Cloud IDS ist ein Einbruchserkennungsdienst, mit dem Sie Bedrohungen für Einbrüche, Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk erkennen. Cloud IDS erstellt ein von Google verwaltetes Peering-Netzwerk mit gespiegelten VMs. Traffic im Peering-Netzwerk wird gespiegelt und dann durch Palo Alto Networks-Bedrohungsschutztechnologien geprüft, um eine erweiterte Bedrohungserkennung zu ermöglichen. Sie können den gesamten Traffic spiegeln oder gefilterten Traffic anhand des Protokolls, des IP-Adressbereichs oder des ein- und ausgehenden Traffics spiegeln.
Cloud IDS bietet vollständigen Einblick in den Netzwerk-Traffic, einschließlich Nord-Süd- und Ost-West-Traffic, sodass Sie die VM-zu-VM-Kommunikation überwachen können, um seitliche Bewegungen zu erkennen. Dies stellt ein Inspektionsmodul zur Verfügung, das den Traffic innerhalb eines Subnetzes prüft.
Sie können Cloud IDS auch verwenden, um Ihre erweiterten Bedrohungserkennungs- und Compliance-Anforderungen zu erfüllen, einschließlich PCI 11.4.
Cloud IDS unterliegt den Datenverarbeitungs- und Sicherheitsbestimmungen von Google Cloud.
Cloud IDS enthält zwar alle Funktionen, mit denen Sie die Compliance wahren können, Cloud IDS selbst wird jedoch noch geprüft und ist noch nicht konform. Beachten Sie auch, dass Cloud IDS Bedrohungen erkennt und benachrichtigt, aber nichts unternimmt, um Angriffe oder Reparaturen zu verhindern. Sie können Produkte wie Google Cloud Armor verwenden, um auf die Bedrohungen zu reagieren, die Cloud IDS erkennt.
Informationen zu Cloud IDS
Der folgende Abschnitt enthält Details zu IDS-Endpunkten und der erweiterten Bedrohungserkennung.
IDS-Endpunkte
Cloud IDS verwendet eine Ressource, die als IDS-Endpunkt bezeichnet wird. Dies ist eine zonale Ressource, die Traffic aus jeder Zone in ihrer Region prüfen kann. Jeder IDS-Endpunkt empfängt gespiegelten Traffic und führt eine Analyse der Bedrohungserkennung durch.
Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk und einem Netzwerk von Google oder einem Drittanbieter. Im Fall von Cloud IDS verbindet Ihre private Verbindung Ihre VMs mit den von Google verwalteten Peer-VMs. Für IDS-Endpunkte im selben Virtual Private Cloud-Netzwerk wird dieselbe private Verbindung wiederverwendet, aber jedem Endpunkt ein neues Subnetz zugewiesen. Wenn Sie IP-Adressbereiche zu einer vorhandenen privaten Verbindung hinzufügen müssen, müssen Sie die Verbindung ändern.
Richtlinien für die Paketspiegelung
Cloud IDS verwendet die Google Cloud-Paketspiegelung, die eine Kopie Ihres Netzwerkverkehrs erstellt. Nachdem Sie einen IDS-Endpunkt erstellt haben, müssen Sie eine oder mehrere Paketspiegelungsrichtlinien an ihn anhängen. Diese Richtlinien senden gespiegelten Traffic zur Prüfung an einen einzelnen IDS-Endpunkt. Die Paketspiegelungslogik sendet den gesamten Traffic von einzelnen VMs an von Google verwaltete IDS-VMs. Der gesamte Traffic, der von VM1 und VM2 gespiegelt wird, wird beispielsweise immer an IDS-VM1 gesendet.
Erweiterte Bedrohungserkennung
Die Cloud IDS-Funktionen zur Bedrohungserkennung basieren auf den folgenden Technologien zur Bedrohungsprävention von Palo Alto Networks.
Anwendungs-ID
Palo Alto Networks (App-ID) bietet einen Einblick in die Anwendungen, die in Ihrem Netzwerk ausgeführt werden. Bei der App-ID werden mehrere Verfahren zur Identifizierung verwendet, um die Identität von Anwendungen zu bestimmen, die Ihr Netzwerk durchlaufen, unabhängig von Port, Protokoll, Ausweichtaktik oder Verschlüsselung. Die App-ID identifiziert die Anwendung und gibt Ihnen Wissen zum Schutz Ihrer Anwendung.
Die Liste der App-IDs wird wöchentlich erweitert und drei bis fünf neue Anwendungen werden in der Regel basierend auf den Angaben von Kunden, Partnern und Markttrends hinzugefügt. Sobald eine neue App-ID entwickelt und getestet wurde, wird sie im Rahmen der täglichen Inhaltsaktualisierungen automatisch der Liste hinzugefügt.
Anwendungsinformationen finden Sie in der Google Cloud Console auf der Seite Bedrohungsdetails.
