Cloud IDS è un servizio di rilevamento delle intrusioni che offre il rilevamento delle minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Cloud IDS funziona creando una rete con peering gestita da Google con istanze di macchine virtuali (VM) mirror. Il traffico nella rete connessa in peering viene sottoposto a mirroring e poi esaminato dalle tecnologie di protezione dalle minacce di Palo Alto Networks per fornire un rilevamento avanzato delle minacce. Puoi eseguire il mirroring di tutto il traffico o di quello filtrato in base al protocollo, all'intervallo di indirizzi IP o all'ingresso e all'uscita.
Cloud IDS offre visibilità completa sul traffico di rete, incluso il traffico nord/sud e est/ovest, consentendoti di monitorare le comunicazioni da VM a VM per rilevare il movimento laterale. Fornisce un motore di ispezione che controlla il traffico all'interno della sottorete.
Puoi anche utilizzare Cloud IDS per soddisfare i requisiti di conformità e di rilevamento delle minacce avanzate, inclusi PCI 11.4 e HIPAA.
Cloud IDS è soggetto all'Addendum per il trattamento dei dati Cloud di Google Cloud.
Cloud IDS rileva le minacce e genera avvisi, ma non interviene per impedire gli attacchi o riparare i danni. Per intervenire sulle minacce rilevate da Cloud IDS, puoi utilizzare prodotti come Google Cloud Armor.
Le sezioni che seguono forniscono dettagli sugli endpoint IDS e sul rilevamento avanzato delle minacce.
Endpoint IDS
Cloud IDS utilizza una risorsa nota come endpoint IDS, una risorsa di zona che può ispezionare il traffico da qualsiasi zona della regione. Ogni endpoint IDS riceve il traffico sottoposto a mirroring ed esegue l'analisi di rilevamento delle minacce.
L'accesso privato ai servizi è una connessione privata tra la tua rete Virtual Private Cloud (VPC) e una rete di proprietà di Google o di terze parti. Nel caso di Cloud IDS, la connessione privata collega le VM alle VM in peering gestite da Google. Per gli endpoint IDS nella stessa rete VPC, viene riutilizzata la stessa connessione privata, ma viene assegnata una nuova subnet per ogni endpoint. Se devi aggiungere intervalli di indirizzi IP a una connessione privata esistente, devi modificare la connessione.
Puoi utilizzare Cloud IDS per creare un endpoint IDS in ogni regione che vuoi monitorare. Puoi creare più endpoint IDS per ogni regione. Ogni endpoint IDS ha una capacità di ispezione massima di 5 Gbps. Sebbene ogni endpoint IDS possa gestire picchi di traffico anomalo fino a 17 Gbps, ti consigliamo di configurare un endpoint IDS per ogni 5 Gbps di throughput registrato dalla tua rete.
Criteri di mirroring dei pacchetti
Cloud IDS utilizza il mirroring dei pacchetti di Google Cloud, che crea
una copia del traffico di rete. Dopo aver creato un endpoint IDS, devi collegarvi uno o più criteri di mirroring dei pacchetti. Questi criteri inviano il traffico sottoposto a mirroring
a un singolo endpoint IDS per l'ispezione. La logica di mirroring dei pacchetti invia tutto il traffico dalle singole VM alle VM IDS gestite da Google: ad esempio, tutto il traffico sottoposto a mirroring da VM1
e VM2
viene sempre inviato a IDS-VM1
.
Rilevamento avanzato delle minacce
Le funzionalità di rilevamento delle minacce di Cloud IDS si basano sulle seguenti tecnologie di Palo Alto Networks per la prevenzione delle minacce.
Application-ID
L'ID applicazione (App-ID) di Palo Alto Networks fornisce visibilità sulle applicazioni in esecuzione sulla tua rete. App-ID utilizza più tecniche di identificazione per determinare l'identità delle applicazioni che attraversano la tua rete, indipendentemente da porta, protocollo, tattica evasiva o crittografia. L'ID app identifica la tua applicazione, fornendoti le informazioni necessarie per proteggerla.
L'elenco degli ID app viene ampliato settimanalmente, con in genere da tre a cinque nuove applicazioni aggiunte in base ai feedback di clienti, partner e tendenze di mercato. Una volta sviluppato e testato, un nuovo ID app viene aggiunto automaticamente all'elenco nell'ambito degli aggiornamenti giornalieri dei contenuti.
Puoi visualizzare le informazioni sull'applicazione nella pagina Minacce IDS nella console Google Cloud.
