Cloud IDS è un servizio di rilevamento delle intrusioni che fornisce rilevamento di intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Cloud IDS funziona creando un modello di conversione in peering con istanze di macchine virtuali (VM) con mirroring. Traffico nel traffico in peering viene sottoposto a mirroring e quindi viene controllato dalle tecnologie di protezione dalle minacce di Palo Alto Networks per fornire il rilevamento avanzato delle minacce. Puoi eseguire il mirroring di tutto il traffico o di quello filtrato in base al protocollo, all'intervallo di indirizzi IP o all'ingresso e all'uscita.
Cloud IDS offre visibilità completa sul traffico di rete, inclusi il traffico da nord-sud e est-ovest, consentendoti di monitorare le comunicazioni da VM a VM rilevare i movimenti laterali. Offre un motore di ispezione che controlla il traffico intra-subnet.
Puoi anche utilizzare Cloud IDS per soddisfare i requisiti di conformità e di rilevamento delle minacce avanzate, inclusi PCI 11.4 e HIPAA.
Cloud IDS è soggetto alle norme Addendum per il trattamento dei dati Cloud.
Cloud IDS rileva le minacce e genera avvisi, ma non interviene per impedire gli attacchi o riparare i danni. Per intervenire sulle minacce che Cloud IDS rileva, puoi utilizzare prodotti quali Google Cloud Armor.
Le sezioni seguenti forniscono dettagli sugli endpoint IDS e il rilevamento avanzato delle minacce.
Endpoint IDS
Cloud IDS utilizza una risorsa nota come endpoint IDS, una risorsa di zona che può ispezionare il traffico da qualsiasi zona della regione. Ogni endpoint IDS riceve traffico sottoposto a mirroring ed esegue l'analisi del rilevamento delle minacce.
L'accesso privato ai servizi è una connessione privata tra la tua rete Virtual Private Cloud (VPC) e una rete di proprietà di Google o di terze parti. Nel caso di Cloud IDS, la connessione privata connette le tue VM alle VM in peering gestite da Google. Per gli endpoint IDS nella stessa rete VPC, la stessa rete privata viene riutilizzata, ma viene assegnata una nuova subnet a ciascun endpoint. Per aggiungere intervalli di indirizzi IP a una connessione privata esistente, devi modificare la connessione.
Puoi utilizzare Cloud IDS per creare un endpoint IDS in ogni regione che vuoi monitorare. Puoi creare più endpoint IDS per ogni regione. Ogni endpoint IDS ha una capacità di ispezione massima di 5 Gbps. Mentre ogni L’endpoint IDS è in grado di gestire picchi di traffico anomali fino a 17 Gbps, è consigliabile configurare un endpoint IDS per ogni 5 Gbps di velocità effettiva esperienze della tua rete.
Criteri di mirroring dei pacchetti
Cloud IDS utilizza il mirroring pacchetto Google Cloud, che crea
una copia del traffico di rete. Dopo aver creato un endpoint IDS, devi associarvi uno o più criteri di mirroring dei pacchetti. Questi criteri inviano il traffico sottoposto a mirroring
a un singolo endpoint IDS per l'ispezione. La logica di mirroring pacchetto invia tutte
traffico da singole VM a VM IDS gestite da Google: ad esempio,
tutto il traffico con mirroring da VM1 e VM2 viene sempre inviato a IDS-VM1.
Rilevamento avanzato delle minacce
Le funzionalità di rilevamento delle minacce di Cloud IDS si basano sulle seguenti tecnologie di Palo Alto Networks per la prevenzione delle minacce.
Application-ID
L'ID applicazione (App-ID) di Palo Alto Networks fornisce visibilità sulle applicazioni in esecuzione sulla rete. App-ID utilizza più tecniche di identificazione per determinare l'identità delle applicazioni che attraversano la tua rete, indipendentemente da porta, protocollo, tattica evasiva o crittografia. L'ID app identifica la tua applicazione, fornendoti le informazioni necessarie per proteggerla.
L'elenco degli ID app viene ampliato settimanalmente, con in genere da tre a cinque nuove applicazioni aggiunte in base ai feedback di clienti, partner e tendenze di mercato. Dopo un nuovo App-ID è stato sviluppato e testato, viene aggiunto automaticamente all'elenco come parte gli aggiornamenti giornalieri dei contenuti.
Puoi visualizzare le informazioni sull'applicazione nella pagina Minacce IDS nella console Google Cloud.
