Cloud IDS est un service de détection des intrusions qui repère les menaces telles que les intrusions, les logiciels malveillants, les logiciels espions et les attaques de commande et de contrôle sur votre réseau. Cloud IDS crée un réseau appairé géré par Google contenant des instances de machines virtuelles (VM) mises en miroir. Le trafic du réseau appairé est mis en miroir, puis inspecté par les technologies spécialisées de Palo Alto Networks afin de fournir une détection avancée des menaces. Vous pouvez mettre en miroir l'ensemble du trafic ou un trafic filtré en fonction des protocoles, des plages d'adresses IP, ou du trafic entrant et sortant.
Cloud IDS offre une visibilité complète sur le trafic réseau, y compris le trafic nord-sud et est-ouest, ce qui vous permet de surveiller la communication entre les VM afin de détecter les mouvements latéraux. Cela en fait un moteur d'inspection capable d'inspecter le trafic intra-sous-réseau.
Cloud IDS peut également répondre à vos besoins et exigences de détection avancée des menaces, y compris vis-à-vis de la norme PCI 11.4 et de la loi HIPAA.
Cloud IDS est soumis à l'Avenant relatif au traitement des données dans le cloud de Google Cloud.
Cloud IDS détecte les menaces et envoie des alertes, mais ne prend aucune mesure pour prévenir les attaques ni réparer les dommages. Pour traiter les menaces détectées par Cloud IDS, il existe des produits tels que Google Cloud Armor.
Les sections suivantes décrivent ce que sont les points de terminaison IDS et la détection avancée des menaces.
Points de terminaison IDS
Cloud IDS utilise une ressource appelée point de terminaison IDS : il s'agit d'une ressource zonale capable d'inspecter le trafic provenant de n'importe quelle zone dans sa région. Chaque point de terminaison IDS reçoit le trafic mis en miroir et réalise une analyse de détection des menaces.
L'accès aux services privés est une connexion privée entre votre réseau de cloud privé virtuel (VPC) et un réseau appartenant à Google ou à un tiers. Dans le cas de Cloud IDS, la connexion privée connecte vos VM aux VM homologues gérées par Google. Lorsque les points de terminaison IDS sont sur le même réseau VPC, la même connexion privée est utilisée, mais un nouveau sous-réseau est attribué à chaque point de terminaison. Si vous devez ajouter des plages d'adresses IP à une connexion privée existante, vous devez modifier la connexion.
Cloud IDS vous permet de créer un point de terminaison IDS dans chaque région que vous souhaitez surveiller. Vous pouvez créer plusieurs points de terminaison IDS pour chaque région. Chaque point de terminaison IDS a une capacité d'inspection maximale de 5 Gbit/s. Bien que chaque point de terminaison IDS puisse gérer des pics de trafic anormaux allant jusqu'à 17 Gbit/s, nous vous recommandons de configurer un point de terminaison IDS pour chaque tranche de 5 Gbit/s de débit que rencontre votre réseau.
Règles de mise en miroir des paquets
Cloud IDS utilise la Mise en miroir de paquets Google Cloud , qui crée une copie de votre trafic réseau. Après avoir créé un point de terminaison IDS, vous devez lui associer une ou plusieurs règles de mise en miroir de paquets. Ces règles envoient le trafic mis en miroir vers un point de terminaison unique à des fins d'inspection. La logique de mise en miroir de paquets transmet l'ensemble du trafic issu de chaque VM aux VM IDS gérées par Google : par exemple, tout le trafic mis en miroir depuis VM1 et VM2 est toujours envoyé à IDS-VM1.
Détection avancée des menaces
Les fonctionnalités de détection des menaces de Cloud IDS sont basées sur les technologies de prévention des menaces de Palo Alto Networks suivantes.
Application-ID
Application ID (App-ID) de Palo Alto Networks offre une visibilité sur les applications exécutées sur votre réseau. App-ID détermine l'identité des applications qui traversent votre réseau grâce à différentes techniques d'identification, quels que soient le port, le protocole, la tactique d'évasion ou le chiffrement. App-ID identifie l'application et vous fournit des informations pour vous aider à la sécuriser.
La liste des ID d'application est généralement enrichie de trois à cinq nouvelles applications par semaine, sur la base d'informations partagées par les clients ou partenaires, ou selon les tendances du marché. Une fois qu'un nouvel ID d'application est développé et testé, il est automatiquement ajouté à la liste lors des mises à jour quotidiennes du contenu.
Vous pouvez consulter des informations sur les applications sur la page Menaces IDS de la consoleGoogle Cloud .
