Cloud IDS 개요

Cloud IDS는 네트워크에 대한 침입, 멀웨어, 스파이웨어, 명령어 및 제어 공격에 대한 위협 감지를 제공하는 침입 감지 서비스입니다. Cloud IDS는 미러링된 가상 머신(VM) 인스턴스가 있는 Google에서 관리하는 피어링된 네트워크를 만들어 작동합니다. 피어링된 네트워크의 트래픽을 미러링한 후 Palo Alto Networks 위협 보호 기술로 검사하는 방식으로 고급 위협 감지를 제공합니다. 모든 트래픽을 미러링하거나 프로토콜, IP 주소 범위, 인그레스 및 이그레스를 기준으로 필터링된 트래픽을 미러링할 수 있습니다.

Cloud IDS는 North-South 트래픽과 East-West 트래픽을 모두 포함해 네트워크 트래픽을 완전히 파악할 수 있으므로 VM 간 통신을 모니터링하여 측면 이동을 감지할 수 있습니다. 이렇게 해서 서브넷 내 트래픽을 검사하는 검사 엔진이 제공됩니다.

또한 Cloud IDS를 사용하여 PCI 11.4HIPAA를 포함한 고급 위협 감지 및 규정 준수 요구사항을 충족할 수 있습니다.

Cloud IDS에는 Google Cloud의 Cloud 데이터 처리 추가 조항이 적용됩니다.

Cloud IDS는 위협을 감지하고 알리지만 공격 방지 또는 손상 복구를 위한 조치를 취하지 않습니다. Cloud IDS가 감지하는 위협에 대해 조치를 취하려면 Google Cloud Armor와 같은 제품을 사용하면 됩니다.

다음 섹션에서는 IDS 엔드포인트 및 고급 위협 감지에 대해 자세히 설명합니다.

IDS 엔드포인트

Cloud IDS는 리전 내 모든 영역에서 트래픽을 검사할 수 있는 영역 리소스인 IDS 엔드포인트라는 리소스를 사용합니다. 각 IDS 엔드포인트는 미러링된 트래픽을 수신하고 위협 감지 분석을 수행합니다.

비공개 서비스 액세스는 Virtual Private Cloud(VPC) 네트워크와 Google 또는 타사 소유의 네트워크 간의 비공개 연결입니다. Cloud IDS의 경우 이러한 비공개 연결이 VM을 Google에서 관리되는 피어링된 VM에 연결합니다. 동일한 VPC 네트워크에 있는 IDS 엔드포인트의 경우 동일한 비공개 연결이 재사용되지만 각 엔드포인트에 새 서브넷이 할당됩니다. IP 주소 범위를 기존 비공개 연결에 추가해야 하는 경우 연결을 수정해야 합니다.

Cloud IDS를 사용하여 모니터링할 각 리전에서 IDS 엔드포인트를 만들 수 있습니다. 각 리전에 대해 여러 개의 IDS 엔드포인트를 만들 수 있습니다. 각 IDS 엔드포인트의 최대 검사 용량은 5Gbps입니다. 각 IDS 엔드포인트는 최대 17Gbps까지 이상 트래픽 급증을 처리할 수 있지만 네트워크에서 발생하는 5Gbps의 처리량마다 IDS 엔드포인트를 하나씩 구성하는 것이 좋습니다.

패킷 미러링 정책

Cloud IDS는 Google Cloud 패킷 미러링을 사용하여 네트워크 트래픽 복사본을 만듭니다. IDS 엔드포인트를 만든 후 여기에 패킷 미러링 정책을 하나 이상 연결해야 합니다. 이러한 정책은 검사를 위해 미러링된 트래픽을 단일 IDS 엔드포인트로 보냅니다. 패킷 미러링 논리는 개별 VM에서 Google에서 관리되는 IDS VM으로 모든 트래픽을 전송합니다. 예를 들어 VM1VM2에서 미러링되는 모든 트래픽은 항상 IDS-VM1로 전송됩니다.

고급 위협 감지

Cloud IDS 위협 감지 기능은 다음 Palo Alto Networks 위협 방지 기술을 기반으로 합니다.

애플리케이션 ID

Palo Alto Networks의 애플리케이션 ID(앱 ID)는 네트워크에서 실행 중인 애플리케이션에 대한 가시성을 제공합니다. 앱 ID는 여러 식별 기술을 사용하여 포트, 프로토콜, 회피 전략, 암호화에 관계없이 네트워크를 통과하는 애플리케이션의 ID를 확인합니다. 앱 ID는 애플리케이션을 식별하여 애플리케이션을 보호하는 데 도움이 되는 지식을 제공합니다.

앱 ID 목록은 매주 확장되며 일반적으로 고객과 파트너 의견 및 시장 동향에 따라 3~5개의 새로운 애플리케이션이 추가됩니다. 새 앱 ID가 개발 및 테스트되면 일일 콘텐츠 업데이트에 따라 목록에 자동으로 추가됩니다.

Google Cloud 콘솔의 IDS 위협 페이지에서 애플리케이션 정보를 볼 수 있습니다.

