Cloud IDS ist ein Einbruchserkennungsdienst, der Bedrohungserkennung bei Einbrüchen, Malware, Spyware und Command-and-Control-Angriffen in Ihrem Netzwerk bietet. Cloud IDS erstellt ein von Google verwaltetes Peering-Netzwerk mit gespiegelten VM-Instanzen. Der Traffic im Peering-Netzwerk wird gespiegelt und dann von den Bedrohungsschutztechnologien von Palo Alto Networks geprüft, um eine erweiterte Bedrohungserkennung bereitzustellen. Sie können den gesamten Traffic oder gefilterten Traffic basierend auf Protokoll, IP-Adressbereich oder ein- und ausgehendem Traffic spiegeln.
Cloud IDS bietet vollständigen Einblick in den Netzwerktraffic, einschließlich Nord-Süd- und Ost-West-Traffic, und ermöglicht Ihnen, die VM-zu-VM-Kommunikation zu überwachen, um seitliche Bewegungen zu erkennen. Dadurch wird eine Inspektions-Engine bereitgestellt, die Intra-Subnetz-Traffic untersucht.
Sie können Cloud IDS auch verwenden, um Ihre Anforderungen an erweiterte Bedrohungserkennung und Compliance, einschließlich PCI 11.4 und HIPAA, zu erfüllen.
Cloud IDS unterliegt dem Zusatz zur Verarbeitung von Cloud-Daten von Google Cloud.
Cloud IDS erkennt Bedrohungen und warnt vor ihnen, es werden jedoch keine Maßnahmen ergriffen, um Angriffe oder Reparaturschäden zu verhindern. Mit Produkten wie Google Cloud Armor können Sie Maßnahmen gegen die von Cloud IDS erkannten Bedrohungen ergreifen.
Die folgenden Abschnitte enthalten Details zu IDS-Endpunkten und zur erweiterten Bedrohungserkennung.
IDS-Endpunkte
Cloud IDS verwendet eine Ressource, die als IDS-Endpunkt bezeichnet wird. Dies ist eine zonale Ressource, die Traffic aus jeder Zone in ihrer Region untersuchen kann. Jeder IDS-Endpunkt empfängt gespiegelten Traffic und führt eine Bedrohungserkennungsanalyse durch.
Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem VPC-Netzwerk (Virtual Private Cloud) und einem Netzwerk von Google oder einem Drittanbieter. Im Fall von Cloud IDS verbindet die private Verbindung Ihre VMs mit den von Google verwalteten Peering-VMs. Für IDS-Endpunkte im selben VPC-Netzwerk wird dieselbe private Verbindung wiederverwendet, aber jedem Endpunkt wird ein neues Subnetz zugewiesen. Wenn Sie einer vorhandenen privaten Verbindung IP-Adressbereiche hinzufügen möchten, müssen Sie die Verbindung ändern.
Mit Cloud IDS können Sie in jeder Region, die Sie überwachen möchten, einen IDS-Endpunkt erstellen. Sie können für jede Region mehrere IDS-Endpunkte erstellen. Jeder IDS-Endpunkt hat eine maximale Prüfkapazität von 5 Gbit/s. Jeder IDS-Endpunkt kann anomale Traffic-Spitzen von bis zu 17 Gbit/s verarbeiten. Wir empfehlen jedoch, jeweils einen IDS-Endpunkt pro 5 Gbit/s Durchsatz zu konfigurieren, den Ihr Netzwerk aufweist.
Richtlinien für die Paketspiegelung
Cloud IDS verwendet die Google Cloud-Paketspiegelung, bei der eine Kopie Ihres Netzwerktraffics erstellt wird. Nachdem Sie einen IDS-Endpunkt erstellt haben, müssen Sie eine oder mehrere Paketspiegelungsrichtlinien anhängen. Diese Richtlinien senden gespiegelten Traffic zur Prüfung an einen einzelnen IDS-Endpunkt. Die Paketspiegelungslogik sendet den gesamten Traffic von einzelnen VMs an von Google verwaltete IDS-VMs. Beispielsweise wird der gesamte von VM1 und VM2 gespiegelte Traffic immer an IDS-VM1 gesendet.
Erweiterte Bedrohungserkennung
Die Funktionen zur Bedrohungserkennung von Cloud IDS basieren auf den folgenden Technologien von Palo Alto Networks zum Schutz vor Bedrohungen.
Anwendungs-ID
Die Anwendungs-ID (App-ID) von Palo Alto Networks bietet Einblick in die in Ihrem Netzwerk ausgeführten Anwendungen. Die App-ID verwendet mehrere Identifikationstechniken, um die Identität von Anwendungen zu ermitteln, die Ihr Netzwerk durchlaufen, unabhängig von Port, Protokoll, Ausweichtaktik oder Verschlüsselung. Die App-ID identifiziert die Anwendung und gibt Ihnen die erforderlichen Informationen zum Schutz Ihrer Anwendung.
Die Liste der App-IDs wird wöchentlich um drei bis fünf neue Anwendungen erweitert, die in der Regel basierend auf den Input von Kunden, Partnern und Markttrends hinzugefügt werden. Nachdem eine neue App-ID entwickelt und getestet wurde, wird sie im Rahmen der täglichen Inhaltsaktualisierungen automatisch der Liste hinzugefügt.
