O Cloud IDS é um serviço de detecção de intrusões que fornece serviços detecção de intrusões, malware, spyware e ataques de comando e controle na sua rede. O Cloud IDS cria uma rede com peering gerenciada com instâncias de máquina virtual (VM) espelhadas. Tráfego no app com peering rede é espelhada e, em seguida, inspecionado pelas tecnologias de proteção contra ameaças da Palo Alto Networks para fornecer detecção avançada de ameaças. É possível espelhar todo o tráfego ou tráfego filtrado com base em protocolo, intervalo de endereços IP ou entrada e saída.
O Cloud IDS oferece visibilidade total do tráfego de rede, incluindo norte-sul e leste-oeste, permitindo monitorar a comunicação entre VMs e detectar movimento lateral. Isso fornece um mecanismo de inspeção que inspeciona o tráfego interno da sub-rede.
Também é possível usar o Cloud IDS para atender às exigências de detecção de ameaças avançadas e requisitos de conformidade, incluindo PCI 11.4 e HIPAA.
O Cloud IDS está sujeito à política do Google Cloud Adendo sobre processamento de dados do Cloud.
O Cloud IDS detecta e envia alertas sobre ameaças, mas não toma medidas para evitar ataques ou reparar danos. Para tomar medidas em relação às ameaças que o Cloud IDS detecta, é possível usar produtos como o Google Cloud Armor.
As seções a seguir mostram detalhes sobre os endpoints do SDI e detecção avançada de ameaças.
Endpoints IDS
O Cloud IDS usa um recurso chamado endpoint do IDS, um recurso zonal que pode inspecionar o tráfego de qualquer zona na região. cada endpoint de IDS recebe o tráfego espelhado e realiza uma análise para detectar ameaças.
O acesso a serviços particulares é uma entre sua rede de nuvem privada virtual (VPC) e uma rede de propriedade da pelo Google ou por terceiros. No caso do Cloud IDS, a conexão particular conecta suas VMs às VMs com peering gerenciadas pelo Google. Para endpoints de IDS na mesma rede VPC, a mesma rede VPC será reutilizada, mas uma nova sub-rede será atribuída a cada endpoint. Se for preciso adicionar intervalos de endereços IP a uma conexão particular, você precisa modificar a conexão.
É possível usar o Cloud IDS para criar um endpoint SDI em cada região que que você quer monitorar. É possível criar vários endpoints SDI para cada região. Cada endpoint de IDS tem uma capacidade máxima de inspeção de 5 Gbps. Embora cada O endpoint do SDI lida com picos de tráfego anômalos de até 17 Gbps, recomendamos que você configure um endpoint SDI para cada 5 Gbps de capacidade de processamento que sua rede vivencia.
Políticas de espelhamento de pacote
O Cloud IDS usa o Espelhamento de pacotes do Google Cloud, que cria
uma cópia do tráfego de rede. Depois de criar um endpoint SDI, você precisa anexar
uma ou mais políticas de espelhamento de pacotes a ele. Essas políticas enviam tráfego espelhado
a um endpoint do SDI para inspeção. A lógica do espelhamento de pacotes envia
tráfego de VMs individuais para VMs do IDS gerenciadas pelo Google, por exemplo,
todo o tráfego espelhado de VM1 e VM2 é sempre enviado para IDS-VM1.
Detecção avançada de ameaças
Os recursos de detecção de ameaças do Cloud IDS usam a tecnologia do Palo a seguir: Tecnologias de prevenção de ameaças da Alto Networks.
ID do aplicativo
Palo Alto Networks O ID do aplicativo (App-ID) fornece visibilidade aplicativos em execução na rede. O App-ID usa vários identificadores para determinar a identidade dos aplicativos que atravessam a rede, independentemente de porta, protocolo, tática evasiva ou criptografia. O ID do aplicativo identifica o aplicativo, fornecendo informações para ajudar a protegê-lo.
A lista de IDs de apps é expandida semanalmente, e geralmente de três a cinco novos aplicativos adicionados com base na contribuição de clientes, parceiros e tendências de mercado. Após uma nova O ID do app é desenvolvido e testado, ele é adicionado automaticamente à lista como parte do as atualizações de conteúdo diárias.
As informações do aplicativo estão disponíveis na página Ameaças do IDS no console do Google Cloud.
