Cloud IDS ist ein Einbruchserkennungsdienst, der Bedrohungserkennung bei Einbrüchen, Malware, Spyware und Command-and-Control-Angriffen in Ihrem Netzwerk bietet. Cloud IDS erstellt ein von Google verwaltetes Peering-Netzwerk mit gespiegelten VM-Instanzen. Der Traffic im Peering-Netzwerk wird gespiegelt und dann von Palo Alto Networks-Technologien zum Schutz vor Bedrohungen überprüft, um eine erweiterte Bedrohungserkennung zu ermöglichen. Sie können den gesamten Traffic oder gefilterten Traffic anhand des Protokolls, des IP-Adressbereichs oder des ein- und ausgehenden Traffics spiegeln.
Cloud IDS bietet vollständigen Einblick in den Netzwerktraffic, einschließlich Nord-Süd- und Ost-West-Traffic, sodass Sie die VM-zu-VM-Kommunikation zur Erkennung von seitlichen Bewegungen überwachen können. Dadurch erhalten Sie eine Inspektions-Engine, die den Subnetz-internen Traffic prüft.
Sie können Cloud IDS auch verwenden, um Ihre Anforderungen an die erweiterte Bedrohungserkennung und Compliance zu erfüllen, einschließlich PCI 11.4 und HIPAA.
Cloud IDS unterliegt dem Zusatz zur Verarbeitung von Cloud-Daten von Google Cloud.
Cloud IDS erkennt Bedrohungen und warnt davor, ergreift jedoch keine Maßnahmen, um Angriffe zu verhindern oder Schäden zu reparieren. Mit Produkten wie Google Cloud Armor können Sie auf von Cloud IDS erkannte Bedrohungen reagieren.
Die folgenden Abschnitte enthalten Details zu IDS-Endpunkten und zur erweiterten Bedrohungserkennung.
IDS-Endpunkte
Cloud IDS verwendet eine Ressource, die als IDS-Endpunkt bezeichnet wird. Dies ist eine zonale Ressource, die Traffic aus jeder Zone in ihrer Region prüfen kann. Jeder IDS-Endpunkt empfängt gespiegelten Traffic und führt eine Analyse zur Bedrohungserkennung durch.
Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem VPC-Netzwerk (Virtual Private Cloud) und einem Netzwerk von Google oder einem Dritten. Bei Cloud IDS verbindet die private Verbindung Ihre VMs mit den von Google verwalteten Peering-VMs. Für IDS-Endpunkte im selben VPC-Netzwerk wird dieselbe private Verbindung wiederverwendet, aber jedem Endpunkt wird ein neues Subnetz zugewiesen. Wenn Sie einer vorhandenen privaten Verbindung IP-Adressbereiche hinzufügen müssen, müssen Sie die Verbindung ändern.
Sie können mit Cloud IDS in jeder Region, die Sie überwachen möchten, einen IDS-Endpunkt erstellen. Sie können mehrere IDS-Endpunkte für jede Region erstellen. Jeder IDS-Endpunkt hat eine maximale Prüfkapazität von 5 Gbit/s. Jeder IDS-Endpunkt kann anomale Trafficspitzen von bis zu 17 Gbit/s verarbeiten. Wir empfehlen jedoch, für jeden Durchsatz von 5 Gbit/s in Ihrem Netzwerk einen IDS-Endpunkt zu konfigurieren.
Richtlinien für die Paketspiegelung
Cloud IDS verwendet die Google Cloud-Paketspiegelung, bei der eine Kopie Ihres Netzwerktraffics erstellt wird. Nachdem Sie einen IDS-Endpunkt erstellt haben, müssen Sie eine oder mehrere Paketspiegelungsrichtlinien daran anhängen. Diese Richtlinien senden gespiegelten Traffic zur Prüfung an einen einzelnen IDS-Endpunkt. Die Paketspiegelungslogik sendet den gesamten Traffic von einzelnen VMs an von Google verwaltete IDS-VMs. So wird beispielsweise der gesamte von VM1 und VM2 gespiegelte Traffic immer an IDS-VM1 gesendet.
Erweiterte Bedrohungserkennung
Die Bedrohungserkennung von Cloud IDS basiert auf den folgenden Technologien zum Schutz vor Bedrohungen von Palo Alto Networks.
Anwendungs-ID
Die Anwendungs-ID (App-ID) von Palo Alto Networks bietet Einblick in die in Ihrem Netzwerk ausgeführten Anwendungen. Die App-ID verwendet mehrere Identifizierungsmethoden, um die Identität von Anwendungen zu ermitteln, die Ihr Netzwerk durchlaufen, unabhängig von Port, Protokoll, Ausweichtaktik oder Verschlüsselung. Die App-ID identifiziert die Anwendung und gibt Ihnen Informationen zum Schutz Ihrer Anwendung.
Die Liste der App-IDs wird wöchentlich um drei bis fünf neue Anwendungen erweitert, die in der Regel auf Grundlage der Eingaben von Kunden, Partnern und Markttrends hinzugefügt werden. Nachdem eine neue App-ID entwickelt und getestet wurde, wird sie im Rahmen der täglichen Inhaltsaktualisierungen automatisch der Liste hinzugefügt.
Anwendungsinformationen können Sie in der Google Cloud Console auf der Seite IDS-Bedrohungen einsehen.
