Présentation Cloud IDS

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cloud IDS est un service de détection des intrusions qui permet de détecter les intrusions, les logiciels malveillants, les logiciels espions et les attaques par commande et de contrôle sur votre réseau. Cloud IDS fonctionne en créant un réseau appairé géré par Google avec des VM en miroir. Le trafic sur le réseau appairé est mis en miroir, puis inspecté par les technologies de protection contre les menaces de Palo Alto Networks pour fournir une détection avancée des menaces. Vous pouvez mettre en miroir tout le trafic, ou le trafic filtré, en fonction du protocole, de la plage d'adresses IP, ou du trafic d'entrée et de sortie.

Cloud IDS offre une visibilité complète sur le trafic réseau, y compris le trafic nord-sud et est-ouest, ce qui vous permet de surveiller la communication de VM à VM pour détecter les mouvements latéraux. Fournit un moteur d'inspection qui inspecte le trafic intra-réseau.

Vous pouvez également utiliser Cloud IDS pour répondre à vos exigences avancées en termes de détection et de conformité des menaces, y compris la norme PCI 11.4.

Cloud IDS est soumis aux Conditions relatives à la sécurité et au traitement des données de Google Cloud.

Bien que Cloud IDS inclue toutes les fonctionnalités qui vous aident à assurer la conformité, il est lui-même en cours d'audit et n'est pas encore certifié. Notez également que Cloud IDS détecte et menace les menaces, mais ne prend aucune mesure pour prévenir les attaques ou réparer les dommages. Vous pouvez agir sur les menaces détectées par Cloud IDS à l'aide de produits tels que Google Cloud Armor.

À propos de Cloud IDS

La section suivante fournit des détails sur les points de terminaison IDS et la détection avancée des menaces.

Points de terminaison IDS

Cloud IDS utilise une ressource appelée point de terminaison IDS, une ressource zonale permettant d'inspecter le trafic provenant de n'importe quelle zone de sa région. Chaque point de terminaison IDS reçoit le trafic mis en miroir et effectue une analyse de détection des menaces.

L'accès aux services privés est une connexion privée entre votre réseau cloud privé virtuel et un réseau appartenant à Google ou à un tiers. Dans le cas de Cloud IDS, la connexion privée connecte vos VM aux VM appairées gérées par Google. Pour les points de terminaison IDS d'un même réseau cloud privé virtuel, la même connexion privée est réutilisée, mais un nouveau sous-réseau est attribué à chaque point de terminaison. Si vous devez ajouter des plages d'adresses IP à une connexion privée existante, vous devez modifier la connexion.

Règles de mise en miroir de paquets

Cloud IDS utilise la mise en miroir de paquets Google Cloud, qui crée une copie de votre trafic réseau. Après avoir créé un point de terminaison IDS, vous devez lui associer une ou plusieurs règles de mise en miroir de paquets. Ces règles envoient le trafic mis en miroir vers un seul point de terminaison IDS pour inspection. La logique de mise en miroir de paquets envoie tout le trafic provenant de VM individuelles vers des VM IDS gérées par Google: par exemple, tout le trafic mis en miroir à partir de VM1 et de VM2 est toujours envoyé à IDS-VM1.

Détection avancée des menaces

Les fonctionnalités de détection des menaces de Cloud IDS s'appuient sur les technologies de prévention des menaces de Palo Alto Networks suivantes.

ID application

Palo Alto Networks : ID d'application (App-ID) qui offre une visibilité sur les applications exécutées sur votre réseau. App-ID utilise plusieurs techniques d'identification pour déterminer l'identité des applications traversant votre réseau, indépendamment du port, du protocole, de la tactique d'évacuation ou du chiffrement. App-ID identifie l'application, ce qui vous permet de la sécuriser.

La liste des ID d'application est développée chaque semaine. Entre trois et cinq nouvelles applications sont généralement ajoutées en fonction des entrées des clients, des partenaires et des tendances du marché. Une fois qu'un nouvel ID d'application est développé et testé, il est automatiquement ajouté à la liste lors des mises à jour quotidiennes de contenu.

Les informations sur l'application sont disponibles sur la page Détails des menaces de Google Cloud Console.