Firma predefinita impostata
Cloud IDS fornisce un insieme predefinito di firme di minacce che puoi utilizzare immediatamente per proteggere la tua rete dalle minacce. Nella console Google Cloud, questo insieme di firme è chiamato profilo del servizio Cloud IDS. Puoi personalizzare questo insieme scegliendo il livello di gravità minimo dell'avviso. Le firme vengono utilizzate per rilevare vulnerabilità e spyware.
Le firme di rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti del sistema o di ottenere accesso non autorizzato ai sistemi. Sebbene le firme anti-spyware aiutino a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento delle vulnerabilità proteggono dalle minacce che entrano nella rete.
Ad esempio, le firme di rilevamento delle vulnerabilità aiutano a proteggersi da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme di rilevamento delle vulnerabilità predefinite forniscono il rilevamento per i client e i server da tutte le minacce note di gravità critica, elevata e media.
Le firme anti-spyware vengono utilizzate per rilevare gli spyware sugli host compromessi. Questo tipo di spyware potrebbe tentare di contattare server di comando e controllo (C2) esterni. Quando Cloud IDS rileva traffico dannoso in uscita dalla rete da host infetti, genera un avviso che viene salvato nel log delle minacce e visualizzato nella console Google Cloud.
Livelli di gravità delle minacce
La gravità di una firma indica il rischio dell'evento rilevato e Cloud IDS genera avvisi per il traffico corrispondente. Puoi scegliere il livello di gravità minimo nel set di firme predefinito. La tabella seguente riassume i livelli di gravità delle minacce.
Gravità | Descrizione |
---|---|
Critico | Minacce gravi, come quelle che interessano le installazioni predefinite di software di cui è stato eseguito il deployment su larga scala, comportano la compromissione del ruolo di root dei server e il codice di exploit è ampiamente disponibile per gli attaccanti. In genere l'utente malintenzionato non necessita di credenziali di autenticazione o conoscenze speciali sulle singole vittime e non è necessario manipolare il target per eseguire funzioni speciali. |
Alta | Minacce che hanno la capacità di diventare critiche, ma sono presenti fattori di mitigazione, ad esempio potrebbero essere difficili da sfruttare, non comportano l'ottenimento di privilegi elevati o non hanno un ampio pool di vittime. |
Medio | Minacce minori in cui l'impatto è ridotto al minimo e che non compromettono il bersaglio oppure exploit che richiedono che un malintenzionato si trovi sulla stessa rete locale della vittima, interessano solo configurazioni non standard o applicazioni oscure oppure forniscono un accesso molto limitato. |
Bassa | Minacce a livello di avviso che hanno un impatto molto ridotto sull'infrastruttura di un'organizzazione. In genere richiedono accesso locale o fisico al sistema e spesso possono causare problemi di privacy e fughe di informazioni per le vittime. |
Informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per attirare l'attenzione su problemi più profondi che potrebbero esistere. |
Eccezioni alle minacce
Se ritieni che Cloud IDS generi avvisi su più minacce del necessario,
puoi disattivare gli ID minaccia rumorosi o altrimenti non necessari utilizzando il
flag --threat-exceptions
. Puoi trovare gli ID delle minacce esistenti rilevate da Cloud IDS nei log delle minacce. Puoi inserire fino a 99
eccezioni per endpoint IDS.
Frequenza di aggiornamento dei contenuti
Cloud IDS aggiorna automaticamente tutte le firme senza alcun intervento da parte dell'utente, consentendogli di concentrarsi sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme. Gli aggiornamenti dei contenuti includono l'ID applicazione e le firme delle minacce, tra cui le firme di vulnerabilità e anti-spyware.
Gli aggiornamenti di Palo Alto Networks vengono rilevati quotidianamente da Cloud IDS e inviati a tutti gli endpoint IDS esistenti. La latenza massima dell'aggiornamento è stimata in fino a 48 ore.
Logging
Diverse funzionalità di Cloud IDS generano avvisi, che vengono inviati al log delle minacce. Per ulteriori informazioni sulla registrazione, consulta Registrazione di Cloud IDS.
Limitazioni
- Quando utilizzi le norme di ispezione L7 di Cloud Next Generation Firewall e le norme di endpoint di Cloud IDS, assicurati che le norme non si applichino allo stesso traffico. Se i criteri si sovrappongono, il criterio di ispezione L7 ha la priorità e il traffico non viene sottoposto a mirroring.
Passaggi successivi
- Per configurare Cloud IDS, consulta Configurare Cloud IDS.