Cloud IDS 是一种入侵检测服务, 检测入侵、恶意软件、间谍软件以及“命令和控制”攻击 。Cloud IDS 的工作原理是 具有镜像虚拟机 (VM) 实例的网络。对等互连中的流量 会对网络进行镜像 通过 Palo Alto Networks 威胁防护技术的检测, 高级威胁检测。您可以镜像所有流量,也可以镜像 根据协议、IP 地址范围或入站流量和出站流量来过滤的流量。
Cloud IDS 可让您全面了解网络流量,包括 从北向南和东西向的流量,让您可以监控虚拟机之间的 检测横向移动。它提供了一个检查引擎,用于检查 子网内流量
您还可以使用 Cloud IDS 来满足高级威胁检测和 合规性要求,包括 PCI 11.4 和 HIPAA。
Cloud IDS 需遵守 Google Cloud 的 云端数据处理附录。
Cloud IDS 可以检测威胁并发出提醒,但不会 以防止攻击或修复损坏。针对 Cloud IDS 的威胁采取行动 您可以使用 Google Cloud Armor 等产品。
以下部分详细介绍了 IDS 端点和 高级威胁检测。
IDS 端点
Cloud IDS 使用称为 IDS 端点的资源,即可用可用区级资源 可以检查来自其所在区域内任何可用区的流量。每个 IDS 端点 接收镜像流量并执行威胁检测分析。
专用服务访问通道是一种专用服务访问, 虚拟私有云 (VPC) 网络与 Google 或第三方。对于 Cloud IDS,专用连接 将您的虚拟机连接到 Google 管理的对等互连虚拟机。 对于同一 VPC 网络中的 IDS 端点, 连接会被重用,但会为每个端点分配一个新子网。 如果您需要向现有专用连接添加 IP 地址范围, 您必须 修改连接。
您可以使用 Cloud IDS 在每个区域 监控指标您可以为每个区域创建多个 IDS 端点。 每个 IDS 端点的最大检查容量为 5 Gbps。虽然每个 IDS 端点可以处理高达 17 Gbps 的异常流量高峰, 建议为每 5 Gbps 的吞吐量配置一个 IDS 端点 您的网络所经历的环境。
数据包镜像政策
Cloud IDS 使用 Google Cloud 数据包镜像,
网络流量副本创建 IDS 端点后,您必须附加
一项或多项数据包镜像政策。这些政策会发送镜像流量
单个 IDS 端点进行检查。数据包镜像逻辑会将所有
从单个虚拟机传输到 Google 管理的 IDS 虚拟机的流量:
从 VM1 和 VM2 镜像的所有流量始终发送到 IDS-VM1。
高级威胁检测
Cloud IDS 威胁检测功能由以下 Palo 提供支持 Alto Networks 威胁防护技术。
应用 ID
Palo Alto Networks应用 ID (App-ID) 可帮助您了解 网络中运行的应用App-ID 使用多重身份识别 确定遍历网络的应用身份的技术, 而不得使用它们。应用 ID 标识 并为您提供有助于保护应用安全的知识。
应用 ID 列表每周都会扩充,一般会新增三到五个新应用 。新 应用 ID 经过开发和测试后,作为应用 ID 的一部分自动添加到列表中 每日内容更新
您可以在 IDS 威胁页面上 Google Cloud 控制台。
默认签名集
Cloud IDS 提供一组默认的 威胁特征 可立即用于保护您的网络免受威胁。在 这个签名集称为 Cloud IDS 服务配置文件。 您可以通过选择最低提醒严重级别来自定义此设置。通过 签名用于检测漏洞和间谍软件。
漏洞检测签名用于检测试图利用系统缺陷的行为 或对系统进行未经授权的访问虽然反间谍软件签名 在流量离开网络时识别受感染的主机、 检测签名可以防止进入网络的威胁。
例如: 漏洞检测签名有助于防范缓冲区溢出, 非法代码执行以及其他试图利用系统漏洞的行为。 默认的漏洞检测签名为客户端提供检测 和服务器免受所有已知的严重、高和中严重威胁。
反间谍软件签名用于检测遭到入侵的主机上的间谍软件。此类 间谍软件可能会尝试联系外部命令和控制 (C2) 服务器。时间 Cloud IDS 可检测离开网络受感染的恶意流量 它就会生成一条警报,该警报将保存在威胁日志中,并显示 Google Cloud 控制台中。
威胁严重级别
签名的严重性表示所检测到事件的风险。 Cloud IDS 会针对匹配的流量生成提醒。您可以选择 默认签名集中的最低严重级别下表 汇总了威胁严重级别。
| 严重程度 | 说明 |
|---|---|
| 严重 | 严重的威胁,如影响 广泛部署的软件,会导致服务器的 root 入侵,以及 利用代码普遍可供攻击者使用。攻击者通常会 不需要任何特殊的身份验证凭据或 而目标无需通过操纵 任何特殊功能。 |
| 高 | 能够变得关键但有缓和的威胁 等因素,例如它们可能难以利用、未导致 或没有大规模的受害者池。 |
| 中 | 轻微威胁,最大限度地减少影响, 或需要攻击者驻留在同一本地系统的漏洞 仅影响非标准配置或 或提供非常有限的访问权限。 |
| 低 | 对组织基础架构影响很小的警告级别威胁。通常需要在本地或 通常会导致受害者隐私问题 信息泄露。 |
| 信息 | 不会造成直接威胁的可疑事件, 能够引起人们对可能存在的更深层问题的注意。 |
威胁例外情况
如果您决定 Cloud IDS 针对超出必要数量的威胁生成警报,
您可以使用
--threat-exceptions 标志。您可以查找现有
Cloud IDS 检测到的威胁。您最多可添加 99 个
每个 IDS 端点的例外项。
内容更新频率
Cloud IDS 会自动更新所有签名,而无需任何用户 使用户能够专注于分析和解决威胁 而无需管理或更新签名。内容更新包括应用 ID 和威胁特征,包括漏洞和反间谍软件特征。
Cloud IDS 每天都会从 Palo Alto Networks 获取更新, 推送至所有现有 IDS 端点最大更新延迟时间预计为 最长 48 小时。
日志记录
Cloud IDS 的多项功能会生成警报,然后将警报发送给威胁组织 日志。如需详细了解日志记录,请参阅 Cloud IDS 日志记录。
限制
- 当您使用 Cloud Next Generation Firewall L7 检查政策和 Cloud IDS 时 端点政策,请确保这些政策不会应用于相同的流量。如果 如果政策重叠,则优先采用 L7 检查政策, 不会进行镜像反转
后续步骤
- 如需设置 Cloud IDS,请参阅 配置 Cloud IDS。