IDS de Cloud es un servicio de detección de intrusiones que proporciona la detección de amenazas de intrusiones, malware, software espía y ataques de comando y control en tu red. IDS de Cloud crea una red de intercambio de tráfico administrada por Google con instancias de máquina virtual (VM) duplicadas. El tráfico de esa red se duplica y, luego, las tecnologías de protección frente a amenazas de Palo Alto Networks lo inspeccionan para proporcionar una detección avanzada de amenazas. Puedes duplicar todo el tráfico o duplicar el tráfico filtrado según el protocolo, el rango de direcciones IP o el tráfico de entrada y salida.
IDS de Cloud también proporciona visibilidad total del tráfico de red, incluido el tráfico norte-sur y este-oeste, lo que te permite supervisar la comunicación de VM a VM para detectar movimientos laterales. Esto proporciona un motor de inspección que revisa el tráfico dentro de la subred.
También puedes usar IDS de Cloud para satisfacer tus requisitos de detección avanzada de amenazas y cumplimiento, incluidos PCI 11.4 y HIPAA.
IDS de Cloud está sujeto al Anexo de Tratamiento de Datos de Cloud de Google Cloud.
IDS de Cloud detecta amenazas y genera alertas sobre ellas, pero no toma medidas para evitar ataques ni reparar daños. Para tomar medidas en relación con las amenazas que detecta IDS de Cloud, puedes usar productos como Cloud Next Generation Firewall.
En las siguientes secciones, se proporcionan detalles sobre los extremos de IDS y la detección avanzada de amenazas.
Extremos de IDS
IDS de Cloud usa un recurso conocido como extremo de IDS, es un recurso zonal que puede inspeccionar el tráfico de cualquier zona de su región. Cada extremo de IDS recibe tráfico duplicado y realiza un análisis de detección de amenazas.
El acceso privado a servicios es una conexión privada entre tu red de nube privada virtual (VPC) y una red que pertenece a Google o terceros. En el caso de IDS de Cloud, la conexión privada conecta tus VMs a las VMs con intercambio de tráfico administradas por Google. Para los extremos de IDS en la misma red de VPC, se vuelve a usar la misma conexión privada, pero se asigna una subred nueva para cada extremo. Si necesitas agregar rangos de direcciones IP a una conexión privada existente, debes modificar la conexión.
Puedes usar IDS de Cloud para crear un extremo de IDS en cada región que desees supervisar. Puedes crear varios extremos de IDS para cada región. Cada extremo de IDS tiene una capacidad de inspección máxima de 5 Gbps. Si bien cada extremo de IDS puede controlar los aumentos repentinos de tráfico de hasta 17 Gbps, te recomendamos que configures un extremo de IDS por cada 5 Gbps de capacidad de procesamiento que experimente tu red.
Políticas de Duplicación de paquetes
IDS de Cloud usa la Duplicación de paquetes de Google Cloud , que crea
una copia de tu tráfico de red. Después de crear un extremo de IDS, debes adjuntarle
una o más políticas de Duplicación de paquetes. Estas políticas envían el tráfico duplicado
a un único extremo de IDS para que lo inspeccione. La lógica de la Duplicación de paquetes envía todo
el tráfico de las VMs individuales a las de IDS administradas por Google: por ejemplo,
todo el tráfico duplicado de VM1 y VM2 siempre se envía a IDS-VM1.
Detección avanzada de amenazas
Las capacidades de detección de amenazas de IDS de Cloud cuentan con las siguientes tecnologías de prevención de amenazas de Palo Alto Networks.
ID de la aplicación
El ID de aplicación (App-ID) de Palo Alto Networks proporciona visibilidad de las aplicaciones que se ejecutan en tu red. App-ID usa varias técnicas de identificación para determinar la identidad de las aplicaciones que atraviesan tu red, sin importar el puerto, el protocolo, la táctica evasiva o la encriptación. App-ID identifica la aplicación y te ofrece información para protegerla.
La lista de IDs de app se expande por semana y, por lo general, se agregan entre tres y cinco aplicaciones nuevas según los comentarios de los clientes y socios, y las tendencias del mercado. Después de que se desarrolla y prueba un nuevo App-ID, se agrega automáticamente a la lista como parte de las actualizaciones diarias de contenido.
Puedes ver la información de la aplicación en la página Amenazas de IDS en la consola deGoogle Cloud .
