Cloud IDS es un servicio de detección de intrusos que permite detectar amenazas de intrusiones, malware, software espía y ataques de comando y control en tu red. Cloud IDS funciona creando una red emparejada gestionada por Google con instancias de máquina virtual reflejadas. El tráfico de la red emparejada se replica y, a continuación, se inspecciona con las tecnologías de protección contra amenazas de Palo Alto Networks para proporcionar una detección de amenazas avanzada. Puedes replicar todo el tráfico o replicar el tráfico filtrado en función del protocolo, el intervalo de direcciones IP o el tráfico de entrada y de salida.
Cloud IDS ofrece una visibilidad total del tráfico de red, tanto si es de tráfico norte-sur como este-oeste, lo que te permite monitorizar la comunicación entre máquinas virtuales para detectar el movimiento lateral. Proporciona un motor de inspección que inspecciona el tráfico de la subred.
También puedes usar Cloud IDS para cumplir los requisitos de detección de amenazas avanzadas y de cumplimiento, como PCI 11.4 y HIPAA.
Cloud IDS está sujeto a la Adenda sobre Tratamiento de Datos de Cloud de Google Cloud.
Cloud IDS detecta amenazas y envía alertas, pero no toma medidas para evitar ataques ni reparar daños. Para tomar medidas contra las amenazas que detecta Cloud IDS, puedes usar productos como Google Cloud Armor.
En las siguientes secciones se ofrece información detallada sobre los endpoints de IDS y la detección avanzada de amenazas.
Endpoints de IDS
Cloud IDS usa un recurso denominado endpoint de IDS, que es un recurso zonal que puede inspeccionar el tráfico de cualquier zona de su región. Cada endpoint de IDS recibe tráfico reflejado y realiza análisis de detección de amenazas.
El acceso a servicios privados es una conexión privada entre tu red de nube privada virtual (VPC) y una red propiedad de Google o de un tercero. En el caso de Cloud IDS, la conexión privada conecta tus VMs a las VMs emparejadas gestionadas por Google. En el caso de los endpoints de IDS de la misma red de VPC, se reutiliza la misma conexión privada, pero se asigna una nueva subred a cada endpoint. Si necesitas añadir intervalos de direcciones IP a una conexión privada, debes modificar la conexión.
Puede usar Cloud IDS para crear un endpoint de IDS en cada región que quiera monitorizar. Puedes crear varios endpoints de IDS para cada región. Cada endpoint de IDS tiene una capacidad de inspección máxima de 5 Gbps. Aunque cada endpoint de IDS puede gestionar picos de tráfico anómalos de hasta 17 Gbps, te recomendamos que configures un endpoint de IDS por cada 5 Gbps de rendimiento que experimente tu red.
Políticas de replicación de paquetes
Cloud IDS usa Google Cloud Replicación de paquetes, que crea una copia del tráfico de tu red. Después de crear un endpoint de IDS, debes asociarle una o varias políticas de replicación de paquetes. Estas políticas envían tráfico reflejado a un único endpoint de IDS para su inspección. La lógica de creación de réplicas de paquetes envía todo el tráfico de las VMs individuales a las VMs de IDS gestionadas por Google. Por ejemplo, todo el tráfico replicado de VM1 y VM2 siempre se envía a IDS-VM1.
Detección de amenazas avanzada
Las funciones de detección de amenazas de Cloud IDS se basan en las siguientes tecnologías de prevención de amenazas de Palo Alto Networks.
Application-ID
La función Application ID (App-ID) de Palo Alto Networks ofrece visibilidad sobre las aplicaciones que se ejecutan en tu red. App-ID usa varias técnicas de identificación para determinar la identidad de las aplicaciones que atraviesan tu red, independientemente del puerto, el protocolo, la táctica evasiva o el cifrado. El App-ID identifica la aplicación y te proporciona información para protegerla.
La lista de IDs de aplicación se amplía semanalmente. Normalmente, se añaden entre tres y cinco aplicaciones nuevas en función de las aportaciones de los clientes y los partners, así como de las tendencias del mercado. Una vez que se ha desarrollado y probado un nuevo App-ID, se añade automáticamente a la lista como parte de las actualizaciones de contenido diarias.
Puedes ver la información de la aplicación en la página Amenazas de IDS de la Google Cloud consola.