Accéder à Cloud IDS

Signature par défaut définie

Cloud IDS fournit un ensemble par défaut de signatures de menaces que vous pouvez utiliser immédiatement pour protéger votre réseau contre les menaces. Dans Google Cloud Console, cet ensemble de signatures est appelé profil de service Cloud IDS. Vous pouvez personnaliser cet ensemble en choisissant le niveau minimal de gravité des alertes. Les signatures permettent de détecter les failles et les logiciels espions.

  • Les signatures de détection des failles détectent les tentatives d'exploitation des failles du système ou d'accès non autorisés aux systèmes. Bien que les signatures anti-espions aident à identifier les hôtes infectés lorsque le trafic quitte le réseau, les signatures de détection des failles protègent les utilisateurs des menaces. Par exemple, les signatures de détection de failles contribuent à vous prémunir contre les dépassements de mémoire tampon, l'exécution de code illégal et d'autres tentatives d'exploitation des failles du système. Les signatures de détection des failles par défaut permettent de détecter les clients et les serveurs pour toutes les menaces critiques, élevées et de gravité moyenne.
  • Les signatures anti-espions permettent de détecter les logiciels espions sur les hôtes piratés. Ces logiciels espions peuvent essayer de contacter des serveurs externes de commande et de contrôle (C2). Lorsque Cloud IDS détecte un trafic malveillant quittant votre réseau à partir d'hôtes infectés, il génère une alerte, qui est enregistrée dans le journal des menaces et également affichée dans Google Cloud Console.
Niveaux de gravité des menaces

La gravité d'une signature indique le risque d'événement détecté, et Cloud IDS génère des alertes pour le trafic correspondant. Vous pouvez choisir le niveau de gravité minimal dans l'ensemble de signatures par défaut. Le tableau suivant récapitule les niveaux de gravité des menaces.

Gravité Description
Critique De graves menaces, telles que celles affectant les installations par défaut de logiciels largement déployés, engendrent un piratage racine des serveurs et la mise à disposition du code d'exploitation à grande échelle par les pirates informatiques. Le pirate n'a généralement pas besoin d'identifiants d'authentification spéciaux ni de connaissances sur les victimes individuelles, et la cible n'a pas besoin d'être manipulée pour exécuter des fonctions spéciales.
High Menaces qui peuvent devenir critiques, mais il existe des facteurs d'atténuation. Par exemple, elles peuvent être difficiles à exploiter, ne pas entraîner des privilèges élevés ou ne pas avoir un grand pool de victimes.
Moyenne Menaces mineures dont l'impact est minimisé, qui ne compromettent pas la cible ou qui exploitent un pirate qui réside sur le même réseau local que la victime, qui affectent uniquement les configurations non standards ou qui obscurcissent les applications, ou qui fournissent un accès très limité
Faibles Menaces d'avertissement ayant très peu d'impact sur l'infrastructure d'une organisation. Elles nécessitent généralement un accès au système local ou physique et peuvent souvent entraîner des problèmes de confidentialité pour les victimes et des fuites d'informations.
Informatif Événements suspects qui ne constituent pas une menace immédiate, mais qui sont signalés pour attirer l'attention sur des problèmes plus profonds qui pourraient éventuellement exister.

Fréquence de mise à jour du contenu

Cloud IDS met automatiquement à jour toutes les signatures sans aucune intervention de l'utilisateur, ce qui permet aux utilisateurs de se concentrer sur l'analyse et la résolution des menaces, sans gérer ni mettre à jour les signatures. Les mises à jour de contenu incluent les signatures d'ID d'application et de menaces, y compris les signatures de failles et d'anti-espions.

Les mises à jour de Palo Alto Networks sont récupérées quotidiennement par Cloud IDS et transmises à tous les points de terminaison IDS existants. La latence maximale des mises à jour est estimée à 48 heures maximum.

Logging

Plusieurs fonctionnalités de Cloud IDS génèrent des alertes, qui sont envoyées au journal des menaces. Pour en savoir plus sur la journalisation, consultez la page Journalisation Cloud IDS.

Limites

  • Cloud IDS n'est pas compatible avec VPC Service Controls. Nous vous recommandons de créer un point de terminaison IDS uniquement dans les projets situés en dehors des périmètres.

Étapes suivantes