Cloud IDS ist ein Einbruchserkennungsdienst, der Bedrohungserkennung bei Einbrüchen, Malware, Spyware und Command-and-Control-Angriffen in Ihrem Netzwerk bietet. Cloud IDS erstellt eine von Google verwaltete Peering-Verbindung. mit gespiegelten VM-Instanzen. Der Traffic im Peering-Netzwerk wird gespiegelt und dann von den Bedrohungsschutztechnologien von Palo Alto Networks geprüft, um eine erweiterte Bedrohungserkennung zu ermöglichen. Sie können den gesamten Traffic oder gefilterten Traffic nach Protokoll, IP-Adressbereich oder Ein- und Ausgang spiegeln.
Cloud IDS bietet vollständige Transparenz für den Netzwerktraffic, einschließlich Nord-Süd- und Ost-West-Traffic, sodass Sie die VM-zu-VM-Kommunikation überwachen und laterale Ausbreitung erkennen können. Damit erhalten Sie eine Inspektions-Engine, Subnetz-interner Traffic
Sie können Cloud IDS auch verwenden, um Ihre Anforderungen an die erweiterte Bedrohungserkennung und Compliance zu erfüllen, einschließlich PCI 11.4 und HIPAA.
Cloud IDS unterliegt dem Zusatz zur Verarbeitung von Cloud-Daten von Google Cloud.
Cloud IDS erkennt Bedrohungen und warnt davor, ergreift jedoch keine Maßnahmen, um Angriffe zu verhindern oder Schäden zu reparieren. Um Maßnahmen gegen die von Cloud IDS erkannten Bedrohungen zu ergreifen, können Sie Produkte wie Google Cloud Armor verwenden.
In den folgenden Abschnitten finden Sie Details zu IDS-Endpunkten und zur erweiterten Bedrohungserkennung.
IDS-Endpunkte
Cloud IDS verwendet eine Ressource, die als IDS-Endpunkt bezeichnet wird. Dies ist eine zonale Ressource, die Traffic aus jeder Zone in der Region prüfen kann. Jeder IDS-Endpunkt empfängt gespiegelten Traffic und führt eine Bedrohungserkennungsanalyse durch.
Der private Zugriff auf Dienste ist ein privater zwischen Ihrem VPC-Netzwerk (Virtual Private Cloud) und einem Netzwerk von Google oder einem Drittanbieter. Bei Cloud IDS ist die private Verbindung verbindet Ihre VMs mit den von Google verwalteten Peering-VMs. Für IDS-Endpunkte im selben VPC-Netzwerk wird dieselbe private Verbindung wiederverwendet, aber jedem Endpunkt wird ein neues Subnetz zugewiesen. Wenn Sie einer vorhandenen privaten Verbindung IP-Adressbereiche hinzufügen müssen, Du musst Verbindung ändern.
Mit Cloud IDS können Sie in jeder Region, die Sie überwachen möchten, einen IDS-Endpunkt erstellen. Sie können mehrere IDS-Endpunkte für jede Region erstellen. Jeder IDS-Endpunkt hat eine maximale Prüfkapazität von 5 Gbit/s. Während jede Der IDS-Endpunkt kann ungewöhnliche Traffic-Spitzen von bis zu 17 Gbit/s verarbeiten, empfehlen, pro Durchsatz von 5 Gbit/s einen IDS-Endpunkt zu konfigurieren die Ihr Netzwerk erlebt.
Richtlinien für die Paketspiegelung
Cloud IDS verwendet die Paketspiegelung von Google Cloud, mit der eine Kopie Ihres Netzwerktraffics erstellt wird. Nachdem Sie einen IDS-Endpunkt erstellt haben, müssen Sie ihm eine oder mehrere Paketspiegelungsrichtlinien zuweisen. Mit diesen Richtlinien wird gespiegelter Traffic zur Prüfung an einen einzelnen IDS-Endpunkt gesendet. Die Logik für die Paketspiegelung sendet den gesamten Traffic von einzelnen VMs an von Google verwaltete IDS-VMs. Beispiel: Der gesamte von VM1 und VM2 gespiegelte Traffic wird immer an IDS-VM1 gesendet.
Erweiterte Bedrohungserkennung
Cloud IDS-Funktionen für die Bedrohungserkennung basieren auf den Technologien zum Schutz vor Bedrohungen von Alto Networks.
Anwendungs-ID
Palo Alto Networks Die Anwendungs-ID (App-ID) bietet Einblick in die Anwendungen, die in Ihrem Netzwerk ausgeführt werden. App-ID verwendet Mehrfachidentifizierung zur Bestimmung der Identität von Anwendungen, die Ihr Netzwerk durchlaufen, unabhängig von Port, Protokoll, Ausweichtaktik oder Verschlüsselung. App-ID identifiziert der Anwendung und vermittelt Ihnen das nötige Wissen zum Schutz Ihrer Anwendung.
Die Liste der App-IDs wird wöchentlich erweitert. In der Regel werden drei bis fünf neue Anwendungen hinzugefügt. auf der Grundlage von Kunden-, Partner- und Markttrends hinzugefügt. Nach einem neuen Die App-ID wird entwickelt und getestet und im Rahmen des die täglichen Inhaltsaktualisierungen.
