Cloud IDS は侵入検知サービスで、ネットワーク上の侵入、マルウェア、スパイウェア、コマンド&コントロール攻撃の脅威を検出します。Cloud IDS は、ミラーリングされた仮想マシン(VM)インスタンスを持つ Google 管理のピアリング ネットワークを作成することで動作します。ピアリングされたネットワーク内のトラフィックはミラーリングされ、Palo Alto Networks の脅威保護技術によって高度な脅威検出のための検査が行われます。すべてのトラフィックをミラーリングすることも、プロトコル、IP アドレス範囲、上り(内向き)と下り(外向き)に基づいてフィルタされたトラフィックをミラーリングすることもできます。
Cloud IDS を使用すると、North-South トラフィックと East-West トラフィックの両方を含むネットワーク トラフィックを完全に可視化し、VM 間の通信をモニタリングしてラテラル ムーブメントを検出できます。これにより、サブネット内トラフィックを検査する検査エンジンが提供されます。
Cloud IDS を使用して、PCI 11.4 や HIPAA などの高度な脅威検出とコンプライアンス要件を満たすこともできます。
Cloud IDS には、Google Cloud のCloud のデータ処理に関する追加条項が適用されます。
Cloud IDS は脅威を検出してアラートを発信しますが、攻撃を防止したり被害を修復したりするための対応は行いません。Cloud IDS が検出した脅威に対処するには、Google Cloud Armor などのプロダクトを使用できます。
以降のセクションでは、IDS エンドポイントと高度な脅威検出について詳しく説明します。
IDS エンドポイント
Cloud IDS は、IDS エンドポイントと呼ばれるリソースを使用します。これは、そのリージョン内の任意のゾーンからのトラフィックを検査できるゾーンリソースです。各 IDS エンドポイントは、ミラーリングされたトラフィックを受信して脅威検出分析を実行します。
プライベート サービス アクセスは、Virtual Private Cloud(VPC)ネットワークと Google またはサードパーティが所有するネットワークとのプライベート接続です。Cloud IDS の場合、プライベート接続は VM を Google 管理のピアリングされた VM に接続します。 同じ VPC ネットワーク内の IDS エンドポイントの場合、同じプライベート接続が再利用されますが、各エンドポイントに新しいサブネットが割り当てられます。 既存のプライベート接続に IP アドレス範囲を追加する必要がある場合は、接続を変更する必要があります。
Cloud IDS を使用して、モニタリングする各リージョンに IDS エンドポイントを作成できます。リージョンごとに複数の IDS エンドポイントを作成できます。 各 IDS エンドポイントの最大検査能力は 5 Gbps です。各 IDS エンドポイントは、最大 17 Gbps の異常なトラフィック急増を処理できますが、ネットワークで発生する IDS エンドポイントは 5 Gbps のスループットごとに 1 つ構成することをおすすめします。
パケット ミラーリング ポリシー
Cloud IDS は Google Cloud Packet Mirroring を使用して、ネットワーク トラフィックのコピーを作成します。IDS エンドポイントを作成したら、そのエンドポイントに 1 つ以上の Packet Mirroring ポリシーを接続する必要があります。これらのポリシーは、ミラーリングされたトラフィックを検査のために単一の IDS エンドポイントに送信します。Packet Mirroring ロジックは、個々の VM から Google が管理する IDS VM にすべてのトラフィックを送信します。たとえば、VM1
と VM2
からミラーリングされるすべてのトラフィックは、常に IDS-VM1
に送信されます。
高度な脅威検出
Cloud IDS の脅威検出機能は、次の Palo Alto Networks の脅威防止テクノロジーを利用しています。
アプリケーション ID
Palo Alto Networks のアプリケーション ID(App-ID)を使用すると、ネットワークで実行されているアプリケーションの内容を表示できます。App-ID は、ポート、プロトコル、回避戦術、暗号化に関係なく、複数の識別手法を使用して、ネットワークを通過するアプリケーションの身元を判別します。App-ID はアプリを識別し、アプリの保護に役立つ情報を提供します。
App-ID のリストは毎週拡張されています。通常は、お客様、パートナー、市場トレンドの入力に基づいて、新たに 3~5 個のアプリケーションが追加されます。新しい App-ID が開発されてテストされると、毎日のコンテンツの更新の一環として自動的にリストに追加されます。
