Cloud IDS è un servizio di rilevamento delle intrusioni che fornisce rilevamento di intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Cloud IDS funziona creando un modello di conversione in peering con istanze di macchine virtuali (VM) con mirroring. Traffico nel traffico in peering viene sottoposto a mirroring e quindi viene controllato dalle tecnologie di protezione dalle minacce di Palo Alto Networks per fornire il rilevamento avanzato delle minacce. Puoi eseguire il mirroring di tutto il traffico o traffico filtrato in base a protocollo, intervallo di indirizzi IP o traffico in entrata e in uscita.
Cloud IDS offre visibilità completa sul traffico di rete, inclusi il traffico da nord-sud e est-ovest, consentendoti di monitorare le comunicazioni da VM a VM rilevare i movimenti laterali. Fornisce un motore di ispezione che controlla il traffico intra-subnet.
Puoi anche utilizzare Cloud IDS per soddisfare le tue esigenze avanzate di rilevamento delle minacce e ai requisiti di conformità, tra cui PCI 11.4 e HIPAA.
Cloud IDS è soggetto alle norme Addendum per il trattamento dei dati Cloud.
Cloud IDS rileva e segnala le minacce, ma non interviene per per prevenire attacchi o porre rimedio ai danni. Per intervenire sulle minacce che Cloud IDS rileva, puoi utilizzare prodotti quali Google Cloud Armor.
Le sezioni seguenti forniscono dettagli sugli endpoint IDS e il rilevamento avanzato delle minacce.
Endpoint IDS
Cloud IDS utilizza una risorsa nota come endpoint IDS, una risorsa di zona che può esaminare il traffico da qualsiasi zona della sua regione. Ogni endpoint IDS riceve traffico sottoposto a mirroring ed esegue l'analisi del rilevamento delle minacce.
L'accesso privato ai servizi è un connessione tra la tua rete Virtual Private Cloud (VPC) e una rete di proprietà Google o una terza parte. Nel caso di Cloud IDS, la connessione privata connette le tue VM alle VM in peering gestite da Google. Per gli endpoint IDS nella stessa rete VPC, la stessa rete privata viene riutilizzata, ma viene assegnata una nuova subnet a ciascun endpoint. Per aggiungere intervalli di indirizzi IP a una connessione privata esistente, devi modificare la connessione.
Puoi utilizzare Cloud IDS per creare un endpoint IDS in ogni regione che vuoi monitorare. Puoi creare più endpoint IDS per ogni regione. Ogni endpoint IDS ha una capacità di ispezione massima di 5 Gbps. Mentre ogni L’endpoint IDS è in grado di gestire picchi di traffico anomali fino a 17 Gbps, è consigliabile configurare un endpoint IDS per ogni 5 Gbps di velocità effettiva esperienze della tua rete.
Criteri di mirroring dei pacchetti
Cloud IDS utilizza il mirroring pacchetto Google Cloud, che crea
una copia del traffico di rete. Dopo aver creato un endpoint IDS, devi collegare
uno o più criteri di mirroring dei pacchetti. Questi criteri inviano traffico sottoposto a mirroring
a un singolo endpoint IDS per l'ispezione. La logica di mirroring pacchetto invia tutte
traffico da singole VM a VM IDS gestite da Google: ad esempio,
tutto il traffico con mirroring da VM1 e VM2 viene sempre inviato a IDS-VM1.
Rilevamento avanzato delle minacce
Le funzionalità di rilevamento delle minacce di Cloud IDS sono basate sulla seguente piattaforma Palo tecnologie di prevenzione delle minacce di Alto Networks.
ID applicazione
Palo Alto Networks L'ID applicazione (ID app) offre visibilità per le applicazioni in esecuzione sulla rete. L'ID app utilizza più metodi di identificazione tecniche per determinare l'identità delle applicazioni che attraversano la rete, indipendentemente da porta, protocollo, tattica evasiva o crittografia. ID app identifica l'applicazione, fornendoti le informazioni necessarie per proteggerla.
L'elenco degli ID app viene ampliato con cadenza settimanale, con in genere da tre a cinque nuove applicazioni aggiunti in base ai suggerimenti di clienti, partner e tendenze del mercato. Dopo un nuovo App-ID è stato sviluppato e testato, viene aggiunto automaticamente all'elenco come parte gli aggiornamenti giornalieri dei contenuti.
Puoi visualizzare le informazioni sulla richiesta nella pagina IDS Threats del nella console Google Cloud.