Accéder à la page "Menaces IDS"
Ensemble de signatures par défaut
Cloud IDS offre un ensemble de signatures de menaces par défaut vous permettant de protéger immédiatement votre réseau contre les menaces. Dans la consoleGoogle Cloud , cet ensemble de signatures est appelé profil de service Cloud IDS. Vous pouvez le personnaliser en choisissant le niveau de gravité minimal des alertes. Les signatures sont ensuite utilisées pour détecter les failles et les logiciels espions.
Les signatures de détection des failles détectent les tentatives d'exploitation des failles du système ou d'accès non autorisé aux systèmes. Tandis que les signatures anti-espions permettent d'identifier les hôtes infectés lorsque le trafic quitte le réseau, les signatures de détection des failles protègent quant à elles des menaces qui pénètrent le réseau.
Par exemple, les signatures de détection des failles vous protègent des dépassements de mémoire tampon, des exécutions illégales de code et d'autres tentatives d'exploitation des failles du système. Les signatures de détection des failles par défaut permettent de détecter toutes les menaces connues de gravité critique, élevée et moyenne, pour les clients comme pour les serveurs.
Les signatures anti-espions permettent de détecter les logiciels espions sur les hôtes compromis. Ces logiciels espions peuvent tenter de contacter des serveurs de commande et de contrôle (C2) externes. Lorsque Cloud IDS détecte du trafic malveillant quittant votre réseau à partir d'hôtes infectés, il génère une alerte qui est enregistrée dans le journal des menaces et affichée dans la console Google Cloud .
Niveaux de gravité des menaces
La gravité d'une signature indique le niveau de risque de l'événement détecté. Cloud IDS génère des alertes pour le trafic correspondant. Vous pouvez choisir le niveau de gravité minimal dans l'ensemble de signatures par défaut. Le tableau suivant récapitule les niveaux de gravité des menaces.
| Gravité | Description |
|---|---|
| Critique | Les menaces graves, telles que celles qui affectent les installations par défaut de logiciels à déploiement massif, entraînent une compromission des serveurs à la racine, là où le code d'exploitation est largement accessible aux pirates informatiques. De manière générale, le pirate n'a pas besoin d'identifiants d'authentification particuliers ni de connaissances particulières sur ses victimes physiques, et la cible n'a pas besoin d'être manipulée pour accomplir des fonctions spécifiques. |
| Élevée | Menaces pouvant potentiellement de devenir critiques, mais qui présentent des facteurs atténuants (par exemple, elles peuvent être difficiles à exploiter, ne pas donner lieu à des droits élevés, ou ne pas toucher un grand nombre de victimes). |
| Moyenne | Menaces mineures dont l'impact est minimisé et qui ne compromettent pas la cible, ou codes d'exploitation nécessitant qu'un pirate informatique réside sur le même réseau local que la victime, qui n'affectent que les configurations non standards ou les applications méconnues, ou qui offrent un accès très limité. |
| Faible | Menaces de niveau "avertissement" qui ont très peu d'impact sur l'infrastructure d'une organisation. Elles nécessitent généralement un accès local ou physique au système et peuvent souvent entraîner des problèmes de confidentialité pour les victimes ainsi que des fuites d'informations. |
| Informative | Événements suspects qui ne constituent pas une menace immédiate, mais qui sont signalés pour attirer l'attention sur des problèmes potentiels plus profonds. |
Exception(s) à la menace
Si vous estimez que Cloud IDS génère plus d'alertes que nécessaire, vous pouvez désactiver les ID de menace bruités ou inutiles à l'aide du flag --threat-exceptions. Les ID de menace des menaces existantes détectées par Cloud IDS sont disponibles dans vos journaux de menaces. Vous êtes limité à 99 exceptions par point de terminaison IDS.
Fréquence de mise à jour des contenus
Cloud IDS assure la mise à jour automatique de toutes les signatures sans aucune intervention de la part des utilisateurs. Cela leur permet de se concentrer sur l'analyse et la résolution des menaces. Les mises à jour de contenu concernent Application-ID ainsi que les signatures de menaces, y compris les signatures de failles et anti-espions.
Les mises à jour de Palo Alto Networks sont récupérées quotidiennement par Cloud IDS et transmises à tous les points de terminaison IDS existants. La latence de mise à jour est estimée à 48 heures maximum.
Journalisation
Plusieurs fonctionnalités de Cloud IDS génèrent des alertes qui sont envoyées au journal des menaces. Pour en savoir plus sur la journalisation, consultez Journalisation Cloud IDS.
Limites
- Lorsque vous utilisez des règles d'inspection de couche 7 de Cloud Next Generation Firewall et des règles de point de terminaison Cloud IDS, assurez-vous qu'elles ne s'appliquent pas au même trafic. En cas de chevauchement des règles, la règle d'inspection de couche 7 est prioritaire et le trafic n'est pas mis en miroir.
Étape suivante
- Pour configurer Cloud IDS, consultez Configurer Cloud IDS.