IDS de Cloud es un servicio de detección de intrusiones que proporciona detección de intrusiones, software malicioso, software espía y ataques de comando y control en tu red. El IDS de Cloud funciona creando una red de intercambio virtual con instancias de máquina virtual (VM) duplicadas. Tráfico en la red de intercambio de tráfico red se duplica y, luego, que las tecnologías de protección contra amenazas de Palo Alto Networks la detección avanzada de amenazas. Puedes duplicar todo el tráfico o duplicar tráfico filtrado según el protocolo, el rango de direcciones IP o de entrada y salida.
El IDS de Cloud proporciona visibilidad completa del tráfico de red, incluidas tráfico de norte a sur y de este a oeste, lo que te permite supervisar la comunicación de VM a VM detectar el movimiento lateral. Esto proporciona un motor de inspección que inspecciona el tráfico dentro de la subred.
También puedes usar IDS de Cloud para cumplir con tus objetivos de requisitos de cumplimiento, como HIPAA 11.4 y HIPAA.
El IDS de Cloud está sujeto a las Anexo de Tratamiento de Datos de Cloud.
IDS de Cloud detecta y alerta sobre amenazas, pero no toma medidas para evitar ataques o reparar daños. Para tomar medidas sobre las amenazas a las que IDS de Cloud detecta, puedes usar productos como Google Cloud Armor.
Las siguientes secciones brindan detalles sobre los extremos de IDS y la detección avanzada de amenazas.
Extremos de IDS
El IDS de Cloud usa un recurso conocido como extremo de IDS, un recurso zonal que puede inspeccionar el tráfico de cualquier zona de su región. Cada extremo de IDS recibe tráfico duplicado y realiza análisis de detección de amenazas.
El acceso privado a servicios es un privada entre tu red de nube privada virtual (VPC) y una red que pertenece a Google o un tercero. En el caso del IDS de Cloud, la conexión privada conecta tus VMs a las VMs con intercambio de tráfico administradas por Google. Para extremos de IDS en la misma red de VPC, la misma red se vuelve a usar, pero se asigna una subred nueva para cada extremo. Si necesitas agregar rangos de direcciones IP a una conexión privada existente, debes modificar la conexión.
Puedes usar IDS de Cloud para crear un extremo de IDS en cada región que que quieres supervisar. Puedes crear varios extremos de IDS para cada región. Cada extremo de IDS tiene una capacidad máxima de inspección de 5 Gbps. Si bien cada extremo de IDS puede manejar aumentos repentinos de tráfico anómalos de hasta 17 Gbps, se recomienda configurar un extremo de IDS por cada 5 Gbps de capacidad de procesamiento que experimenta tu red.
Políticas de duplicación de paquetes
El IDS de Cloud usa la duplicación de paquetes de Google Cloud, que crea
una copia de tu tráfico de red. Después de crear un extremo de IDS, debes adjuntarle
una o más políticas de duplicación de paquetes. Estas políticas envían tráfico duplicado
a un único extremo de IDS para que se inspeccione. La lógica de la duplicación de paquetes envía
tráfico de VMs individuales a VMs de IDS administradas por Google, por ejemplo,
todo el tráfico duplicado de VM1 y VM2 siempre se envía a IDS-VM1.
Detección avanzada de amenazas
Las capacidades de detección de amenazas de IDS de Cloud se basan en los siguientes Tecnologías de prevención de amenazas de Alto Networks.
ID de aplicación
Palo Alto Networks El ID de aplicación (App-ID) proporciona visibilidad del aplicaciones que se ejecutan en tu red. App-ID usa varios tipos de identificación para determinar la identidad de las aplicaciones que atraviesan tu red sin importar el puerto, el protocolo, la táctica evasiva o la encriptación. El ID de la app identifica la aplicación, lo que te brinda información para ayudar a protegerla.
La lista de App-ID se amplía semanalmente, con entre tres y cinco aplicaciones nuevas, en función de los aportes de los clientes, los socios y las tendencias del mercado. Después de un nuevo App-ID se desarrolla y prueba, se agrega automáticamente a la lista como parte del las actualizaciones diarias de contenido.
Puedes ver la información de la aplicación en la página Amenazas IDS en la Consola de Google Cloud
Conjunto de firmas predeterminado
El IDS de Cloud proporciona un conjunto predeterminado de firmas de amenazas que puedes usar de inmediato para proteger tu red de amenazas. En la en la consola de Google Cloud, este conjunto de firmas se denomina perfil de servicio del IDS de Cloud. Para personalizar este conjunto, elige el nivel mínimo de gravedad de las alertas. Las firmas se usan para detectar vulnerabilidades y software espía.