Firma predefinita impostata
Cloud IDS fornisce un set predefinito firme delle minacce che puoi utilizzare immediatamente per proteggere la tua rete dalle minacce. Nella Nella console Google Cloud, questo set di firme è chiamato profilo di servizio Cloud IDS. Puoi personalizzare questo set scegliendo il livello minimo di gravità degli avvisi. La le firme sono usate per rilevare vulnerabilità e spyware.
Le firme per il rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti di sistema. o di ottenere l'accesso non autorizzato ai sistemi. Anche se le firme antispyware sono utili identificare gli host infetti quando il traffico esce dalla rete, la vulnerabilità le firme di rilevamento proteggono dalle minacce che entrano nella rete.
Ad esempio: le firme per il rilevamento delle vulnerabilità contribuiscono a proteggere dagli overflow del buffer, esecuzione illegale di codice e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme per il rilevamento delle vulnerabilità predefinite forniscono il rilevamento per i client e server da tutte le minacce note critiche, di alta e media gravità.
Le firme antispyware vengono utilizzate per rilevare gli spyware sugli host compromessi. Tale Gli spyware potrebbero tentare di contattare i server command-and-control (C2) esterni. Quando Cloud IDS rileva il traffico dannoso che lascia la tua rete da infetti host, genera un avviso che viene salvato nel log delle minacce e nella console Google Cloud.
Livelli di gravità delle minacce
La gravità della firma indica il rischio dell'evento rilevato e Cloud IDS genera avvisi per il traffico corrispondente. Puoi scegliere livello di gravità minimo nel set di firme predefinito. La tabella seguente riassume i livelli di gravità delle minacce.
| Gravità | Descrizione |
|---|---|
| Critico | Minacce gravi, ad esempio quelle che influiscono sulle installazioni predefinite un software ampiamente distribuito, comportano la compromissione root dei server e è ampiamente disponibile per i malintenzionati. L'aggressore di solito non sono necessarie credenziali di autenticazione speciali o conoscenze le singole vittime e non è necessario manipolare il bersaglio durante l'esecuzione di funzioni speciali. |
| Alta | Minacce che possono diventare critiche, ma che stanno attenuando ad esempio difficili da sfruttare, non generano di privilegi elevati o di non avere un vasto pool di vittime. |
| Medio | Minacce di minore entità in cui l’impatto è ridotto al minimo e che non compromettono o exploit che richiedono che un aggressore risieda sullo stesso rete come vittima, interessano solo configurazioni non standard o oscurare le applicazioni o fornire un accesso molto limitato. |
| Bassa | Minacce a livello di avviso che hanno un impatto molto scarso su una dell'infrastruttura dell'organizzazione. Di solito richiedono un negozio fisico o locale accesso al sistema e spesso possono causare problemi di privacy. la fuga di informazioni. |
| Informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma che sono segnalati per richiamare l'attenzione sui possibili problemi più profondi. |
Eccezioni alle minacce
Se decidi che Cloud IDS genera avvisi per più minacce del necessario,
puoi disabilitare gli ID minacce con rumore o altrimenti non necessari, utilizzando
--threat-exceptions flag. Puoi trovare gli ID delle minacce delle
e minacce rilevate da Cloud IDS nei log delle minacce. Hai un limite massimo di 99
eccezioni per endpoint IDS.
Frequenza di aggiornamento dei contenuti
Cloud IDS aggiorna automaticamente tutte le firme senza alcun utente di attenzione, consentendo agli utenti di concentrarsi sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme. Gli aggiornamenti dei contenuti includono Application-ID e le firme delle minacce, incluse le firme contro le vulnerabilità e gli spyware.
Gli aggiornamenti di Palo Alto Networks vengono raccolti quotidianamente da Cloud IDS e a tutti gli endpoint IDS esistenti. Si stima che la latenza massima di aggiornamento sia fino a 48 ore.
Logging
Diverse funzionalità di Cloud IDS generano avvisi, che vengono inviati alla minaccia log. Per ulteriori informazioni sul logging, consulta Logging di Cloud IDS.
Limitazioni
- Quando utilizzi i criteri di ispezione di Cloud Next Generation Firewall L7 e Cloud IDS dei tuoi endpoint, assicurati che i criteri non si applichino allo stesso traffico. Se i criteri si sovrappongono, il criterio di ispezione L7 ha la priorità e il traffico non viene sottoposto a mirroring.
Passaggi successivi
- Per configurare Cloud IDS, consulta Configurare Cloud IDS.