アプリケーションの情報は、Google Cloud コンソールの [IDS の脅威] ページで確認できます。
デフォルトの署名セット
Cloud IDS には、脅威シグネチャのデフォルト セットが用意されています。これにより、脅威からネットワークをすぐに保護できます。この署名セットは、Google Cloud コンソールでは Cloud IDS サービス プロファイル と呼ばれます。このセットは、最小アラート重大度レベルを選択することでカスタマイズできます。このシグネチャは、脆弱性とスパイウェアを検出するために使用されます。
脆弱性検出シグネチャは、システムの欠陥の悪用やシステムへの不正アクセスの試みを検出します。スパイウェア対策シグネチャは、トラフィックがネットワークから出るときに感染したホストを特定するのに役立ちますが、脆弱性検出シグネチャは、ネットワークに侵入する脅威からの保護に役立ちます。
たとえば、脆弱性検出シグネチャは、バッファ オーバーフロー、不正なコード実行、システムの脆弱性を悪用するその他の試みからの保護に役立ちます。デフォルトの脆弱性検出のシグネチャは、クライアントとサーバーですべての既知の脅威(重大、高、中レベル)を検出します。
スパイウェア対策シグネチャは、侵害されたホスト上のスパイウェアを検出するために使用されます。このようなスパイウェアは、外部のコマンド アンド コントロール(C2)サーバーに接続を試みる可能性があります。Cloud IDS は、感染したホストでネットワークから発信される悪意のあるトラフィックを検出すると、脅威ログに保存されて Google Cloud コンソールに表示されるアラートを生成します。
脅威の重大度
シグネチャの重大度は、検出されたイベントのリスクを示します。Cloud IDS は、一致するトラフィックに対してアラートを生成します。デフォルトのシグネチャセットで最小の重大度レベルを選択できます。次の表に、脅威の重大度を示します。
重大度 | 説明 |
---|---|
重大 | 広くデプロイされているソフトウェアのデフォルト インストールに影響する脅威など、重大な脅威により、サーバーのルート侵害が行われ、攻撃者によってエクスプロイト コードが広く利用されています。通常、特別な認証情報や個々の被害者に関する知識がなくても、ターゲットに特別な機能を実行させなくても攻撃が可能です。 |
高 | 重大になる可能性はあるものの、緩和要素がある脅威。たとえば、悪用が困難である、権限昇格が発生しない、多数の被害者プールがない、などが該当します。 |
中 | 影響が最小限に抑えられ、ターゲットが侵害されない脅威、または攻撃者が被害者と同じローカル ネットワーク上に配置する必要がある攻撃は、標準以外の構成または難読化されたアプリケーションにのみ影響するか、アクセスが非常に限定的になります。 |
低 | 組織のインフラストラクチャにほとんど影響を与えない警告レベルの脅威。通常、ローカルまたは物理的なシステムへのアクセスを必要とし、多くの場合、被害者のプライバシーの問題や情報漏洩につながる可能性があります。 |
情報 | 差し迫った脅威ではないが、潜在的な問題の可能性があるとの注意喚起のために報告される不審なイベント。 |
脅威の例外
Cloud IDS が必要以上の脅威に対してアラートを生成していると判断した場合は、--threat-exceptions
フラグを使用して、ノイズの多いまたは不要な脅威 ID を無効にできます。Cloud IDS によって検出された既存の脅威の脅威 ID は、脅威ログで確認できます。IDS エンドポイントごとに 99 個の例外に制限されています。
コンテンツの更新頻度
Cloud IDS では、すべてのシグネチャがユーザーの介入なしで自動的に更新されるため、ユーザーがシグネチャの管理や更新から解放されて、脅威の分析と解決に集中できます。コンテンツの更新には、脆弱性 ID やスパイウェア対策の署名など、アプリケーション ID と脅威シグネチャが含まれます。
Palo Alto Networks からの更新は、Cloud IDS によって毎日取得され、既存のすべての IDS エンドポイントに push されます。更新レイテンシは最大で約 48 時間です。
ロギング
Cloud IDS のいくつかの機能により、脅威ログに送信されるアラートが生成されます。ロギングの詳細については、Cloud IDS Logging をご覧ください。
制限事項
- Cloud 次世代ファイアウォール L7 の検査ポリシーと Cloud IDS エンドポイント ポリシーを使用する場合は、それらのポリシーが同じトラフィックに適用されないようにしてください。ポリシーが重複している場合、L7 検査ポリシーが優先され、トラフィックはミラーリングされません。
次のステップ
- Cloud IDS を設定するには、Cloud IDS を構成するをご覧ください。