Cloud IDS adalah layanan deteksi penyusupan yang menyediakan deteksi ancaman untuk intrusi, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda. Cloud IDS berfungsi dengan membuat jaringan peer yang dikelola Google dengan instance virtual machine (VM) yang diduplikasi. Traffic di jaringan peering akan dicerminkan, lalu diperiksa oleh teknologi perlindungan terhadap ancaman Palo Alto Networks untuk memberikan deteksi ancaman lanjutan. Anda dapat menduplikasi semua traffic, atau menduplikasi traffic yang difilter berdasarkan protokol, rentang alamat IP, atau traffic masuk dan keluar.
Cloud IDS memberikan visibilitas penuh ke traffic jaringan, termasuk traffic utara-selatan dan timur-barat, sehingga Anda dapat memantau komunikasi VM-ke-VM untuk mendeteksi pergerakan lateral. Hal ini menyediakan mesin inspeksi yang memeriksa traffic intra-subnet.
Anda juga dapat menggunakan Cloud IDS untuk memenuhi persyaratan kepatuhan dan deteksi ancaman lanjutan, termasuk PCI 11.4 dan HIPAA.
Cloud IDS tunduk pada Adendum Pemrosesan Data Cloud Google Cloud.
Cloud IDS mendeteksi dan memberikan peringatan tentang ancaman, tetapi tidak mengambil tindakan untuk mencegah serangan atau memperbaiki kerusakan. Untuk mengambil tindakan terhadap ancaman yang terdeteksi oleh Cloud IDS, Anda dapat menggunakan produk seperti Google Cloud Armor.
Bagian berikut memberikan detail tentang endpoint IDS dan deteksi ancaman lanjutan.
Endpoint IDS
Cloud IDS menggunakan resource yang dikenal sebagai endpoint IDS, resource zonaonal yang dapat memeriksa traffic dari zona mana pun di region-nya. Setiap endpoint IDS menerima traffic yang dicerminkan dan melakukan analisis deteksi ancaman.
Akses layanan pribadi adalah koneksi pribadi antara jaringan Virtual Private Cloud (VPC) Anda dan jaringan yang dimiliki oleh Google atau pihak ketiga. Untuk Cloud IDS, koneksi pribadi menghubungkan VM Anda ke VM peer yang dikelola Google. Untuk endpoint IDS di jaringan VPC yang sama, koneksi pribadi yang sama akan digunakan kembali, tetapi subnet baru ditetapkan untuk setiap endpoint. Jika perlu menambahkan rentang alamat IP ke koneksi pribadi yang ada, Anda harus mengubah koneksi.
Anda dapat menggunakan Cloud IDS untuk membuat endpoint IDS di setiap wilayah yang ingin dipantau. Anda dapat membuat beberapa endpoint IDS untuk setiap region. Setiap endpoint IDS memiliki kapasitas pemeriksaan maksimum 5 Gbps. Meskipun setiap endpoint IDS dapat menangani lonjakan traffic yang tidak normal hingga 17 Gbps, sebaiknya konfigurasi satu endpoint IDS untuk setiap throughput 5 Gbps yang dialami jaringan Anda.
Kebijakan duplikasi paket
Cloud IDS menggunakan Duplikasi Paket Google Cloud, yang membuat
salinan traffic jaringan Anda. Setelah membuat endpoint IDS, Anda harus melampirkan satu atau beberapa kebijakan duplikasi paket ke endpoint tersebut. Kebijakan ini mengirim traffic yang dicerminkan ke satu endpoint IDS untuk diperiksa. Logika duplikasi paket mengirim semua
traffic dari setiap VM ke VM IDS yang dikelola Google: misalnya,
semua traffic yang diduplikasi dari VM1 dan VM2 selalu dikirim ke IDS-VM1.
Deteksi ancaman lanjutan
Kemampuan deteksi ancaman Cloud IDS didukung oleh teknologi pencegahan ancaman Palo Alto Networks berikut.
Application-ID
ID Aplikasi (App-ID) Palo Alto Networks memberikan visibilitas ke aplikasi yang berjalan di jaringan Anda. App-ID menggunakan beberapa teknik identifikasi untuk menentukan identitas aplikasi yang melintasi jaringan Anda, terlepas dari port, protokol, taktik mengelak, atau enkripsi. ID Aplikasi mengidentifikasi aplikasi, sehingga memberi Anda pengetahuan untuk membantu mengamankan aplikasi.
Daftar App-ID diperluas setiap minggu, dengan tiga hingga lima aplikasi baru biasanya ditambahkan berdasarkan input dari pelanggan, partner, dan tren pasar. Setelah dikembangkan dan diuji, App-ID baru akan otomatis ditambahkan ke daftar sebagai bagian dari update konten harian.
Anda dapat melihat informasi aplikasi di halaman IDS Threats di konsol Google Cloud.
Tanda tangan default ditetapkan
Cloud IDS menyediakan kumpulan default tanda tangan ancaman yang dapat langsung Anda gunakan untuk melindungi jaringan dari ancaman. Di konsol Google Cloud, kumpulan tanda tangan ini disebut profil layanan Cloud IDS. Anda dapat menyesuaikan kumpulan ini dengan memilih tingkat keparahan notifikasi minimum. Tanda tangan digunakan untuk mendeteksi kerentanan dan spyware.
