Cloud IDS ist ein Einbruchserkennungsdienst, der Bedrohungserkennung bei Einbrüchen, Malware, Spyware und Command-and-Control-Angriffen in Ihrem Netzwerk bietet. Cloud IDS erstellt ein von Google verwaltetes Peering-Netzwerk mit gespiegelten VM-Instanzen. Der Traffic im Peering-Netzwerk wird gespiegelt und dann von den Bedrohungsschutztechnologien von Palo Alto Networks geprüft, um eine erweiterte Bedrohungserkennung zu ermöglichen. Sie können den gesamten Traffic oder gefilterten Traffic anhand von Protokoll, IP-Adressbereich oder Ein- und Ausgang spiegeln.
Cloud IDS bietet vollständige Transparenz für den Netzwerktraffic, einschließlich Nord-Süd- und Ost-West-Traffic, sodass Sie die VM-zu-VM-Kommunikation überwachen und laterale Ausbreitung erkennen können. Dies bietet eine Prüf-Engine, die den Traffic innerhalb des Subnetzes prüft.
Sie können Cloud IDS auch verwenden, um Ihre Anforderungen an die erweiterte Bedrohungserkennung und Compliance zu erfüllen, einschließlich PCI 11.4 und HIPAA.
Cloud IDS unterliegt dem Zusatz zur Verarbeitung von Cloud-Daten von Google Cloud.
Cloud IDS erkennt Bedrohungen und benachrichtigt Sie darüber, ergreift aber keine Maßnahmen, um Angriffe zu verhindern oder Schäden zu beheben. Um Maßnahmen gegen die von Cloud IDS erkannten Bedrohungen zu ergreifen, können Sie Produkte wie Google Cloud Armor verwenden.
In den folgenden Abschnitten finden Sie Details zu IDS-Endpunkten und zur erweiterten Bedrohungserkennung.
IDS-Endpunkte
Cloud IDS verwendet eine Ressource, die als IDS-Endpunkt bezeichnet wird. Dies ist eine zonale Ressource, die Traffic aus jeder Zone in der Region prüfen kann. Jeder IDS-Endpunkt empfängt gespiegelten Traffic und führt eine Bedrohungserkennungsanalyse durch.
Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und einem Netzwerk von Google oder einem Drittanbieter. Bei Cloud IDS verbindet die private Verbindung Ihre VMs mit den von Google verwalteten Peer-VMs. Für IDS-Endpunkte im selben VPC-Netzwerk wird dieselbe private Verbindung wiederverwendet, aber jedem Endpunkt wird ein neues Subnetz zugewiesen. Wenn Sie einer vorhandenen privaten Verbindung IP-Adressbereiche hinzufügen möchten, müssen Sie die Verbindung ändern.
Mit Cloud IDS können Sie in jeder Region, die Sie überwachen möchten, einen IDS-Endpunkt erstellen. Sie können für jede Region mehrere IDS-Endpunkte erstellen. Jeder IDS-Endpunkt hat eine maximale Prüfkapazität von 5 Gbit/s. Jeder IDS-Endpunkt kann anormale Traffic-Spitzen von bis zu 17 Gbit/s verarbeiten. Wir empfehlen jedoch, einen IDS-Endpunkt für alle 5 Gbit/s Durchsatz zu konfigurieren, die in Ihrem Netzwerk auftreten.
Richtlinien für die Paketspiegelung
Cloud IDS verwendet die Paketspiegelung von Google Cloud, mit der eine Kopie Ihres Netzwerktraffics erstellt wird. Nachdem Sie einen IDS-Endpunkt erstellt haben, müssen Sie ihm eine oder mehrere Paketspiegelungsrichtlinien zuweisen. Mit diesen Richtlinien wird gespiegelter Traffic zur Prüfung an einen einzelnen IDS-Endpunkt gesendet. Die Logik für die Paketspiegelung sendet den gesamten Traffic von einzelnen VMs an von Google verwaltete IDS-VMs. Beispiel: Der gesamte von VM1 und VM2 gespiegelte Traffic wird immer an IDS-VM1 gesendet.
Erweiterte Bedrohungserkennung
Die Cloud IDS-Funktionen zur Bedrohungserkennung basieren auf den folgenden Technologien zur Bedrohungsvermeidung von Palo Alto Networks.
Anwendungs-ID
Die Anwendungs-ID (App-ID) von Palo Alto Networks bietet Informationen zu den Anwendungen, die in Ihrem Netzwerk ausgeführt werden. App-ID verwendet mehrere Identifizierungsmethoden, um die Identität von Anwendungen zu ermitteln, die Ihr Netzwerk durchlaufen, unabhängig von Port, Protokoll, Ausweichtaktik oder Verschlüsselung. Die App-ID identifiziert die Anwendung und liefert Ihnen Informationen, mit denen Sie Ihre Anwendung schützen können.
Die Liste der App-IDs wird wöchentlich erweitert. Auf Grundlage von Feedback von Kunden, Partnern und Markttrends werden in der Regel drei bis fünf neue Apps hinzugefügt. Nachdem eine neue App-ID entwickelt und getestet wurde, wird sie automatisch im Rahmen der täglichen Inhaltsaktualisierungen der Liste hinzugefügt.
Anwendungsinformationen finden Sie in der Google Cloud Console auf der Seite IDS-Bedrohungen.