Firma predeterminada definida
Cloud IDS proporciona un conjunto predeterminado de firmas de amenazas que puedes usar inmediatamente para proteger tu red frente a las amenazas. En la consola deGoogle Cloud , este conjunto de firmas se denomina perfil de servicio de Cloud IDS. Puedes personalizar este conjunto eligiendo el nivel de gravedad mínimo de las alertas. Las firmas se usan para detectar vulnerabilidades y software espía.
Las firmas de detección de vulnerabilidades detectan intentos de aprovechar los fallos del sistema o de obtener acceso no autorizado a los sistemas. Aunque las firmas antispyware ayudan a identificar los hosts infectados cuando el tráfico sale de la red, las firmas de detección de vulnerabilidades protegen contra las amenazas que entran en la red.
Por ejemplo, las firmas de detección de vulnerabilidades ayudan a proteger contra desbordamientos de búfer, ejecución de código ilegal y otros intentos de aprovechar las vulnerabilidades del sistema. Las firmas de detección de vulnerabilidades predeterminadas proporcionan detección para clientes y servidores de todas las amenazas conocidas de gravedad crítica, alta y media.
Las firmas antispyware se usan para detectar spyware en hosts vulnerados. Este tipo de spyware puede intentar ponerse en contacto con servidores de comando y control (C2) externos. Cuando Cloud IDS detecta tráfico malicioso que sale de tu red desde hosts infectados, genera una alerta que se guarda en el registro de amenazas y se muestra en la consola Google Cloud .
Niveles de gravedad de las amenazas
La gravedad de una firma indica el riesgo del evento detectado y Cloud IDS genera alertas para el tráfico coincidente. Puedes elegir el nivel de gravedad mínimo en el conjunto de firmas predeterminado. En la siguiente tabla se resumen los niveles de gravedad de las amenazas.
| Gravedad | Descripción |
|---|---|
| Crítica | Las amenazas graves, como las que afectan a las instalaciones predeterminadas de software ampliamente implementado, provocan la vulneración de la raíz de los servidores y el código de exploit está disponible para los atacantes. El atacante no suele necesitar credenciales de autenticación especiales ni información sobre las víctimas, y no es necesario manipular al objetivo para que realice ninguna función especial. |
| Alta | Amenazas que pueden volverse críticas, pero que tienen factores atenuantes. Por ejemplo, pueden ser difíciles de explotar, no provocar privilegios elevados o no tener un gran número de víctimas. |
| Medio | Amenazas leves cuyo impacto se minimiza y que no comprometen el objetivo, o exploits que requieren que el atacante resida en la misma red local que la víctima, solo afectan a configuraciones no estándar o aplicaciones poco conocidas, o bien proporcionan un acceso muy limitado. |
| Bajo | Amenazas de nivel de advertencia que tienen muy poco impacto en la infraestructura de una organización. Normalmente, requieren acceso local o físico al sistema y, a menudo, pueden provocar problemas de privacidad y filtración de información de la víctima. |
| Informativa | Eventos sospechosos que no suponen una amenaza inmediata, pero que se registran para llamar la atención sobre problemas más graves que podrían existir. |
Excepciones de amenazas
Si decides que Cloud IDS genera alertas sobre más amenazas de las necesarias, puedes inhabilitar los IDs de amenazas innecesarios o que generen mucho ruido mediante la marca --threat-exceptions. Puedes encontrar los IDs de las amenazas detectadas por Cloud IDS en tus registros de amenazas. Tienes un límite de 99 excepciones por endpoint de IDS.
Frecuencia de actualización del contenido
Cloud IDS actualiza automáticamente todas las firmas sin que los usuarios tengan que hacer nada, lo que les permite centrarse en analizar y resolver amenazas sin tener que gestionar ni actualizar firmas. Las actualizaciones de contenido incluyen el ID de aplicación y las firmas de amenazas, incluidas las firmas de vulnerabilidades y antispyware.
Cloud IDS recibe las actualizaciones de Palo Alto Networks a diario y las envía a todos los endpoints de IDS. La latencia máxima de actualización se estima en 48 horas.
Almacenamiento de registros
Varias funciones de Cloud IDS generan alertas, que se envían al registro de amenazas. Para obtener más información sobre el registro, consulta Registro de Cloud IDS.
Limitaciones
- Cuando uses políticas de inspección de nivel 7 de Cloud Next Generation Firewall y políticas de endpoint de Cloud IDS, asegúrate de que las políticas no se apliquen al mismo tráfico. Si las políticas se solapan, la política de inspección de nivel 7 tendrá prioridad y el tráfico no se duplicará.
Siguientes pasos
- Para configurar Cloud IDS, consulta Configurar Cloud IDS.