IDS 위협으로 이동

기본 서명 집합

Cloud IDS는 위협으로부터 네트워크를 보호하는 데 즉시 사용할 수 있는 기본 위협 서명 집합을 제공합니다. Google Cloud 콘솔에서는 이 서명 집합을 Cloud IDS 서비스 프로필이라고 합니다. 최소 알림 심각도 수준을 선택하여 이 집합을 맞춤설정할 수 있습니다. 서명은 취약점과 스파이웨어를 감지하는 데 사용됩니다.

  • 취약점 감지 서명은 시스템 결함을 악용하거나 시스템에 대한 무단 액세스 권한을 획득하려는 시도를 감지합니다. 스파이웨어 백신 서명은 트래픽이 네트워크를 나갈 때 감염된 호스트를 식별하는 데 도움이 되지만 취약점 감지 서명은 네트워크에 들어오는 위협으로부터 보호합니다.

    예를 들어 취약점 감지 서명은 버퍼 오버플로, 잘못된 코드 실행, 기타 시스템 취약점 악용 시도로부터 보호하는 데 도움이 됩니다. 기본 취약점 감지 서명은 알려진 모든 매우 높은 심각도, 높은 심각도, 중간 심각도 위협을 클라이언트 및 서버에서 감지합니다.

  • 스파이웨어 방지 서명은 손상된 호스트에서 스파이웨어를 감지하는 데 사용됩니다. 이러한 스파이웨어는 외부 명령어 및 제어(C2) 서버에 연결을 시도할 수 있습니다. Cloud IDS가 영향을 받는 호스트에서 네트워크를 나가는 악의적인 트래픽을 감지하면 위협 로그에 저장되고 Google Cloud 콘솔에 표시되는 알림을 생성합니다.

위협 심각도 수준

서명 심각도는 감지된 이벤트의 위험을 나타내며 Cloud IDS는 일치하는 트래픽에 대한 알림을 생성합니다. 기본 서명 집합에서 최소 심각도 수준을 선택할 수 있습니다. 다음 표에는 위협 심각도 수준이 요약되어 있습니다.

심각도 설명
심각 광범위하게 배포된 소프트웨어의 기본 설치에 영향을 주는 위협과 같은 심각한 위협은 서버에 근본적인 손상을 일으키고, 공격자가 광범위하게 악용 코드를 이용할 수 있습니다. 공격자는 일반적으로 개별 피해자에 대한 특수 사용자 인증 정보나 지식이 필요하지 않으며 특수 함수를 수행하기 위해 대상을 조작할 필요가 없습니다.
높음 심각한 위협이 될 수 있지만 해결 방법이 있는 위협입니다. 예를 들어 이러한 위협은 악용하기 어려울 수 있고 권한 승격을 일으키지 않거나 피해 범위가 크지 않습니다.
보통 영향이 최소화되어 대상을 손상시키지 않는 작은 위협 또는 공격자가 피해자와 같은 로컬 네트워크에 상주해야 하는 악용 위협은 표준을 벗어난 구성 또는 모호한 애플리케이션에만 영향을 주거나 액세스 범위가 매우 제한적입니다.
낮음 조직의 인프라에 거의 영향을 주지 않는 경고 수준 위협입니다. 일반적으로 로컬 또는 물리적인 시스템 액세스가 필요하며 종종 피해자 개인 정보 보호 문제 및 정보 유출을 일으킬 수 있습니다.
정보 제공 즉각적인 위협을 초래하지는 않지만 좀 더 심각한 문제가 존재할 수 있음을 나타내는 의심스러운 이벤트입니다.

위협 예외

Cloud IDS에서 위협 알림이 필요 이상으로 생성될 때는 --threat-exceptions 플래그를 사용해서 너무 많거나 불필요한 위협 ID를 사용 중지할 수 있습니다. 위협 로그에서 Cloud IDS로 감지된 기존 위협에 대한 위협 ID를 찾을 수 있습니다. 예외 수는 IDS 엔드포인트당 99개로 제한됩니다.

콘텐츠 업데이트 빈도

Cloud IDS는 사용자 개입 없이 모든 서명을 자동으로 업데이트하므로 서명을 관리 및 업데이트하지 않고도 위협을 분석하고 해결하는 데 집중할 수 있습니다. 콘텐츠 업데이트에는 취약점 및 스파이웨어 방지 서명을 포함한 애플리케이션 ID와 위협 서명이 포함됩니다.

Palo Alto Networks의 업데이트는 Cloud IDS에서 매일 선택되어 모든 기존 IDS 엔드포인트로 푸시됩니다. 업데이트 지연 시간은 최대 48시간으로 예상됩니다.

로깅

Cloud IDS의 여러 기능은 위협 로그로 전송되는 알림을 생성합니다. 로깅에 대한 자세한 내용은 Cloud IDS Logging을 참조하세요.

제한사항

  • Cloud Next Generation Firewall L7 검사 정책 및 Cloud IDS 엔드포인트 정책을 사용할 때는 정책이 동일한 트래픽에 적용되지 않도록 해야 합니다. 만약 정책이 겹치면 L7 검사 정책이 우선하며 트래픽이 미러링되지 않습니다.

다음 단계