Sie können sich die Anwendungsinformationen in der Google Cloud Console auf der Seite IDS-Bedrohungen ansehen.
Standardsignatursatz
Cloud IDS bietet einen Standardsatz von Bedrohungssignaturen, die Sie sofort verwenden können, um Ihr Netzwerk vor Bedrohungen zu schützen. In der Google Cloud Console wird dieser Signatursatz als Cloud IDS-Dienstprofil bezeichnet. Sie können diesen Satz anpassen, indem Sie den minimalen Schweregrad für Benachrichtigungen auswählen. Die Signaturen werden verwendet, um Sicherheitslücken und Spyware zu erkennen.
Mit Signaturen zur Erkennung von Sicherheitslücken werden Versuche erkannt, Systemfehler auszunutzen oder sich unbefugten Zugriff auf Systeme zu verschaffen. Anti-Spyware-Signaturen helfen dabei, infizierte Hosts zu identifizieren, wenn Traffic das Netzwerk verlässt. Die Signaturen zur Sicherheitslückenerkennung schützen dagegen vor Bedrohungen, die in das Netzwerk eindringen.
Signaturen zur Erkennung von Sicherheitslücken schützen beispielsweise vor Pufferüberläufen, illegaler Codeausführung und anderen Versuchen, Systemsicherheitslücken auszunutzen. Mit den standardmäßigen Signaturen zur Erkennung von Sicherheitslücken können Clients und Server alle bekannten Bedrohungen mit hohem und mittlerem Schweregrad erkennen.
Anti-Spyware-Signaturen werden verwendet, um Spyware auf manipulierten Hosts zu erkennen. Solche Spyware kann versuchen, mit externen Command-and-Control-Servern (C2) in Kontakt zu treten. Wenn Cloud IDS schädlichen Traffic von infizierten Hosts erkennt, wird eine Benachrichtigung generiert, die im Bedrohungsprotokoll gespeichert und in der Google Cloud Console angezeigt wird.
Bedrohungsschweregrade
Der Schweregrad einer Signatur gibt das Risiko des erkannten Ereignisses an und Cloud IDS generiert Benachrichtigungen für übereinstimmenden Traffic. Sie können den minimalen Schweregrad im Standardsignatursatz auswählen. In der folgenden Tabelle sind die Schweregrade der Bedrohung zusammengefasst:
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Schwerwiegende Bedrohungen, wie solche, die Standardinstallationen weit verbreiteter Software betreffen, führen zu einer Manipulation des Root-Servers von Servern und einer weitreichenden Verfügbarkeit des Exploit-Codes für Angreifer. Der Angreifer benötigt in der Regel keine speziellen Authentifizierungsdaten oder Kenntnisse über die einzelnen Opfer und das Ziel muss nicht manipuliert werden, um spezielle Funktionen auszuführen. |
| Hoch | Bedrohungen, die kritisch werden können, aber es mindern können. Beispielsweise können sie schwer ausgenutzt werden, führen nicht zu erhöhten Berechtigungen oder haben keinen großen Opferpool. |
| Mittel | Geringfügige Bedrohungen mit minimierten Auswirkungen, die das Ziel nicht gefährden, oder Exploits, bei denen sich ein Angreifer im selben lokalen Netzwerk wie das Opfer befinden muss, die nur nicht standardmäßige Konfigurationen betreffen, Anwendungen verdecken oder einen sehr eingeschränkten Zugriff ermöglichen. |
| Niedrig | Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben. Sie erfordern in der Regel Zugriff auf ein lokales oder physisches System und können oft zu Datenschutzproblemen der Opfer und Datenlecks führen. |
| Informationell | Verdächtige Ereignisse, die keine unmittelbare Bedrohung darstellen, aber gemeldet werden, um auf möglicherweise tiefer liegende Probleme aufmerksam zu machen. |
Bedrohungsausnahmen
Wenn Sie beschließen, dass Cloud IDS Benachrichtigungen zu mehr Bedrohungen generiert als nötig, können Sie laute oder anderweitig unnötige Bedrohungs-IDs mit dem Flag --threat-exceptions deaktivieren. Die Bedrohungs-IDs bestehender Bedrohungen, die von Cloud IDS erkannt wurden, finden Sie in Ihren Bedrohungslogs. Pro IDS-Endpunkt sind maximal 99 Ausnahmen möglich.
Häufigkeit von Inhaltsupdates
Cloud IDS aktualisiert automatisch alle Signaturen ohne Eingriff des Nutzers. So können sich Nutzer auf die Analyse und Behebung von Bedrohungen konzentrieren, ohne Signaturen verwalten oder aktualisieren zu müssen. Zu den Inhaltsaktualisierungen gehören Anwendungs-ID- und Bedrohungssignaturen, einschließlich Signaturen für Sicherheitslücken und Anti-Spyware.
Updates von Palo Alto Networks werden täglich von Cloud IDS abgerufen und an alle vorhandenen IDS-Endpunkte gesendet. Die maximale Updatelatenz wird auf bis zu 48 Stunden geschätzt.
Logging
Verschiedene Features von Cloud IDS generieren Benachrichtigungen, die an das Bedrohungslog gesendet werden. Weitere Informationen zum Logging finden Sie unter Cloud IDS Logging.
Nächste Schritte
- Informationen zum Einrichten von Cloud IDS finden Sie unter Cloud IDS konfigurieren.