Cloud IDS est un service de détection des intrusions qui fournit détection des intrusions, des logiciels malveillants, des logiciels espions et des attaques de commande et de contrôle sur votre réseau. Cloud IDS crée un réseau appairé géré par Google avec des instances de machines virtuelles (VM) mises en miroir. Trafic dans l'environnement appairé réseau est mis en miroir, puis inspectée par les technologies de protection contre les menaces de Palo Alto Networks pour fournir une détection avancée des menaces. Vous pouvez dupliquer tout le trafic le trafic filtré en fonction du protocole, de la plage d'adresses IP, ou de l'entrée et de la sortie.
Cloud IDS offre une visibilité complète sur le trafic réseau, y compris le trafic nord-sud et est-ouest, ce qui vous permet de surveiller la communication détecter les mouvements latéraux. Cela fournit un moteur d'inspection qui inspecte le trafic intra-sous-réseau.
Vous pouvez également utiliser Cloud IDS pour atteindre vos objectifs les exigences de conformité, y compris PCI 11.4 et HIPAA.
Cloud IDS est soumis aux Avenant relatif au traitement des données dans le cloud.
Cloud IDS détecte les menaces et vous alerte en cas de menaces, mais ne prend aucune mesure pour à prévenir les attaques ou à réparer les dommages. Pour faire face aux menaces pesant sur Cloud IDS détecte, vous pouvez utiliser des produits tels que Google Cloud Armor.
Les sections suivantes fournissent des détails sur les points de terminaison IDS et une détection avancée des menaces.
Points de terminaison IDS
Cloud IDS utilise une ressource appelée point de terminaison IDS, une ressource zonale capable d'inspecter le trafic provenant de n'importe quelle zone dans sa région. Chaque point de terminaison IDS reçoit le trafic mis en miroir et analyse la détection des menaces.
L'accès aux services privés est une couche entre votre réseau de cloud privé virtuel (VPC) et un réseau appartenant à Google ou un tiers. Dans le cas de Cloud IDS, la connexion privée qui connecte vos VM aux VM appairées gérées par Google. Pour les points de terminaison IDS d'un même réseau VPC, est réutilisée, mais un nouveau sous-réseau est attribué à chaque point de terminaison. Si vous devez ajouter des plages d'adresses IP à une connexion privée existante, vous devez modifier la connexion.
Vous pouvez utiliser Cloud IDS pour créer un point de terminaison IDS dans chaque région que vous souhaitez surveiller. Vous pouvez créer plusieurs points de terminaison IDS pour chaque région. Chaque point de terminaison IDS a une capacité d'inspection maximale de 5 Gbit/s. Bien que chaque IDS peut gérer des pics de trafic anormaux allant jusqu'à 17 Gbit/s. Nous vous recommandons de configurer un point de terminaison IDS pour chaque tranche de 5 Gbit/s de débit. que votre réseau rencontre.
Règles de mise en miroir de paquets
Cloud IDS utilise la mise en miroir de paquets Google Cloud, qui crée
une copie de votre trafic réseau. Après avoir créé un point de terminaison IDS, vous devez l'associer
une ou plusieurs règles de mise en miroir de paquets. Ces règles envoient le trafic mis en miroir
à un seul point de terminaison IDS pour inspection. La logique de mise en miroir de paquets envoie
le trafic des VM individuelles vers les VM IDS gérées par Google :
tout le trafic mis en miroir à partir de VM1 et VM2 est toujours envoyé à IDS-VM1.
Détection avancée des menaces
Les fonctionnalités de détection des menaces Cloud IDS sont optimisées par les technologies de prévention des menaces Alto Networks.
ID application
Palo Alto Networks L'ID d'application offre une visibilité sur les applications exécutées sur votre réseau. L'ID de l'application utilise plusieurs identifications pour déterminer l'identité des applications qui transitent sur votre réseau, indépendamment du port, du protocole, de la tactique d'évasive ou du chiffrement. L'ID de l'application identifie l'application, ce qui vous apporte les connaissances nécessaires pour la sécuriser.
La liste des ID d'application est étendue chaque semaine, avec trois à cinq nouvelles applications généralement en fonction des commentaires des clients et des partenaires, et des tendances du marché. Après une nouvelle App-ID est développé et testé. Il est automatiquement ajouté à la liste les mises à jour quotidiennes du contenu.
Vous pouvez afficher des informations sur l'application sur la page Menaces IDS dans le console Google Cloud.