Conjunto padrão de assinaturas
O Cloud IDS oferece um conjunto padrão de assinaturas de ameaças que podem ser usados imediatamente para proteger sua rede contra ameaças. Na Console do Google Cloud, esse conjunto de assinaturas é chamado de perfil de serviço do Cloud IDS. Você pode personalizar esse conjunto escolhendo o nível mínimo de gravidade de alerta. As assinaturas são usadas para detectar vulnerabilidades e spyware.
As assinaturas de detecção de vulnerabilidades detectam tentativas de explorar falhas do sistema ou tenham acesso não autorizado aos sistemas. Enquanto as assinaturas antispyware ajudam identificar hosts infectados quando o tráfego sai da rede, as vulnerabilidades as assinaturas de detecção protegem contra ameaças que entram na rede.
Por exemplo: assinaturas de detecção de vulnerabilidades ajudam a proteger contra estouros de buffer, execução ilegal de código e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas padrão de detecção de vulnerabilidades fornecem detecção para clientes e servidores de todas as ameaças críticas, altas e médias conhecidas.
As assinaturas antispyware são usadas para detectar spyware em hosts comprometidos. Essas o spyware pode tentar entrar em contato com servidores externos de comando e controle (C2). Quando O Cloud IDS detecta tráfego malicioso que sai da rede e está infectado host, ele gera um alerta que é salvo no registro de ameaças e mostrado no console do Google Cloud.
Níveis de gravidade de ameaças
A gravidade de uma assinatura indica o risco do evento detectado. O Cloud IDS gera alertas para o tráfego correspondente. É possível escolher nível mínimo de gravidade no conjunto de assinaturas padrão. A tabela a seguir que resume os níveis de gravidade de ameaças.
| Severity | Descrição |
|---|---|
| Crítica | Ameaças graves, como as que afetam as instalações padrão dos de software amplamente implantado, resultam no comprometimento raiz dos servidores e onde está amplamente disponível para os atacantes. O invasor geralmente faz sem precisar de credenciais especiais de autenticação ou conhecimento sobre a vítimas individuais, e o alvo não precisa ser manipulado sem executar funções especiais. |
| Alta | As ameaças que podem se tornar críticas, mas há mitigação como, por exemplo, eles podem ser difíceis de explorar, não resultam tenham privilégios elevados ou não tenham um grande conjunto de vítimas. |
| Médio | Ameaças menores nas quais o impacto é minimizado e que não comprometem a ou exploits que exigem que um invasor resida no mesmo local como vítima, afetam apenas configurações fora do padrão ou ocultar aplicativos ou fornecer acesso muito limitado. |
| Baixo | Ameaças de alerta com pouco impacto na infraestrutura de uma organização. Eles geralmente exigem locais o acesso ao sistema e, muitas vezes, pode resultar em problemas de privacidade e vazamento de informações. |
| Informativa | Eventos suspeitos que não representam uma ameaça imediata, mas que são relatadas para chamar a atenção para problemas mais profundos que possam existir. |
Exceções de ameaças
Se você decidir que o Cloud IDS gera alertas sobre mais ameaças do que o necessário,
você pode desativar IDs de ameaças barulhentos ou desnecessários usando o
sinalização --threat-exceptions. É possível encontrar os IDs de ameaça dos
ameaças detectadas pelo Cloud IDS nos registros de ameaças. Você tem um limite de 99
exceções por endpoint SDI.
Frequência de atualização do conteúdo
O Cloud IDS atualiza automaticamente todas as assinaturas sem que nenhum usuário permitindo que os usuários se concentrem na análise e resolução de ameaças sem gerenciar ou atualizar as assinaturas. As atualizações de conteúdo incluem o Application-ID e assinaturas de ameaças, incluindo assinaturas antispyware e vulnerabilidade.
O Cloud IDS recebe atualizações diárias da Palo Alto Networks, enviados para todos os endpoints do SDI atuais. A latência máxima de atualização estimada é de em até 48 horas.
Geração de registros
Vários atributos do Cloud IDS geram alertas, que são enviados ao sistema de registro. Para saber mais sobre a geração de registros, consulte Geração de registros do Cloud IDS.
Limitações
- Quando você usa as políticas de inspeção do Cloud Next Generation Firewall L7 e o Cloud IDS de endpoint, garanta que elas não se apliquem ao mesmo tráfego. Se se sobrepõem, a política de inspeção L7 tem prioridade e o tráfego não é espelhado.
A seguir
- Para configurar o Cloud IDS, consulte Configurar o Cloud IDS.