Cloud IDS è un servizio di rilevamento delle intrusioni che fornisce il rilevamento delle minacce per intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Cloud IDS funziona creando una rete in peering gestita da Google con istanze di macchine virtuali (VM) con mirroring. Il traffico nella rete in peering viene sottoposto a mirroring e quindi ispezionato dalle tecnologie di protezione dalle minacce di Palo Alto Networks per fornire un rilevamento avanzato delle minacce. Puoi eseguire il mirroring di tutto il traffico o in base a protocollo, intervallo di indirizzi IP o traffico in entrata e in uscita.
Cloud IDS offre visibilità completa sul traffico di rete, compreso quello nord-sud e est-ovest, consentendoti di monitorare le comunicazioni da VM a VM per rilevare i movimenti laterali. In questo modo viene fornito un motore di ispezione che controlla il traffico tra subnet.
Puoi inoltre utilizzare Cloud IDS per soddisfare i requisiti di rilevamento e conformità avanzati delle minacce, tra cui PCI 11.4 e HIPAA.
Cloud IDS è soggetto all'Addendum per il trattamento dei dati Cloud di Google Cloud.
Cloud IDS rileva e segnala le minacce, ma non prende provvedimenti per prevenire attacchi o porre rimedio ai danni. Per intervenire sulle minacce rilevate da Cloud IDS, puoi utilizzare prodotti come Google Cloud Armor.
Le sezioni seguenti forniscono dettagli sugli endpoint IDS e sul rilevamento avanzato delle minacce.
Endpoint IDS
Cloud IDS utilizza una risorsa nota come endpoint IDS, una risorsa di zona che può ispezionare il traffico da qualsiasi zona della sua regione. Ogni endpoint IDS riceve traffico sottoposto a mirroring ed esegue l'analisi del rilevamento delle minacce.
L'accesso privato ai servizi è una connessione privata tra la tua rete Virtual Private Cloud (VPC) e una rete di proprietà di Google o di una terza parte. Nel caso di Cloud IDS, la connessione privata collega le VM alle VM in peering gestite da Google. Per gli endpoint IDS nella stessa rete VPC, viene riutilizzata la stessa connessione privata, ma viene assegnata una nuova subnet a ogni endpoint. Se devi aggiungere intervalli di indirizzi IP a una connessione privata esistente, devi modificare la connessione.
Puoi utilizzare Cloud IDS per creare un endpoint IDS in ogni regione da monitorare. Puoi creare più endpoint IDS per ogni regione. Ogni endpoint IDS ha una capacità di ispezione massima di 5 Gbps. Sebbene ogni endpoint IDS sia in grado di gestire picchi di traffico anomali fino a 17 Gbps, ti consigliamo di configurare un endpoint IDS per ogni 5 Gbps di velocità effettiva registrata dalla tua rete.
Criteri di mirroring dei pacchetti
Cloud IDS utilizza il mirroring pacchetto Google Cloud, che crea
una copia del traffico di rete. Dopo aver creato un endpoint IDS, devi collegare
uno o più criteri di mirroring dei pacchetti. Questi criteri inviano traffico sottoposto a mirroring
a un singolo endpoint IDS per l'ispezione. La logica di mirroring pacchetto invia tutto
il traffico dalle singole VM alle VM IDS gestite da Google: ad esempio,
tutto il traffico sottoposto a mirroring da VM1 e VM2 viene sempre inviato a IDS-VM1.
Rilevamento avanzato delle minacce
Le funzionalità di rilevamento delle minacce di Cloud IDS si basano sulle seguenti tecnologie di prevenzione delle minacce di Palo Alto Networks.
ID applicazione
L'ID applicazione (ID app) di Palo Alto Networks offre visibilità sulle applicazioni in esecuzione sulla tua rete. App-ID utilizza più tecniche di identificazione per determinare l'identità delle applicazioni che attraversano la tua rete, indipendentemente da porta, protocollo, tattica evasiva o crittografia. App-ID identifica l'applicazione, fornendoti le conoscenze necessarie per proteggere la tua applicazione.
L'elenco degli ID app viene ampliato ogni settimana, con da tre a cinque nuove applicazioni tipicamente aggiunte in base ai contributi di clienti, partner e alle tendenze del mercato. Una volta sviluppato e testato, un nuovo ID app viene aggiunto automaticamente all'elenco nell'ambito degli aggiornamenti giornalieri dei contenuti.
Puoi visualizzare le informazioni sulle applicazioni nella pagina IDS Threats della console Google Cloud.