Firma predefinita impostata
Cloud IDS fornisce un set predefinito firme delle minacce che puoi utilizzare immediatamente per proteggere la tua rete dalle minacce. Nella console Google Cloud, questo insieme di firme è chiamato profilo del servizio Cloud IDS. Puoi personalizzare questo insieme scegliendo il livello di gravità minimo dell'avviso. Le firme vengono utilizzate per rilevare vulnerabilità e spyware.
Le firme per il rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti di sistema. o di ottenere l'accesso non autorizzato ai sistemi. Sebbene le firme anti-spyware aiutino a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento delle vulnerabilità proteggono dalle minacce che entrano nella rete.
Ad esempio, le firme di rilevamento delle vulnerabilità aiutano a proteggersi da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme di rilevamento delle vulnerabilità predefinite forniscono il rilevamento per i client e i server da tutte le minacce note di gravità critica, elevata e media.
Le firme anti-spyware vengono utilizzate per rilevare gli spyware sugli host compromessi. Questo tipo di spyware potrebbe tentare di contattare server di comando e controllo (C2) esterni. Quando Cloud IDS rileva traffico dannoso in uscita dalla rete da host infetti, genera un avviso che viene salvato nel log delle minacce e visualizzato nella console Google Cloud.
Livelli di gravità delle minacce
La gravità della firma indica il rischio dell'evento rilevato e Cloud IDS genera avvisi per il traffico corrispondente. Puoi scegliere livello di gravità minimo nel set di firme predefinito. La tabella seguente riassume i livelli di gravità della minaccia.
| Gravità | Descrizione |
|---|---|
| Critico | Minacce gravi, ad esempio quelle che influiscono sulle installazioni predefinite un software ampiamente distribuito, comportano la compromissione root dei server e è ampiamente disponibile per i malintenzionati. L'aggressore di solito non sono necessarie credenziali di autenticazione speciali o conoscenze le singole vittime e non è necessario manipolare il bersaglio durante l'esecuzione di funzioni speciali. |
| Alta | Minacce che possono diventare critiche, ma che stanno attenuando ad esempio difficili da sfruttare, non generano con privilegi elevati o di non avere un vasto pool di vittime. |
| Medio | Minacce di minore entità in cui l’impatto è ridotto al minimo e che non compromettono o exploit che richiedono che un aggressore risieda sullo stesso rete come vittima, interessano solo configurazioni non standard o oscurare le applicazioni o fornire un accesso molto limitato. |
| Bassa | Minacce a livello di avviso che hanno un impatto molto scarso su una dell'infrastruttura dell'organizzazione. In genere richiedono accesso locale o fisico al sistema e spesso possono causare problemi di privacy e fughe di informazioni per le vittime. |
| Informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per attirare l'attenzione su problemi più profondi che potrebbero esistere. |
Eccezioni alle minacce
Se ritieni che Cloud IDS generi avvisi su più minacce del necessario,
puoi disattivare gli ID minaccia rumorosi o altrimenti non necessari utilizzando il
flag --threat-exceptions. Puoi trovare gli ID delle minacce esistenti rilevate da Cloud IDS nei log delle minacce. Hai un limite massimo di 99
eccezioni per endpoint IDS.
Frequenza di aggiornamento dei contenuti
Cloud IDS aggiorna automaticamente tutte le firme senza alcun intervento da parte dell'utente, consentendogli di concentrarsi sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme. Gli aggiornamenti dei contenuti includono Application-ID e le firme delle minacce, incluse le firme contro le vulnerabilità e gli spyware.
Gli aggiornamenti di Palo Alto Networks vengono rilevati quotidianamente da Cloud IDS e inviati a tutti gli endpoint IDS esistenti. Si stima che la latenza massima di aggiornamento sia fino a 48 ore.
Logging
Diverse funzionalità di Cloud IDS generano avvisi, che vengono inviati alla minaccia log. Per ulteriori informazioni sul logging, consulta Logging di Cloud IDS.
Limitazioni
- Quando utilizzi i criteri di ispezione di Cloud Next Generation Firewall L7 e Cloud IDS dei tuoi endpoint, assicurati che i criteri non si applichino allo stesso traffico. Se i criteri si sovrappongono, il criterio di ispezione L7 ha la priorità e il traffico non viene sottoposto a mirroring.
Passaggi successivi
- Per configurare Cloud IDS, consulta Configurare Cloud IDS.