Anwendungsinformationen können Sie auf der Seite IDS-Bedrohungen in der Google Cloud Console
Standardsignatursatz
Cloud IDS bietet einen Standardsatz von Bedrohungssignaturen, mit denen Sie Ihr Netzwerk sofort vor Bedrohungen schützen können. In der Google Cloud Console wird dieser Signaturensatz als Cloud IDS-Dienstprofil bezeichnet. Sie können diese Gruppe anpassen, indem Sie den Mindestgrad der Benachrichtigungsschwere auswählen. Die Signaturen werden verwendet, um Sicherheitslücken und Spyware zu erkennen.
Signaturen zur Sicherheitslückenerkennung erkennen Versuche, Systemfehler auszunutzen oder unbefugten Zugriff auf Systeme zu erlangen. Anti-Spyware-Signaturen helfen dabei, infizierte Hosts zu identifizieren, wenn der Traffic das Netzwerk verlässt. Mit Signaturen zur Sicherheitslückenerkennung sind sie vor Bedrohungen geschützt, die in das Netzwerk eindringen.
Signaturen zur Sicherheitslückenerkennung schützen beispielsweise vor Zwischenspeicherüberläufen, der illegalen Codeausführung und anderen Versuchen, die Systemsicherheitslücken auszunutzen. Die standardmäßigen Signaturen für die Sicherheitslückenerkennung bieten für Clients und Server die Erkennung aller bekannten Bedrohungen mit kritischem, hohem und mittlerem Schweregrad.
Anti-Spyware-Signaturen werden verwendet, um Spyware auf gehackten Hosts zu erkennen. Solche Spyware versucht möglicherweise, externe C2-Server (Command-and-Control-Server) zu kontaktieren. Wenn Cloud IDS schädlichen Traffic erkennt, der von infizierten Hosts Ihr Netzwerk verlässt, wird eine Benachrichtigung generiert, die im Bedrohungsprotokoll gespeichert und in der Google Cloud Console angezeigt wird.
Bedrohungsschweregrade
Der Schweregrad einer Signatur gibt das Risiko des erkannten Ereignisses an. Cloud IDS generiert Benachrichtigungen für übereinstimmenden Traffic. Sie können die Minimale Wichtigkeitsstufe im Standardsignatursatz. In der folgenden Tabelle fasst die Schweregrade der Bedrohungen zusammen.
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Ernsthafte Bedrohungen, z. B. solche, die die Standardinstallationen einer weit verbreiteten Software betreffen, führen zu einer Root-Manipulation von Servern und der Exploit-Code ist allgemein für Angreifer verfügbar. Der Angreifer benötigt in der Regel keine speziellen Authentifizierungsanmeldedaten oder Kenntnisse über die einzelnen Opfer. Das Ziel muss außerdem nicht so manipuliert werden, dass spezielle Funktionen ausgeführt werden. |
| Hoch | Kritische Bedrohungen, die sich abschwächen lassen Faktoren, die möglicherweise schwer auszunutzen sind, führen nicht Berechtigungen ausüben oder keinen großen Opferpool haben. |
| Mittel | Geringfügige Bedrohungen mit minimalen Auswirkungen, die das oder Exploits, für die sich der Angreifer des betroffenen Netzwerks nur nicht standardmäßige Konfigurationen oder oder Apps nur eingeschränkt zugänglich machen. |
| Niedrig | Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben. In der Regel ist ein lokaler oder physischer Systemzugriff hat, was oft zu Datenschutzproblemen und Informationslecks. |
| Informationell | Verdächtige Ereignisse, die zwar keine unmittelbare Bedrohung darstellen, aber die die Aufmerksamkeit auf tiefgreifende, mögliche Probleme lenken. |
Bedrohungsausnahmen
Wenn Sie der Meinung sind, dass Cloud IDS zu viele Warnungen zu Bedrohungen generiert, können Sie fehlerhafte oder anderweitig unnötige Bedrohungs-IDs mit dem Flag --threat-exceptions deaktivieren. Sie finden die Bedrohungs-IDs vorhandener Bedrohungen, die von Cloud IDS erkannt werden, in Ihren Bedrohungslogs. Es sind maximal 99 Zeichen zulässig
Ausnahmen pro IDS-Endpunkt.
Häufigkeit von Inhaltsupdates
Cloud IDS aktualisiert alle Signaturen automatisch ohne Nutzereingriff, sodass sich Nutzer auf die Analyse und Lösung von Bedrohungen konzentrieren können, ohne Signaturen verwalten oder aktualisieren zu müssen. Inhaltsaktualisierungen beinhalten die Anwendungs-ID und Bedrohungssignaturen, einschließlich Schwachstellen- und Anti-Spyware-Signaturen.
Updates von Palo Alto Networks werden täglich von Cloud IDS übernommen und an alle vorhandenen IDS-Endpunkte übertragen. Die maximale Updatelatenz beträgt bis zu 48 Stunden.
Logging
Mehrere Features von Cloud IDS generieren Benachrichtigungen, die an die Bedrohung gesendet werden. Protokoll. Weitere Informationen zum Logging finden Sie unter Cloud IDS-Logging.
Beschränkungen
- Wenn Sie L7-Prüfungsrichtlinien von Cloud Next Generation Firewall und Cloud IDS-Endpunktrichtlinien verwenden, achten Sie darauf, dass sich die Richtlinien nicht auf denselben Traffic beziehen. Wenn sich die Richtlinien überschneiden, hat die L7-Prüfungsrichtlinie Vorrang und der Traffic wird nicht gespiegelt.
Nächste Schritte
- Informationen zum Einrichten von Cloud IDS finden Sie unter Cloud IDS konfigurieren.