Firma predefinita impostata
Cloud IDS fornisce un set predefinito di firme delle minacce che puoi utilizzare immediatamente per proteggere la tua rete dalle minacce. Nella console Google Cloud, questo set di firme è chiamato profilo di servizio Cloud IDS. Puoi personalizzare questo set scegliendo il livello minimo di gravità degli avvisi. Le firme vengono utilizzate per rilevare vulnerabilità e spyware.
Le firme per il rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti di sistema o di ottenere l'accesso non autorizzato ai sistemi. Mentre le firme antispyware aiutano a identificare gli host infetti quando il traffico esce dalla rete, le firme per il rilevamento delle vulnerabilità proteggono dalle minacce che entrano nella rete.
Ad esempio, le firme per il rilevamento delle vulnerabilità contribuiscono a proteggere da overflow del buffer, esecuzione illegale di codice e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme predefinite per il rilevamento delle vulnerabilità consentono di rilevare per client e server tutte le minacce note critiche, di alta e media gravità.
Le firme antispyware vengono utilizzate per rilevare gli spyware sugli host compromessi. Questo spyware potrebbe tentare di contattare i server command-and-control (C2) esterni. Quando Cloud IDS rileva traffico dannoso che esce dalla rete e proveniente da host infetti, genera un avviso che viene salvato nel log delle minacce e mostrato nella console Google Cloud.
Livelli di gravità delle minacce
La gravità della firma indica il rischio dell'evento rilevato e Cloud IDS genera avvisi per il traffico corrispondente. Puoi scegliere il livello minimo di gravità nel set di firme predefinito. La seguente tabella riassume i livelli di gravità delle minacce.
| Gravità | Descrizione |
|---|---|
| Critico | Minacce gravi, come quelle che interessano le installazioni predefinite di software su larga scala, comportano la compromissione root dei server e dove il codice di exploit è ampiamente disponibile per i malintenzionati. L'utente malintenzionato di solito non ha bisogno di credenziali di autenticazione speciali o di conoscenze sulle singole vittime e non è necessario manipolare l'obiettivo per eseguire funzioni speciali. |
| Alta | Minacce che hanno la capacità di diventare critiche, ma esistono fattori attenuanti, ad esempio potrebbero essere difficili da sfruttare, non comportano privilegi elevati o non dispongono di un vasto pool di vittime. |
| Medio | Minacce minori in cui l'impatto è ridotto al minimo e che non compromettono l'obiettivo o exploit che richiedono che un utente malintenzionato risieda sulla stessa rete locale della vittima, interessano solo configurazioni non standard o oscurano le applicazioni o forniscono un accesso molto limitato. |
| Basso | Minacce a livello di avviso che hanno un impatto molto scarso sull'infrastruttura di un'organizzazione. Di solito richiedono l'accesso ai sistemi locali o fisici e potrebbero spesso causare problemi di privacy delle vittime e perdita di informazioni. |
| Informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per richiamare l'attenzione su possibili problemi più profondi. |
Eccezioni alle minacce
Se decidi che Cloud IDS genera avvisi per un numero di minacce superiore al necessario, puoi disabilitare gli ID minaccia non necessari o rumorosi utilizzando il flag --threat-exceptions. Puoi trovare gli ID delle minacce esistenti rilevate da Cloud IDS nei log delle minacce. Esiste un limite di 99 eccezioni per endpoint IDS.
Frequenza di aggiornamento dei contenuti
Cloud IDS aggiorna automaticamente tutte le firme senza alcun intervento dell'utente, consentendo agli utenti di concentrarsi sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme. Gli aggiornamenti dei contenuti includono ID delle applicazioni e firme delle minacce, incluse le firme contro le vulnerabilità e gli spyware.
Gli aggiornamenti da Palo Alto Networks vengono raccolti quotidianamente da Cloud IDS e inviati a tutti gli endpoint IDS esistenti. Si stima che la latenza massima di aggiornamento sia fino a 48 ore.
Logging
Diverse funzionalità di Cloud IDS generano avvisi, che vengono inviati al log delle minacce. Per ulteriori informazioni sul logging, consulta Logging di Cloud IDS.
Limitazioni
- Quando utilizzi i criteri di ispezione di Cloud Next Generation Firewall L7 e i criteri degli endpoint Cloud IDS, assicurati che i criteri non si applichino allo stesso traffico. Se i criteri si sovrappongono, il criterio di ispezione L7 ha la priorità e il traffico non viene sottoposto a mirroring.
Passaggi successivi
- Per configurare Cloud IDS, consulta Configurare Cloud IDS.