Accéder à la page "Menaces IDS"
Ensemble de signatures par défaut
Cloud IDS fournit un ensemble par défaut signatures de menaces que vous pouvez utiliser immédiatement pour protéger votre réseau contre les menaces. Dans dans la console Google Cloud, cet ensemble de signatures est appelé profil de service Cloud IDS. Vous pouvez personnaliser cet ensemble en choisissant le niveau minimal de gravité des alertes. Les signatures sont utilisées pour détecter les failles et les logiciels espions.
Les signatures de détection des failles détectent les tentatives d'exploitation des failles du système. ou d'accéder à des systèmes sans autorisation. Même si les signatures anti-espion identifier les hôtes infectés lorsque le trafic quitte le réseau, les failles les signatures de détection protègent contre les menaces qui pénètrent dans le réseau.
Par exemple : les signatures de détection des failles permettent de se protéger contre les dépassements de mémoire tampon, l’exécution de code illégal et d’autres tentatives d’exploitation des vulnérabilités du système. Les signatures de détection des failles par défaut permettent de détecter les clients et les serveurs contre toutes les menaces connues critiques, élevées et moyennes.
Les signatures anti-espion permettent de détecter les logiciels espions sur les hôtes compromis. Telles Les logiciels espions peuvent tenter de contacter des serveurs de commande et de contrôle (C2) externes. Quand ? Cloud IDS détecte le trafic malveillant quittant votre réseau il génère une alerte enregistrée dans le journal des menaces dans la console Google Cloud.
Niveaux de gravité des menaces
La gravité d'une signature indique le risque de l'événement détecté, et Cloud IDS génère des alertes pour le trafic mis en correspondance. Vous pouvez choisir niveau de gravité minimal dans l'ensemble de signatures par défaut. Le tableau suivant les niveaux de gravité des menaces.
| Gravité | Description |
|---|---|
| Critique | Les menaces graves, telles que celles qui affectent les installations par défaut les logiciels les plus répandus peuvent compromettre la racine des serveurs. code d’exploitation est largement accessible aux attaquants. L’attaquant fait généralement n'ont pas besoin d'identifiants d'authentification spéciaux ni de connaissances des victimes individuelles, et la cible n'a pas besoin d'être manipulée l'exécution de fonctions spéciales. |
| Élevée | Menaces qui peuvent devenir critiques, mais qui requièrent une atténuation facteurs externes. Par exemple, ils peuvent être difficiles à exploiter, ils n'entraînent pas qui disposent de privilèges élevés ou qui n'ont pas un grand nombre de victimes. |
| Moyenne | Menaces mineures dont l'impact est minimisé et qui ne compromettent pas le cibles ou les exploits qui nécessitent qu'un attaquant réside sur le même site en tant que victime, elles n'affectent que les configurations non standards dissimuler des applications ou fournir un accès très limité. |
| Faible | Menaces de niveau "avertissement" qui ont très peu d'impact sur l'infrastructure d'une organisation. Elles ont généralement besoin d'un local ou d'un ce qui peut souvent entraîner des problèmes de confidentialité la fuite d’informations. |
| Information | Événements suspects qui ne constituent pas une menace immédiate, mais qui sont signalées pour attirer l'attention sur des problèmes plus profonds qui pourraient éventuellement exister. |
Exception(s) à la menace
Si vous décidez que Cloud IDS
génère plus de menaces que nécessaire,
vous pouvez désactiver les ID de menace bruyants ou inutiles à l'aide du
--threat-exceptions. Vous trouverez les ID de menace
détectées par Cloud IDS dans vos journaux de menaces. Vous êtes limité à 99 ans.
par point de terminaison IDS.
Fréquence de mise à jour des contenus
Cloud IDS met automatiquement à jour toutes les signatures ce qui permet aux utilisateurs de se concentrer sur l'analyse et la résolution des menaces. sans gérer ni mettre à jour les signatures. Les mises à jour de contenu incluent l'ID application et les signatures de menaces, y compris les signatures de failles et anti-espions.
Les mises à jour de Palo Alto Networks sont récupérées quotidiennement par Cloud IDS et envoyés à tous les points de terminaison IDS existants. La latence maximale de mise à jour est estimée à jusqu'à 48 heures.
Journalisation
Plusieurs fonctionnalités de Cloud IDS génèrent des alertes qui sont envoyées journal. Pour en savoir plus sur la journalisation, consultez Cloud IDS Logging :
Limites
- Lorsque vous utilisez les règles d'inspection Cloud nouvelle génération de pare-feu L7 et Cloud IDS des stratégies de point de terminaison, assurez-vous qu'elles ne s'appliquent pas au même trafic. Si les règles se chevauchent, la règle d'inspection L7 est prioritaire, et le trafic n'est pas dupliquée.
Étape suivante
- Pour configurer Cloud IDS, consultez Configurez Cloud IDS.