Standardsignatursatz
Cloud IDS bietet einen Standardsatz von Bedrohungssignaturen, mit denen Sie Ihr Netzwerk sofort vor Bedrohungen schützen können. In der Google Cloud Console wird dieser Signatursatz als Cloud IDS-Dienstprofil bezeichnet. Sie können diese Gruppe anpassen, indem Sie den minimalen Schweregrad von Benachrichtigungen auswählen. Die Signaturen werden verwendet, um Sicherheitslücken und Spyware zu erkennen.
Signaturen zur Erkennung von Sicherheitslücken erkennen Versuche, Systemfehler auszunutzen oder sich unbefugten Zugriff auf Systeme zu verschaffen. Während Anti-Spyware-Signaturen infizierte Hosts erkennen, wenn Traffic das Netzwerk verlässt, schützen Signaturen zur Erkennung von Sicherheitslücken vor Bedrohungen, die in das Netzwerk eindringen.
Signaturen zur Erkennung von Sicherheitslücken schützen beispielsweise vor Pufferüberläufen, illegaler Codeausführung und anderen Versuchen, Sicherheitslücken auszunutzen. Die Standardsignaturen zur Erkennung von Sicherheitslücken bieten Clients und Servern die Möglichkeit, alle bekannten Bedrohungen mit kritischem, hohem und mittlerem Schweregrad zu erkennen.
Anti-Spyware-Signaturen werden verwendet, um Spyware auf gehackten Hosts zu erkennen. Diese Spyware kann versuchen, externe C2-Server (Command-and-Control) zu kontaktieren. Wenn Cloud IDS bösartigen Traffic erkennt, der Ihr Netzwerk von infizierten Hosts verlässt, wird eine Benachrichtigung generiert, die im Bedrohungslog gespeichert und in der Google Cloud Console angezeigt wird.
Bedrohungsschweregrade
Der Schweregrad einer Signatur gibt das Risiko des erkannten Ereignisses an und Cloud IDS generiert Benachrichtigungen für übereinstimmenden Traffic. Sie können die minimale Wichtigkeitsstufe im Standardsignatursatz auswählen. In der folgenden Tabelle sind die Schweregrade der Bedrohungen zusammengefasst.
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Erhebliche Bedrohungen, z. B. solche, die sich auf die Standardinstallationen weit verbreiteter Software auswirken, führen zu einer Manipulation der Root-Server, auf denen der Exploit-Code weithin für Angreifer verfügbar ist. Der Angreifer benötigt in der Regel keine speziellen Anmeldedaten zur Authentifizierung oder kein Wissen über die einzelnen Opfer und das Ziel muss nicht so manipuliert werden, dass es spezielle Funktionen ausführt. |
| Hoch | Bedrohungen, die kritisch werden können, aber abschwächende Faktoren haben, z. B. sind sie möglicherweise schwer auszunutzen, führen nicht zu erhöhten Berechtigungen oder haben keinen großen Opferpool. |
| Mittel | Geringfügige Bedrohungen, bei denen Auswirkungen minimiert werden, die das Ziel nicht gefährden, oder Exploits, bei denen sich ein Angreifer im selben lokalen Netzwerk wie das Opfer befinden muss, nur nicht standardmäßige Konfigurationen betreffen, Anwendungen verdecken oder einen sehr eingeschränkten Zugriff ermöglichen. |
| Niedrig | Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben. Sie erfordern in der Regel einen lokalen oder physischen Systemzugriff und können häufig zu Datenschutzproblemen und Datenlecks führen. |
| Informationell | Verdächtige Ereignisse, die keine unmittelbare Bedrohung darstellen, aber gemeldet werden, um auf tiefergehende Probleme aufmerksam zu machen, die möglicherweise bestehen könnten. |
Bedrohungsausnahmen
Wenn Sie entscheiden, dass Cloud IDS zu mehr Bedrohungen als erforderlich Benachrichtigungen generiert, können Sie verrauschte oder anderweitig unnötige Bedrohungs-IDs mit dem Flag --threat-exceptions deaktivieren. Die Bedrohungs-IDs vorhandener Bedrohungen, die von Cloud IDS erkannt wurden, finden Sie in Ihren Bedrohungslogs. Pro IDS-Endpunkt sind maximal 99 Ausnahmen zulässig.
Häufigkeit von Inhaltsupdates
Cloud IDS aktualisiert automatisch alle Signaturen ohne Eingriff des Nutzers, sodass sich die Nutzer auf die Analyse und Behebung von Bedrohungen konzentrieren können, ohne Signaturen verwalten oder aktualisieren zu müssen. Zu den Inhaltsaktualisierungen gehören Application-ID- und Bedrohungssignaturen, einschließlich Signaturen für Sicherheitslücken und Anti-Spyware.
Updates von Palo Alto Networks werden täglich von Cloud IDS abgerufen und an alle vorhandenen IDS-Endpunkte übertragen. Die maximale Updatelatenz beträgt bis zu 48 Stunden.
Logging
Mehrere Features von Cloud IDS generieren Benachrichtigungen, die an das Bedrohungslog gesendet werden. Weitere Informationen zum Logging finden Sie unter Cloud IDS-Logging.
Beschränkungen
- Wenn Sie Cloud Next Generation Firewall L7-Inspektionsrichtlinien und Cloud IDS-Endpunktrichtlinien verwenden, achten Sie darauf, dass die Richtlinien nicht für denselben Traffic gelten. Wenn sich die Richtlinien überschneiden, hat die L7-Prüfungsrichtlinie Vorrang und der Traffic wird nicht gespiegelt.
Nächste Schritte
- Informationen zum Einrichten von Cloud IDS finden Sie unter Cloud IDS konfigurieren.