Cloud IDS est un service de détection des intrusions qui permet de détecter les menaces telles que les intrusions, les logiciels malveillants, les logiciels espions et les attaques de commande et de contrôle sur votre réseau. Cloud IDS crée un réseau appairé géré par Google avec des instances de machines virtuelles (VM) mises en miroir. Le trafic du réseau appairé est mis en miroir, puis inspecté par les technologies de protection contre les menaces de Palo Alto Networks afin de fournir une détection avancée des menaces. Vous pouvez mettre en miroir l'ensemble du trafic ou le trafic filtré en fonction du protocole, d'une plage d'adresses IP ou d'entrées et de sorties.
Cloud IDS offre une visibilité complète sur le trafic réseau, y compris le trafic nord-sud et est-ouest, ce qui vous permet de surveiller la communication entre VM afin de détecter les mouvements latéraux. Cela fournit un moteur d'inspection qui inspecte le trafic intra-sous-réseau.
Vous pouvez également utiliser Cloud IDS pour répondre à vos exigences avancées de détection des menaces et de conformité, y compris PCI 11.4 et HIPAA.
Cloud IDS est soumis à l'Avenant relatif au traitement des données dans le cloud de Google Cloud.
Cloud IDS détecte les menaces et vous alerte en cas de menace, mais ne prend aucune mesure pour empêcher les attaques ou réparer les dommages. Pour prendre des mesures contre les menaces détectées par Cloud IDS, vous pouvez utiliser des produits tels que Google Cloud Armor.
Les sections suivantes fournissent des détails sur les points de terminaison IDS et la détection avancée des menaces.
Points de terminaison IDS
Cloud IDS utilise une ressource appelée point de terminaison IDS, à savoir une ressource zonale capable d'inspecter le trafic provenant de n'importe quelle zone de sa région. Chaque point de terminaison IDS reçoit le trafic mis en miroir et effectue une analyse de détection des menaces.
L'accès aux services privés est une connexion privée entre votre réseau cloud privé virtuel (VPC) et un réseau appartenant à Google ou à un tiers. Dans le cas de Cloud IDS, la connexion privée connecte vos VM aux VM appairées gérées par Google. Pour les points de terminaison IDS du même réseau VPC, la même connexion privée est réutilisée, mais un nouveau sous-réseau est attribué à chaque point de terminaison. Pour ajouter des plages d'adresses IP à une connexion privée existante, vous devez modifier la connexion.
Vous pouvez utiliser Cloud IDS pour créer un point de terminaison IDS dans chaque région que vous souhaitez surveiller. Vous pouvez créer plusieurs points de terminaison IDS pour chaque région. Chaque point de terminaison IDS a une capacité d'inspection maximale de 5 Gbit/s. Bien que chaque point de terminaison IDS puisse gérer des pics de trafic anormaux allant jusqu'à 17 Gbit/s, nous vous recommandons de configurer un point de terminaison IDS pour chaque tranche de 5 Gbit/s de débit rencontré par votre réseau.
Règles de mise en miroir de paquets
Cloud IDS utilise la mise en miroir de paquets Google Cloud, qui crée une copie de votre trafic réseau. Après avoir créé un point de terminaison IDS, vous devez lui associer une ou plusieurs règles de mise en miroir de paquets. Elles envoient le trafic mis en miroir vers
un point de terminaison unique pour inspection. La logique de mise en miroir de paquets envoie tout le trafic des VM individuelles vers les VM IDS gérées par Google. Par exemple, l'ensemble du trafic mis en miroir à partir de VM1 et VM2 est toujours envoyé à IDS-VM1.
Détection avancée des menaces
Les fonctionnalités de détection des menaces de Cloud IDS s'appuient sur les technologies de prévention des menaces de Palo Alto Networks suivantes.
ID application
L'ID d'application (App-ID) de Palo Alto Networks offre une visibilité sur les applications en cours d'exécution sur votre réseau. L'ID d'application utilise plusieurs techniques d'identification pour déterminer l'identité des applications qui transitent sur votre réseau, indépendamment du port, du protocole, de la tactique d'évaluation ou du chiffrement. L'ID de l'application identifie l'application et vous fournit les informations nécessaires pour la sécuriser.
La liste des ID d'application est étendue chaque semaine, avec trois à cinq nouvelles applications généralement ajoutées en fonction des informations fournies par les clients et les partenaires, et les tendances du marché. Une fois qu'un nouvel ID d'application a été développé et testé, il est automatiquement ajouté à la liste lors des mises à jour quotidiennes du contenu.
Vous pouvez afficher les informations de l'application sur la page Menaces IDS de la console Google Cloud.
