Cloud IDS는 네트워크에 대한 침입, 멀웨어, 스파이웨어, 명령어 제어 공격 위협을 감지하는 침입 감지 서비스입니다. Cloud IDS는 미러링된 가상 머신(VM) 인스턴스가 있는 Google에서 관리하는 피어링된 네트워크를 만들어 작동합니다. 피어링된 네트워크의 트래픽은 미러링된 후 고급 위협 감지를 제공하는 Palo Alto Networks 위협 보호 기술을 통해 검사됩니다. 모든 트래픽을 미러링하거나 프로토콜, IP 주소 범위 또는 인그레스와 이그레스를 기준으로 필터링된 트래픽을 미러링할 수 있습니다.
Cloud IDS는 North-South 트래픽과 East-West 트래픽을 모두 포함한 네트워크 트래픽을 완전히 파악할 수 있으므로 VM 간 통신을 모니터링하여 측면 이동을 감지할 수 있습니다. 이러한 방식으로 서브넷 내 트래픽을 검사하는 검사 엔진을 제공합니다.
또한 Cloud IDS를 사용하여 PCI 11.4 및 HIPAA를 포함한 고급 위협 감지 요구사항과 규정 준수 요구사항을 충족할 수 있습니다.
Cloud IDS에는 Google Cloud의 Cloud 데이터 처리 추가 조항이 적용됩니다.
Cloud IDS는 위협을 감지하고 알리지만 공격 방지나 손상 복구에 필요한 조치를 취하지 않습니다. Cloud IDS에서 감지한 위협에 필요한 조치를 취하려면 Cloud Next Generation Firewall과 같은 제품을 사용하면 됩니다.
다음 섹션에서는 IDS 엔드포인트와 고급 위협 감지를 자세히 설명합니다.
IDS 엔드포인트
Cloud IDS는 리전 내 모든 영역에서 트래픽을 검사할 수 있는 영역별 리소스인 IDS 엔드포인트 리소스를 사용합니다. 각 IDS 엔드포인트는 미러링된 트래픽을 수신하고 위협 감지 분석을 수행합니다.
비공개 서비스 액세스는 가상 프라이빗 클라우드(VPC) 네트워크와 Google 또는 서드 파티 소유의 네트워크 간의 비공개 연결입니다. Cloud IDS의 경우 이러한 비공개 연결에서 VM을 Google에서 관리하는 피어링된 VM에 연결합니다. 같은 VPC 네트워크에 있는 IDS 엔드포인트의 경우 동일한 비공개 연결이 재사용되지만 엔드포인트마다 새 서브넷이 할당됩니다. IP 주소 범위를 기존 비공개 연결에 추가해야 하는 경우에는 연결을 수정해야 합니다.
Cloud IDS를 사용하여 모니터링할 리전마다 IDS 엔드포인트를 만들 수 있습니다. 리전마다 IDS 엔드포인트를 여러 개 만들 수 있습니다. 각 IDS 엔드포인트의 최대 검사 용량은 5Gbps입니다. 각 IDS 엔드포인트는 이상 트래픽 급증을 최대 17Gbps까지 처리할 수 있지만 네트워크에서 발생하는 처리량 5Gbps마다 IDS 엔드포인트를 하나씩 구성하는 것이 좋습니다.
패킷 미러링 정책
Cloud IDS는 Google Cloud 패킷 미러링을 사용하여 네트워크 트래픽 복사본을 만듭니다. IDS 엔드포인트를 만든 후 이 엔드포인트에 패킷 미러링 정책을 하나 이상 연결해야 합니다. 이러한 정책은 검사를 위해 미러링된 트래픽을 단일 IDS 엔드포인트로 보냅니다. 패킷 미러링 로직은 개별 VM에서 Google 관리 IDS VM으로 모든 트래픽을 전송합니다. 예를 들어 VM1 및 VM2에서 미러링된 모든 트래픽은 항상 IDS-VM1으로 전송됩니다.
고급 위협 감지
Cloud IDS 위협 감지 기능은 다음 Palo Alto Networks 위협 방지 기술을 기반으로 합니다.
앱 ID
Palo Alto Networks의 애플리케이션 ID(앱 ID)를 사용하면 네트워크에서 실행 중인 애플리케이션을 파악할 수 있습니다. 앱 ID는 여러 식별 기술을 사용하여 포트, 프로토콜, 회피 전략 또는 암호화에 관계없이 네트워크를 통과하는 애플리케이션의 ID를 확인합니다. 앱 ID는 애플리케이션을 식별하여 애플리케이션을 보호하는 데 도움이 되는 지식을 제공합니다.
앱 ID 목록은 매주 확장되며 일반적으로 고객과 파트너의 의견 및 시장 동향에 따라 새로운 애플리케이션 3~5개가 추가됩니다. 새 앱 ID가 개발되고 테스트되면 일일 콘텐츠 업데이트를 통해 목록에 자동으로 추가됩니다.
Google Cloud 콘솔의 IDS 위협 페이지에서 애플리케이션 정보를 볼 수 있습니다.
