontrar os IDs de ameaças atuais
detectadas pelo Cloud IDS nos registros de ameaças. Há um limite de 99
exceções por endpoint do SDI.
Frequência de atualização do conteúdo
O Cloud IDS atualiza automaticamente todas as assinaturas sem qualquer intervenção do usuário, permitindo que os usuários se concentrem na análise e resolução de ameaças sem gerenciar ou atualizar assinaturas. As atualizações de conteúdo incluem o ID do aplicativo e assinaturas de ameaças, como assinaturas de vulnerabilidade e antispyware.
As atualizações da Palo Alto Networks são coletadas diariamente pelo Cloud IDS e enviadas para todos os endpoints SDI atuais. A latência máxima de atualização é estimada em até 48 horas.
Geração de registros
Vários recursos do Cloud IDS geram alertas, que são enviados ao registro de ameaças. Para mais informações sobre a geração de registros, consulte Geração de registros do Cloud IDS.
A seguir
- Para configurar o Cloud IDS, consulte Configurar o Cloud IDS.