Standardsignatursatz
Cloud IDS bietet einen Standardsatz von Bedrohungssignaturen, mit denen Sie Ihr Netzwerk sofort vor Bedrohungen schützen können. In der Google Cloud Console wird dieser Signatursatz als Cloud IDS-Dienstprofil bezeichnet. Sie können diese Gruppe anpassen, indem Sie den Schweregrad der Benachrichtigung auswählen. Mit Signaturen werden Sicherheitslücken und Spyware erkannt.
- Signaturen für die Erkennung von Sicherheitslücken erkennen, ob versucht wird, Systemfehler auszunutzen oder nicht autorisierten Zugriff auf Systeme zu erlangen. Während Anti-Spyware-Signaturen helfen, infizierte Hosts zu identifizieren, wenn Traffic das Netzwerk verlässt, sind Signaturen zum Erkennen von Sicherheitslücken vor Bedrohungen geschützt, die in das Netzwerk gelangen. Signaturen zur Erkennung von Sicherheitslücken schützen beispielsweise vor Pufferüberläufen, der Ausführung illegaler Codes und anderen Versuchen, Sicherheitslücken auszunutzen. Die standardmäßigen Signaturen zum Erkennen von Sicherheitslücken ermöglichen die Erkennung von Clients und Servern vor allen bekannten kritischen, hohen und mittleren Bedrohungen.
- Anti-Spyware-Signaturen werden verwendet, um Spyware auf manipulierten Hosts zu erkennen. Diese Spyware versucht möglicherweise, externe Command-and-Control-Server (C2) zu kontaktieren. Wenn Cloud IDS schädlichen Traffic erkennt, der Ihr Netzwerk von infizierten Hosts verlässt, wird eine Benachrichtigung generiert, die im Bedrohungsprotokoll gespeichert und auch in der Google Cloud Console angezeigt wird.
Bedrohungsschweregrad
Der Schweregrad einer Signatur gibt das Risiko des erkannten Ereignisses an und Cloud IDS generiert Benachrichtigungen zum übereinstimmenden Traffic. Sie können den minimalen Schweregrad im Standardsignatursatz auswählen. In der folgenden Tabelle sind die Schweregrade der Bedrohungen zusammengefasst.
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Ernsthafte Bedrohungen, z. B. solche, die sich auf die Standardinstallationen weit verbreiteter Software auswirken, führen zu Root-Angriffen auf Server und dazu, dass der Exploit-Code weitverbreitet für Angreifer verfügbar ist. Der Angreifer benötigt in der Regel keine besonderen Authentifizierungsinformationen oder Kenntnisse über die einzelnen Opfer. Außerdem muss das Ziel nicht zur Durchführung spezieller Funktionen manipuliert werden. |
| Hoch | Drohungen, die kritisch werden können, aber abschwächende Faktoren haben. Sie können beispielsweise schwierig auszunutzen, keine erhöhten Berechtigungen zur Folge haben oder haben keinen großen Opferpool. |
| Mittel | Geringfügige Bedrohungen, bei denen die Auswirkungen minimiert werden, die das Ziel nicht kompromittieren, oder die Angriffe erfordern, bei denen sich ein Angreifer im selben lokalen Netzwerk wie das Opfer befinden muss, die sich nur auf nicht standardmäßige Konfigurationen oder verdeckte Anwendungen auswirken oder nur sehr eingeschränkten Zugriff ermöglichen. |
| Niedrig | Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben Sie erfordern normalerweise einen lokalen oder physischen Systemzugriff und können häufig zu Datenschutzproblemen und dem Verlust von Informationen führen. |
| Zur Information | Verdächtige Ereignisse, die keine unmittelbare Gefahr darstellen, aber gemeldet werden, um die Aufmerksamkeit auf tiefere Probleme zu lenken, die möglicherweise bestehen könnten. |
Häufigkeit der Inhaltsupdates
Cloud IDS aktualisiert automatisch alle Signaturen, ohne dass Nutzer eingreifen müssen. So können sich Nutzer auf die Analyse und Behebung von Bedrohungen konzentrieren, ohne Signaturen verwalten oder aktualisieren zu müssen. Zu den Inhaltsaktualisierungen gehören Signaturen von Anwendungen-IDs und Bedrohungen sowie Signaturen für Sicherheitslücken und Anti-Spyware.
Aktualisierungen von Palo Alto Networks werden täglich von Cloud IDS abgerufen und an alle vorhandenen IDS-Endpunkte gesendet. Die maximale Updatelatenz beträgt schätzungsweise bis zu 48 Stunden.
Logging
Mehrere Features von Cloud IDS generieren Benachrichtigungen, die an das Bedrohungslog gesendet werden. Weitere Informationen zum Logging finden Sie unter Cloud IDS-Logging.
Beschränkungen
- Cloud IDS wird von VPC Service Controls nicht unterstützt. Wir empfehlen, einen IDS-Endpunkt nur in Projekten zu erstellen, die sich außerhalb von Perimetern befinden.
Weitere Informationen
- Informationen zum Einrichten von Cloud IDS finden Sie unter Cloud IDS konfigurieren.