Conjunto de firmas predeterminado
IDS de Cloud proporciona un conjunto predeterminado de firmas de amenazas que puedes usar de inmediato para proteger tu red contra las amenazas. En la consola deGoogle Cloud , este conjunto de firmas se denomina perfil de servicio de IDS de Cloud. Puedes personalizar este conjunto eligiendo el nivel de gravedad mínimo de la alerta. Las firmas se usan para detectar vulnerabilidades y software espía.
Las firmas de detección de vulnerabilidades detectan intentos de explotar fallas del sistema, o bien obtener acceso no autorizado a los sistemas. Mientras que las firmas contra software espía ayudan a identificar los hosts infectados cuando el tráfico sale de la red, las firmas de detección de vulnerabilidades protegen contra las amenazas que penetran en la red.
Por ejemplo, las firmas de detección de vulnerabilidades ayudan a proteger contra los desbordamientos de búfer, la ejecución de código ilegal y otros intentos de vulnerabilidades para el sistema. Las firmas predeterminadas de detección de vulnerabilidades proporcionan detección para los clientes y los servidores de todas las amenazas conocidas de gravedad crítica, alta y media.
Las firmas contra software espía se usan para detectar software espía en hosts vulnerados. Este software espía puede intentar comunicarse con servidores de control y comandos externos (C2). Cuando el IDS de Cloud detecta tráfico malicioso que sale de tu red desde hosts infectados, genera una alerta que se guarda en el registro de amenazas y se muestra en la consola de Google Cloud .
Niveles de gravedad de amenazas
La gravedad de una firma indica el riesgo del evento detectado; por su parte, IDS de Cloud genera alertas para el tráfico coincidente. Puedes elegir el nivel de gravedad mínimo en el conjunto de firmas predeterminado. En la siguiente tabla, se resumen los niveles de gravedad de las amenazas.
| Gravedad | Descripción |
|---|---|
| Crítico | Las amenazas graves, como las que afectan las instalaciones predeterminadas de software de implementación extendida, provocan un compromiso raíz de los servidores y en las que el código de exploit es de fácil acceso para los atacantes. Por lo general, el atacante no necesita ninguna credencial de autenticación especial ni conocimiento de las víctimas individuales, y no es necesario manipular el destino para realizar funciones especiales. |
| Alto | Amenazas que tienen la capacidad de ser esenciales, pero hay factores de mitigación, por ejemplo, podrían ser difíciles de explotar, no dan como resultado privilegios elevados o no tienen un grupo grande de víctimas. |
| Medio | Amenazas menores en las que se minimiza el impacto y que no comprometen el objetivo, o exploits que requieren que un atacante resida en la misma red local que la víctima. Afectan solo a los parámetros de configuración no estándar o a las aplicaciones ocultas, o proporcionan un acceso muy limitado. |
| Bajo | Amenazas a nivel de advertencia que tienen muy poco impacto en la infraestructura de una organización. Por lo general, requieren acceso local o físico al sistema y, a menudo, pueden generar problemas de privacidad de las víctimas y filtraciones de información. |
| Informativo | Eventos sospechosos que no representan una amenaza inmediata, pero que se informan para llamar la atención sobre problemas más profundos que podrían existir. |
Excepciones de amenazas
Si decides que el IDS de Cloud genera alertas sobre más amenazas de las necesarias,
puedes inhabilitar los IDs de amenazas ruidosos o innecesarios con la
marca --threat-exceptions. Puedes encontrar los IDs de amenaza de las amenazas existentes
que detecta el IDS de Cloud en tus registros de amenazas. Tienes un límite de 99
excepciones por extremo de IDS.
Frecuencia de actualización del contenido
IDS de Cloud actualiza automáticamente todas las firmas sin intervención del usuario; esto permite que los usuarios se puedan enfocar en analizar y resolver las amenazas, sin tener que administrar o actualizar las firmas. Las actualizaciones de contenido incluyen firmas de amenazas y de ID de aplicaciones, incluidas las firmas de vulnerabilidades y contra software espía.
IDS de Cloud recoge las actualizaciones de Palo Alto Networks a diario y se envían a todos los extremos de IDS existentes. Se estima que la latencia de actualización es de hasta 48 horas.
Logging
Varias funciones de IDS de Cloud generan alertas, que se envían al registro de amenazas. Para obtener más información sobre el registro, consulta Registro de IDS de Cloud.
Limitaciones
- Cuando uses políticas de inspección de capa 7 de Cloud NGFW y políticas de extremos de IDS de Cloud, asegúrate de que las políticas no se apliquen al mismo tráfico. Si las políticas se superponen, la política de inspección de capa 7 tiene prioridad y el tráfico no se duplica.
¿Qué sigue?
- Para configurar IDS de Cloud, consulta Configura IDS de Cloud.