Accéder à la page "Menaces IDS"
Ensemble de signatures par défaut
Cloud IDS fournit un ensemble par défaut de signatures de menaces que vous pouvez utiliser immédiatement pour protéger votre réseau contre les menaces. Dans la console Google Cloud, cet ensemble de signatures est appelé profil de service Cloud IDS. Vous pouvez personnaliser cet ensemble en choisissant le niveau minimal de gravité des alertes. Les signatures sont utilisées pour détecter les failles et les logiciels espions.
Les signatures de détection des failles détectent les tentatives d'exploitation des failles du système ou d'accès non autorisé aux systèmes. Alors que les signatures anti-espion permettent d'identifier les hôtes infectés lorsque le trafic quitte le réseau, les signatures de détection des failles protègent contre les menaces qui pénètrent sur le réseau.
Par exemple, les signatures de détection des failles permettent de se protéger contre les dépassements de mémoire tampon, l'exécution de code illégal et toute autre tentative d'exploitation des failles du système. Les signatures de détection des failles par défaut permettent de détecter les clients et les serveurs contre toutes les menaces critiques, élevées et moyennes connues.
Les signatures anti-espion permettent de détecter les logiciels espions sur les hôtes compromis. Ces logiciels espions peuvent tenter de contacter des serveurs de commande et de contrôle (C2) externes. Lorsque Cloud IDS détecte du trafic malveillant quittant votre réseau depuis des hôtes infectés, il génère une alerte qui est enregistrée dans le journal des menaces et affichée dans la console Google Cloud.
Niveaux de gravité des menaces
Le niveau de gravité d'une signature indique le risque de l'événement détecté, et Cloud IDS génère des alertes pour le trafic correspondant. Vous pouvez choisir le niveau de gravité minimal dans l'ensemble de signatures par défaut. Le tableau suivant récapitule les niveaux de gravité des menaces.
| Gravité | Description |
|---|---|
| Critique | Les menaces graves, telles que celles qui affectent les installations par défaut de logiciels largement déployés, compromettent la racine des serveurs et le code d'exploitation est largement accessible aux pirates informatiques. Le pirate informatique n'a généralement pas besoin d'identifiants d'authentification spéciaux ni de connaissances sur les victimes individuelles, et la cible n'a pas besoin d'être manipulée pour exécuter des fonctions spéciales. |
| Élevée | Menaces pouvant devenir critiques, mais qui comportent des facteurs d'atténuation : par exemple, elles peuvent être difficiles à exploiter, n'engendrent pas de privilèges élevés ou ne comptent pas un grand nombre de victimes. |
| Moyenne | Menaces mineures dont l'impact est minimisé et qui ne compromettent pas la cible, ou exploitations nécessitant qu'un pirate informatique réside sur le même réseau local que la victime, n'affectent que les configurations non standards ou dissimulent les applications, ou fournissent un accès très limité. |
| Basse | Menaces de niveau "avertissement" qui ont très peu d'impact sur l'infrastructure d'une organisation. Elles nécessitent généralement un accès au système local ou physique, et peuvent souvent entraîner des problèmes de confidentialité et des fuites d'informations. |
| Information | Événements suspects qui ne constituent pas une menace immédiate, mais qui sont signalés pour attirer l'attention sur des problèmes plus profonds susceptibles d'exister. |
Exception(s) à la menace
Si vous décidez que Cloud IDS génère des alertes concernant plus de menaces que nécessaire, vous pouvez désactiver les ID de menaces bruyants ou inutiles à l'aide de l'option --threat-exceptions. Vous trouverez les ID des menaces existantes détectées par Cloud IDS dans vos journaux de menaces. Vous êtes limité à 99 exceptions par point de terminaison IDS.
Fréquence de mise à jour des contenus
Cloud IDS met automatiquement à jour toutes les signatures sans aucune intervention de l'utilisateur, ce qui lui permet de se concentrer sur l'analyse et la résolution des menaces sans les gérer ni les mettre à jour. Les mises à jour de contenu incluent les signatures d'ID d'application et de menaces, y compris les signatures de faille et de protection contre les logiciels espions.
Les mises à jour de Palo Alto Networks sont collectées quotidiennement par Cloud IDS et transmises à tous les points de terminaison IDS existants. La latence maximale de mise à jour est estimée à 48 heures maximum.
Journalisation
Plusieurs fonctionnalités de Cloud IDS génèrent des alertes, qui sont consignées dans le journal des menaces. Pour en savoir plus sur la journalisation, consultez la page Journalisation Cloud IDS.
Limites
- Lorsque vous utilisez des stratégies d'inspection Cloud nouvelle génération de pare-feu L7 et des stratégies de point de terminaison Cloud IDS, assurez-vous que ces règles ne s'appliquent pas au même trafic. Si les règles se chevauchent, la règle d'inspection L7 est prioritaire et le trafic n'est pas mis en miroir.
Étapes suivantes
- Pour configurer Cloud IDS, consultez la page Configurer Cloud IDS.