기본 서명 집합
Cloud IDS는 위협으로부터 네트워크를 보호하는 데 즉시 사용할 수 있는 기본 위협 서명 집합을 제공합니다.Google Cloud 콘솔에서는 이 서명 집합을 Cloud IDS 서비스 프로필이라고 합니다. 최소 알림 심각도 수준을 선택하여 이 집합을 맞춤설정할 수 있습니다. 서명은 취약점과 스파이웨어를 감지하는 데 사용됩니다.
취약점 감지 서명은 시스템 결함을 악용하거나 시스템에 대한 무단 액세스 권한을 획득하려는 시도를 감지합니다. 스파이웨어 백신 서명은 트래픽이 네트워크에서 나갈 때 감염된 호스트를 식별하는 데 도움이 되는 반면 취약점 감지 서명은 네트워크에 들어오는 위협으로부터 보호합니다.
예를 들어 취약점 감지 서명은 버퍼 오버플로, 잘못된 코드 실행, 기타 시스템 취약점 악용 시도로부터 보호하는 데 도움이 됩니다. 기본 취약점 감지 서명은 알려진 모든 매우 높은 심각도 위협, 높은 심각도 위협, 중간 심각도 위협을 클라이언트와 서버에서 감지합니다.
스파이웨어 백신 서명은 손상된 호스트에서 스파이웨어를 감지하는 데 사용됩니다. 이러한 스파이웨어는 외부 명령어 제어(C2) 서버에 연결을 시도할 수 있습니다. Cloud IDS가 감염된 호스트에서 네트워크를 나가는 악의적인 트래픽을 탐지하면 위협 로그에 저장되고 Google Cloud 콘솔에 표시되는 알림을 생성합니다.
위협 심각도 수준
서명 심각도는 감지된 이벤트 위험을 나타내며 Cloud IDS는 일치하는 트래픽에 대한 알림을 생성합니다. 기본 서명 집합에서 최소 심각도 수준을 선택할 수 있습니다. 다음 표에는 위협 심각도 수준이 요약되어 있습니다.
| 심각도 | 설명 |
|---|---|
| 매우 높음 | 광범위하게 배포된 소프트웨어의 기본 설치에 영향을 미치는 위협과 같은 심각한 위협은 서버에 근본적인 손상을 일으키고 공격자는 이러한 위협을 통해 다양한 악용 코드를 사용할 수 있습니다. 공격자는 일반적으로 개별 피해자에 대한 특수 사용자 인증 정보나 지식이 필요하지 않으며 특수 함수를 수행하기 위해 대상을 조작할 필요가 없습니다. |
| 높음 | 심각할 수 있지만 해결 방법이 있는 위협입니다. 예를 들어 이러한 위협은 악용하기 쉽지 않거나 권한 승격을 일으키지 않거나 피해 범위가 크지 않습니다. |
| 중간 | 영향이 최소화되어 대상을 손상시키지 않는 경미한 위협 또는 공격자가 피해자와 동일한 로컬 네트워크에 상주해야 하는 악용은 표준이 아닌 구성이나 모호한 애플리케이션에만 영향을 미치거나 매우 제한적인 액세스 권한을 제공합니다. |
| 낮음 | 조직 인프라에 거의 영향을 주지 않는 경고 수준 위협입니다. 일반적으로 로컬 또는 물리적 시스템 액세스 권한이 필요하며 피해자 개인 정보 보호 문제와 정보 유출이 발생하는 경우가 많습니다. |
| 정보 제공 | 즉각적인 위협을 초래하지는 않지만 좀 더 심각한 문제가 존재할 수 있음을 나타내는 의심스러운 이벤트입니다. |
위협 예외
Cloud IDS에서 위협 알림을 필요 이상으로 생성하는 경우 --threat-exceptions 플래그를 사용하여 너무 많거나 불필요한 위협 ID를 사용 중지할 수 있습니다. 위협 로그에서 Cloud IDS가 감지한 기존 위협의 위협 ID를 찾을 수 있습니다. 예외 수는 IDS 엔드포인트당 99개로 제한됩니다.
콘텐츠 업데이트 빈도
Cloud IDS는 사용자 개입 없이 모든 서명을 자동으로 업데이트하므로 사용자는 서명을 관리하거나 업데이트하지 않고도 위협을 분석하고 해결하는 데 집중할 수 있습니다. 콘텐츠 업데이트에는 취약점 및 스파이웨어 백신 서명을 포함한 앱 ID와 위협 서명이 포함됩니다.
Cloud IDS는 Palo Alto Networks의 업데이트를 매일 선택하여 모든 기존 IDS 엔드포인트로 내보냅니다. 업데이트 지연 시간은 최대 48시간으로 예상됩니다.
로깅
Cloud IDS의 여러 기능은 위협 로그로 전송되는 알림을 생성합니다. 로깅에 대한 자세한 내용은 Cloud IDS 로깅을 참조하세요.
제한사항
- Cloud NGFW 레이어 7 검사 정책과 Cloud IDS 엔드포인트 정책을 사용할 경우 이러한 정책이 같은 트래픽에 적용되지 않도록 해야 합니다. 정책이 겹치면 레이어 7 검사 정책이 우선시되며 트래픽은 미러링되지 않습니다.
다음 단계
- Cloud IDS를 설정하려면 Cloud IDS 구성을 참조하세요.