Cloud IDS 是一种入侵检测服务,可针对您的网络的入侵、恶意软件、间谍软件以及“命令和控制”攻击提供威胁检测。Cloud IDS 的工作原理是创建包含镜像虚拟机 (VM) 实例的 Google 管理的对等互连网络。对对等互连网络中的流量进行镜像,然后由 Palo Alto Networks 威胁防护技术进行检查,以提供高级威胁检测。您可以镜像所有流量,也可以根据协议、IP 地址范围或入站和出站流量对过滤后的流量进行镜像。
Cloud IDS 可让您全面了解网络流量(包括南北流量和东西流量),可让您监控虚拟机之间的通信以检测横向移动。这提供了一个检查子网内流量的检查引擎。
您还可以使用 Cloud IDS 来满足高级威胁检测和合规性要求,包括 PCI 11.4 和 HIPAA 等。
Cloud IDS 受 Google Cloud 的云端数据处理附录的约束。
Cloud IDS 可以检测威胁并发出提醒,但不会采取措施来防范攻击或修复损害。如需对 Cloud IDS 检测到的威胁采取措施,您可以使用 Google Cloud Armor 等产品。
以下部分详细介绍了 IDS 端点和高级威胁检测。
IDS 端点
Cloud IDS 使用称为“IDS 端点”的资源,这是一种可用区级资源,可用于检查来自其所在区域内任何可用区的流量。每个 IDS 端点都会接收镜像流量并执行威胁检测分析。
专用服务访问通道是 Virtual Private Cloud (VPC) 网络与 Google 或第三方拥有的网络之间的专用连接。对于 Cloud IDS,专用连接将您的虚拟机连接到 Google 管理的对等互连虚拟机。对于同一 VPC 网络中的 IDS 端点,系统会重复使用同一专用连接,但会为每个端点分配一个新的子网。如果您需要向现有专用连接添加 IP 地址范围,则必须修改连接。
您可以使用 Cloud IDS 在要监控的每个区域中创建 IDS 端点。您可以为每个区域创建多个 IDS 端点。 每个 IDS 端点的最大检查容量为 5 Gbps。虽然每个 IDS 端点都可以处理高达 17 Gbps 的异常流量峰值,但我们建议您为网络所经历的每 5 Gbps 吞吐量配置一个 IDS 端点。
数据包镜像政策
Cloud IDS 使用 Google Cloud 数据包镜像,可创建网络流量的副本。创建 IDS 端点后,您必须将一项或多项数据包镜像政策附加到该端点。这些政策会将镜像流量发送到单个 IDS 端点进行检查。数据包镜像逻辑会将来自各个虚拟机的所有流量发送到 Google 管理的 IDS 虚拟机:例如,从 VM1 和 VM2 镜像的所有流量始终发送到 IDS-VM1。
高级威胁检测
Cloud IDS 威胁检测功能由以下 Palo Alto Networks 威胁防护技术提供支持。
应用 ID
通过 Palo Alto Networks 的应用 ID (App-ID),您可以了解您的网络上运行的应用。App-ID 使用多种身份识别技术确定遍历网络的应用的身份,而不受端口、协议、规避策略或加密的影响。App-ID 可识别应用,为您提供有助于保护应用的信息。
应用 ID 列表每周都会扩充,并且通常会根据客户、合作伙伴和市场趋势的输入添加 3 到 5 个新应用。新的应用 ID 开发和测试后,会作为每日内容更新的一部分自动添加到列表中。
您可以在 Google Cloud 控制台的 IDS 威胁页面上查看应用信息。
默认签名集
Cloud IDS 提供了一组默认的威胁签名,您可以立即使用它们保护您的网络免受威胁。在 Google Cloud 控制台中,此签名集称为 Cloud IDS 服务配置文件。您可以通过选择最低提醒严重级别来自定义此设置。这些签名用于检测漏洞和间谍软件。
漏洞检测签名用于检测试图利用系统缺陷或未经授权访问系统的行为。反间谍软件签名有助于在流量离开网络时识别受感染的主机,而漏洞检测签名可以防范进入网络的威胁。
例如,漏洞检测签名有助于防范缓冲区溢出、非法代码执行以及其他企图利用系统漏洞的行为。 默认的漏洞检测签名可检测客户端和服务器,防范所有已知的严重、高和中等严重威胁。
反间谍软件签名用于检测遭到入侵的主机上的间谍软件。此类间谍软件可能会尝试联系外部命令和控制 (C2) 服务器。当 Cloud IDS 检测到恶意流量从受感染的主机流出网络时,就会生成一条提醒,该提醒会保存在威胁日志中并显示在 Google Cloud 控制台中。
威胁严重级别
签名的严重性表示检测到的事件的风险,Cloud IDS 会针对匹配的流量生成提醒。您可以在默认签名集中选择最低严重级别。下表汇总了威胁严重级别。
| 严重级别 | 说明 |
|---|---|
| 严重 | 严重的威胁(例如影响广泛部署的软件的默认安装的威胁)会导致服务器的根入侵,并且攻击者可以广泛获取漏洞代码。攻击者通常不需要任何特殊的身份验证凭据或有关个体受害者的知识,并且不需要操控目标以执行任何特殊功能。 |
| 高 | 能够变得至关重要但有缓解因素的威胁,例如,可能难以利用、不会导致特权获得提升,或者受害者群体不大规模。 |
| 中 | 影响最小的威胁,不破坏目标;或者需要攻击者与受害者置于同一本地网络的漏洞;仅影响非标准配置、隐藏应用;或提供非常有限的访问。 |
| 低 | 对组织基础架构影响很小的警告级别威胁。它们通常需要访问本地或物理系统,并且经常可能导致受害者隐私问题和信息泄露。 |
| 信息 | 不会构成直接威胁,但被报告用来引起人们注意可能存在的更深层问题的可疑事件。 |
威胁例外情况
如果您决定 Cloud IDS 针对超出必要数量的威胁生成提醒,则可以使用 --threat-exceptions 标志停用嘈杂的威胁 ID 或不必要的威胁 ID。您可以在威胁日志中找到 Cloud IDS 检测到的现有威胁的威胁 ID。每个 IDS 端点最多只能包含 99 个例外情况。
内容更新频率
Cloud IDS 会自动更新所有签名,而无需任何用户干预,这让用户能够专注于分析和解决威胁,而无需管理或更新签名。内容更新包括应用 ID 和威胁签名,包括漏洞和反间谍软件签名。
Cloud IDS 每天都会从 Palo Alto Networks 获取更新,并将其推送到所有现有 IDS 端点。最长更新延迟时间预计为 48 小时。
日志记录
Cloud IDS 的多项功能会生成提醒,并将提醒发送到威胁日志。如需详细了解日志记录,请参阅 Cloud IDS 日志记录。
限制
- 使用 Cloud Next Generation Firewall L7 检查政策和 Cloud IDS 端点政策时,请确保这些政策不会应用于相同的流量。如果政策重叠,则优先采用 L7 检查政策,不对流量进行镜像。
后续步骤
- 要设置 Cloud IDS,请参阅配置 Cloud IDS。