Standardsignatursatz
Cloud IDS bietet einen Standardsatz von Bedrohungssignaturen, mit denen Sie Ihr Netzwerk sofort vor Bedrohungen schützen können. In der Google Cloud Console wird diese Signatursammlung als Cloud IDS-Dienstprofil bezeichnet. Sie können diese Gruppe anpassen, indem Sie den Mindestgrad der Benachrichtigungsschwere auswählen. Die Signaturen werden verwendet, um Sicherheitslücken und Spyware zu erkennen.
Signaturen zur Sicherheitslückenerkennung erkennen Versuche, Systemfehler auszunutzen oder unbefugten Zugriff auf Systeme zu erlangen. Anti-Spyware-Signaturen helfen dabei, infizierte Hosts zu identifizieren, wenn der Traffic das Netzwerk verlässt. Mit Signaturen zur Sicherheitslückenerkennung sind sie vor Bedrohungen geschützt, die in das Netzwerk eindringen.
Signaturen zur Sicherheitslückenerkennung schützen beispielsweise vor Zwischenspeicherüberläufen, der illegalen Codeausführung und anderen Versuchen, die Systemsicherheitslücken auszunutzen. Die standardmäßigen Signaturen für die Sicherheitslückenerkennung bieten für Clients und Server die Erkennung aller bekannten Bedrohungen mit kritischem, hohem und mittlerem Schweregrad.
Anti-Spyware-Signaturen werden verwendet, um Spyware auf manipulierten Hosts zu erkennen. Solche Spyware versucht möglicherweise, externe C2-Server (Command-and-Control-Server) zu kontaktieren. Wenn Cloud IDS schädlichen Traffic erkennt, der von infizierten Hosts Ihr Netzwerk verlässt, wird eine Benachrichtigung generiert, die im Bedrohungsprotokoll gespeichert und in der Google Cloud Console angezeigt wird.
Bedrohungsschweregrade
Der Schweregrad einer Signatur gibt das Risiko des erkannten Ereignisses an und Cloud IDS generiert Benachrichtigungen für übereinstimmenden Traffic. Sie können den Mindestschweregrad im Standardsignatursatz auswählen. In der folgenden Tabelle sind die Schweregrade der Bedrohungen zusammengefasst.
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Ernsthafte Bedrohungen, z. B. solche, die die Standardinstallationen einer weit verbreiteten Software betreffen, führen zu einer Root-Manipulation von Servern und der Exploit-Code ist allgemein für Angreifer verfügbar. Der Angreifer benötigt in der Regel keine speziellen Authentifizierungsanmeldedaten oder Kenntnisse über die einzelnen Opfer. Das Ziel muss außerdem nicht so manipuliert werden, dass spezielle Funktionen ausgeführt werden. |
| Hoch | Bedrohungen, die kritisch werden können, bei denen es aber Möglichkeiten zur Risikominderung gibt. Sie können beispielsweise schwierig auszunutzen sein, führen nicht zu höheren Berechtigungen oder haben keine große Zahl potenzieller Opfer. |
| Mittel | Kleinere Bedrohungen, bei denen die Auswirkungen minimiert werden und das Ziel nicht manipuliert wird, oder Exploit, die erfordern, dass sich ein Angreifer im selben lokalen Netzwerk wie das Opfer befindet, betreffen nur nicht standardmäßige Konfigurationen oder ganz besondere Anwendungen oder ermöglichen nur einen eingeschränkten Zugriff. |
| Niedrig | Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben. Sie erfordern in der Regel den Zugriff auf lokale oder physische Systeme und können häufig zu Datenschutzproblemen bei den Opfern und zu Informationslecks führen. |
| Informationell | Verdächtige Ereignisse, die keine unmittelbare Bedrohung darstellen, aber auf tiefergehende Probleme hinweisen können, die möglicherweise existieren. |
Bedrohungsausnahmen
Wenn Sie der Meinung sind, dass Cloud IDS zu viele Warnungen zu Bedrohungen generiert, können Sie fehlerhafte oder anderweitig unnötige Bedrohungs-IDs mit dem Flag --threat-exceptions deaktivieren. Sie finden die Bedrohungs-IDs vorhandener Bedrohungen, die von Cloud IDS erkannt werden, in Ihren Bedrohungslogs. Sie sind auf 99 Ausnahmen pro IDS-Endpunkt beschränkt.
Häufigkeit von Inhaltsupdates
Cloud IDS aktualisiert alle Signaturen automatisch ohne Nutzereingriff, sodass sich Nutzer auf die Analyse und Lösung von Bedrohungen konzentrieren können, ohne Signaturen verwalten oder aktualisieren zu müssen. Zu den Inhaltsaktualisierungen gehören Anwendungs-IDs und Bedrohungssignaturen, einschließlich Sicherheitslücken- und Anti-Spyware-Signaturen.
Updates von Palo Alto Networks werden täglich von Cloud IDS übernommen und an alle vorhandenen IDS-Endpunkte übertragen. Die maximale Updatelatenz beträgt geschätzt bis zu 48 Stunden.
Logging
Verschiedene Features von Cloud IDS generieren Benachrichtigungen, die an das Bedrohungslog gesendet werden. Weitere Informationen zum Logging finden Sie unter Cloud IDS-Logging.
Beschränkungen
- Wenn Sie L7-Prüfungsrichtlinien von Cloud Next Generation Firewall und Cloud IDS-Endpunktrichtlinien verwenden, achten Sie darauf, dass sich die Richtlinien nicht auf denselben Traffic beziehen. Wenn sich die Richtlinien überschneiden, hat die L7-Prüfungsrichtlinie Vorrang und der Traffic wird nicht gespiegelt.
Nächste Schritte
- Informationen zum Einrichten von Cloud IDS finden Sie unter Cloud IDS konfigurieren.