Las firmas de detección de vulnerabilidades detectan intentos de aprovecharse de las fallas del sistema o acceder a los sistemas sin autorización. Aunque las firmas antiespía ayudan a identificar los hosts infectados cuando el tráfico sale de la red, la vulnerabilidad las firmas de detección protegen contra las amenazas que ingresan a la red.
Por ejemplo: Las firmas de detección de vulnerabilidades ayudan a proteger contra el desbordamiento del búfer, ejecución ilegal de códigos y otros intentos de explotar vulnerabilidades del sistema. Las firmas de detección de vulnerabilidades predeterminadas permiten detectar a los clientes y servidores de todas las amenazas conocidas de gravedad alta, media y media.
Las firmas anti software espía se utilizan para detectar software espía en hosts vulnerados. Tales software espía podría intentar comunicarse con servidores externos de comando y control (C2). Cuándo El IDS de Cloud detecta el tráfico malicioso que sale de tu red. genera una alerta que se guarda en el registro de amenazas y se muestra en la consola de Google Cloud.
Niveles de gravedad de amenazas
La gravedad de una firma indica el riesgo del evento detectado y El IDS de Cloud genera alertas para el tráfico coincidente. Puedes elegir el el nivel de gravedad mínimo en el conjunto de firmas predeterminado. La siguiente tabla se resumen los niveles de gravedad de la amenaza.
| Gravedad | Descripción |
|---|---|
| Crítico | Amenazas graves, como las que afectan las instalaciones predeterminadas de software ampliamente implementado, provocan el compromiso de la raíz de los servidores y dónde están ampliamente disponibles para los atacantes. El atacante generalmente hace no necesitan credenciales de autenticación especiales ni conocimientos víctimas individuales, y no es necesario que el objetivo sea manipulado para realizar cualquier función especial. |
| Alta | Amenazas que tienen la capacidad de volverse críticas, pero que están mitigando factores externos, por ejemplo, pueden ser difíciles de aprovechar, no generan con privilegios elevados o no tienen un grupo grande de víctimas. |
| Media | Amenazas menores en las que se minimiza el impacto que no comprometen la objetivo o exploits que requieren que el atacante resida en el mismo red como víctima, solo afectan a configuraciones no estándar o aplicaciones desconocidas o proporcionar acceso muy limitado. |
| Low (Baja) | Amenazas a nivel de advertencia que tienen muy poco impacto en la infraestructura de una organización. Suelen requerir servicios físicos o locales el acceso al sistema y, a menudo, puede dar lugar a problemas de privacidad de la víctima y de filtración de información. |
| Informativo | Eventos sospechosos que no representan una amenaza inmediata, pero que para llamar la atención sobre problemas más profundos que podrían existir. |
Excepciones de amenazas
Si decides que el IDS de Cloud genera alertas sobre más amenazas de las necesarias,
puedes inhabilitar los IDs de amenazas ruidosos o innecesarios mediante el
--threat-exceptions. Puedes encontrar los IDs de amenazas existentes
que detecta el IDS de Cloud en tus registros de amenazas. Tienes un límite de 99
excepciones por extremo IDS.
Frecuencia de actualización del contenido
El IDS de Cloud actualiza automáticamente todas las firmas sin la necesidad de un usuario de amenazas, lo que permite que los usuarios se enfoquen en analizar y resolver las amenazas sin administrar ni actualizar firmas. Las actualizaciones de contenido incluyen Application-ID y firmas de amenazas, incluidas las firmas contra vulnerabilidades y software espía.
IDS de Cloud recoge las actualizaciones de Palo Alto Networks diariamente a todos los extremos de IDS existentes. Se estima que la latencia de actualización máxima será de hasta 48 horas.
Logging
Varias funciones del IDS de Cloud generan alertas que se envían a la amenaza registro. Para obtener más información sobre el registro, consulta Registro de IDS de Cloud.
Limitaciones
- Cuando usas las políticas de inspección de firewall L7 de Cloud Next Generation Firewall L7 y el IDS de Cloud de extremos, asegúrate de que las políticas no se apliquen al mismo tráfico. Si se superponen las políticas, prevalece la política de inspección de L7 y el tráfico no se duplica.
¿Qué sigue?
- Para configurar el IDS de Cloud, consulta Configura el IDS de Cloud.