Signature deteksi kerentanan mendeteksi upaya untuk mengeksploitasi kelemahan sistem atau mendapatkan akses tidak sah ke sistem. Meskipun tanda tangan anti-spyware membantu mengidentifikasi host yang terinfeksi saat traffic keluar dari jaringan, tanda tangan deteksi kerentanan melindungi dari ancaman yang masuk ke jaringan.
Misalnya, tanda tangan deteksi kerentanan membantu melindungi dari overflow buffering, eksekusi kode ilegal, dan upaya lainnya untuk mengeksploitasi kerentanan sistem. Tanda tangan deteksi kerentanan default memberikan deteksi untuk klien dan server dari semua ancaman tingkat keparahan kritis, tinggi, dan sedang yang diketahui.
Tanda tangan anti-spyware digunakan untuk mendeteksi spyware di host yang disusupi. Spyware tersebut mungkin mencoba menghubungi server command-and-control (C2) eksternal. Saat mendeteksi traffic berbahaya yang keluar dari jaringan Anda dari host yang terinfeksi, Cloud IDS akan menghasilkan pemberitahuan yang disimpan dalam log ancaman dan ditampilkan di konsol Google Cloud.
Tingkat keparahan ancaman
Tingkat keparahan tanda tangan menunjukkan risiko peristiwa yang terdeteksi, dan Cloud IDS menghasilkan pemberitahuan untuk traffic yang cocok. Anda dapat memilih tingkat keparahan minimum dalam kumpulan tanda tangan default. Tabel berikut merangkum tingkat keparahan ancaman.
| Keparahan | Deskripsi |
|---|---|
| Kritis | Ancaman serius, seperti yang memengaruhi penginstalan default software yang di-deploy secara luas, mengakibatkan server disusupi root, dan kode eksploitasi tersedia secara luas bagi penyerang. Penyerang biasanya tidak memerlukan kredensial autentikasi atau pengetahuan khusus tentang setiap korban, dan target tidak perlu dimanipulasi agar melakukan fungsi khusus. |
| Tinggi | Ancaman yang memiliki kemampuan untuk menjadi kritis, tetapi ada faktor mitigasi—misalnya, ancaman tersebut mungkin sulit dieksploitasi, tidak menghasilkan hak istimewa yang ditingkatkan, atau tidak memiliki kumpulan korban yang besar. |
| Sedang | Ancaman kecil yang dampaknya diminimalkan dan tidak membahayakan target, atau eksploitasi yang mengharuskan penyerang berada di jaringan lokal yang sama dengan korban, hanya memengaruhi konfigurasi non-standar atau aplikasi yang tidak jelas, atau memberikan akses yang sangat terbatas. |
| Rendah | Ancaman tingkat peringatan yang memiliki dampak sangat kecil pada infrastruktur organisasi. Mereka biasanya memerlukan akses sistem lokal atau fisik dan sering kali dapat menyebabkan masalah privasi dan kebocoran informasi korban. |
| Informatif | Peristiwa mencurigakan yang tidak menimbulkan ancaman langsung, tetapi dilaporkan untuk menarik perhatian ke masalah yang lebih dalam yang mungkin ada. |
Pengecualian ancaman
Jika Anda memutuskan bahwa Cloud IDS menghasilkan pemberitahuan tentang lebih banyak ancaman daripada yang diperlukan,
Anda dapat menonaktifkan ID ancaman yang berisi derau atau tidak perlu dengan menggunakan
flag --threat-exceptions. Anda dapat menemukan ID ancaman dari ancaman yang ada yang terdeteksi oleh Cloud IDS di log ancaman. Anda dibatasi hingga 99 pengecualian per endpoint IDS.
Frekuensi pembaruan konten
Cloud IDS otomatis mengupdate semua tanda tangan tanpa intervensi pengguna, sehingga pengguna dapat berfokus untuk menganalisis dan menyelesaikan ancaman tanpa mengelola atau mengupdate tanda tangan. Update konten mencakup Application-ID dan tanda tangan ancaman, termasuk tanda tangan kerentanan dan anti-spyware.
Update dari Palo Alto Networks diambil setiap hari oleh Cloud IDS dan dikirim ke semua endpoint IDS yang ada. Latensi pembaruan maksimum diperkirakan hingga 48 jam.
Logging
Beberapa fitur Cloud IDS menghasilkan pemberitahuan, yang dikirim ke log ancaman. Untuk mengetahui informasi selengkapnya tentang logging, lihat Logging Cloud IDS.
Batasan
- Saat Anda menggunakan kebijakan pemeriksaan L7 Cloud Next Generation Firewall dan kebijakan endpoint Cloud IDS, pastikan kebijakan tersebut tidak berlaku untuk traffic yang sama. Jika kebijakan tumpang-tindih, kebijakan pemeriksaan L7 akan diprioritaskan, dan traffic tidak akan diduplikasi.
Langkah selanjutnya
- Untuk menyiapkan Cloud IDS, lihat Mengonfigurasi Cloud IDS.