Cloud IDS adalah layanan deteksi penyusupan yang menyediakan deteksi ancaman untuk penyusupan, malware, spyware, serta serangan command-and-control di jaringan Anda. Cloud IDS bekerja dengan membuat jaringan yang di-peering dan dikelola Google dengan instance virtual machine (VM) yang diduplikasi. Traffic di jaringan yang di-peering diduplikasi, lalu diperiksa oleh teknologi perlindungan terhadap ancaman dari Palo Alto Networks untuk memberikan deteksi ancaman tingkat lanjut. Anda dapat menduplikasikan semua traffic, atau Anda dapat menduplikasikan traffic yang difilter berdasarkan protokol, rentang alamat IP, atau ingress maupun egress.
Cloud IDS memberikan visibilitas penuh ke traffic jaringan, termasuk traffic utara-selatan dan timur-barat, sehingga Anda dapat memantau komunikasi VM-ke-VM untuk mendeteksi pergerakan lateral. Hal ini menyediakan mesin pemeriksaan yang memeriksa traffic intra-subnet.
Anda juga dapat menggunakan Cloud IDS untuk memenuhi persyaratan deteksi ancaman tingkat lanjut dan kepatuhan, termasuk PCI 11.4 dan HIPAA.
Cloud IDS tunduk pada Adendum Pemrosesan Data Cloud Google Cloud.
Cloud IDS mendeteksi dan memberikan pemberitahuan tentang ancaman, tetapi tidak mengambil tindakan untuk mencegah serangan atau memperbaiki kerusakan. Untuk menindaklanjuti ancaman yang dideteksi Cloud IDS, Anda dapat menggunakan produk seperti Cloud Next Generation Firewall.
Bagian berikut menjelaskan secara detail tentang endpoint IDS dan deteksi ancaman tingkat lanjut.
Endpoint IDS
Cloud IDS menggunakan resource yang dikenal sebagai endpoint IDS, yaitu resource zona yang dapat memeriksa traffic dari zona mana pun di regionnya. Setiap endpoint IDS menerima traffic yang diduplikasi dan melakukan analisis deteksi ancaman.
Akses layanan pribadi adalah koneksi pribadi antara jaringan Virtual Private Cloud (VPC) Anda dan jaringan yang dimiliki oleh Google atau pihak ketiga. Dalam kasus Cloud IDS, koneksi pribadi menghubungkan VM Anda ke VM yang di-peering dan dikelola Google. Untuk endpoint IDS di jaringan VPC yang sama, koneksi pribadi yang sama digunakan kembali, tetapi subnet baru ditetapkan untuk setiap endpoint. Jika perlu menambahkan rentang alamat IP ke koneksi pribadi yang ada, Anda harus mengubah koneksi.
Anda dapat menggunakan Cloud IDS untuk membuat endpoint IDS di setiap region yang ingin Anda pantau. Anda dapat membuat beberapa endpoint IDS untuk setiap region. Setiap endpoint IDS memiliki kapasitas pemeriksaan maksimum 5 Gbps. Meskipun setiap endpoint IDS dapat menangani lonjakan traffic anomali hingga 17 Gbps, sebaiknya Anda mengonfigurasi satu endpoint IDS untuk setiap throughput 5 Gbps yang dialami jaringan Anda.
Kebijakan duplikasi paket
Cloud IDS menggunakan Duplikasi Paket Google Cloud , yang membuat
salinan traffic jaringan Anda. Setelah membuat endpoint IDS, Anda harus melampirkan
satu atau beberapa kebijakan duplikasi paket ke endpoint tersebut. Kebijakan ini mengirimkan traffic yang diduplikasi ke satu endpoint IDS untuk diperiksa. Logika duplikasi paket mengirimkan semua traffic dari VM individual ke VM IDS yang dikelola Google: misalnya, semua traffic yang diduplikasi dari VM1 dan VM2 selalu dikirim ke IDS-VM1.
Deteksi ancaman tingkat lanjut
Kemampuan deteksi ancaman Cloud IDS didukung oleh teknologi pencegahan ancaman dari Palo Alto Networks berikut.
ID aplikasi
ID Aplikasi (App-ID) Palo Alto Networks memberikan visibilitas ke aplikasi yang dijalankan di jaringan Anda. App-ID menggunakan beberapa teknik identifikasi untuk menentukan identitas aplikasi yang melintasi jaringan Anda, terlepas dari port, protokol, taktik mengelak, atau enkripsi. App-ID mengidentifikasi aplikasi, sehingga Anda memiliki pengetahuan untuk membantu mengamankan aplikasi Anda.
Daftar App-ID diperluas setiap minggu, dengan tiga hingga lima aplikasi baru biasanya ditambahkan berdasarkan input dari pelanggan, partner, dan tren pasar. Setelah App-ID baru dikembangkan dan diuji, App-ID tersebut akan otomatis ditambahkan ke daftar sebagai bagian dari update konten harian.
Anda dapat melihat informasi aplikasi di halaman Ancaman IDS di konsolGoogle Cloud .
Kumpulan signature default
Cloud IDS menyediakan kumpulan signature ancaman default yang dapat Anda gunakan secara langsung untuk melindungi jaringan Anda dari ancaman. Di konsolGoogle Cloud , kumpulan signature ini disebut profil layanan Cloud IDS. Anda dapat menyesuaikan kumpulan ini dengan memilih tingkat keparahan pemberitahuan minimum. Signature digunakan untuk mendeteksi kerentanan dan spyware.
Signature deteksi kerentanan mendeteksi upaya untuk mengeksploitasi kelemahan sistem atau mendapatkan akses tidak sah ke sistem. Meskipun signature anti-spyware membantu mengidentifikasi host yang terinfeksi saat traffic keluar dari jaringan, signature deteksi kerentanan melindungi dari ancaman yang masuk ke jaringan.
Misalnya, signature deteksi kerentanan membantu melindungi dari overflow buffer, eksekusi kode ilegal, dan upaya lain untuk mengeksploitasi kerentanan sistem. Signature deteksi kerentanan default menyediakan deteksi untuk klien dan server dari semua ancaman dengan tingkat keparahan kritis (critical), tinggi (high), dan sedang (medium) yang diketahui.
Signature anti-spyware digunakan untuk mendeteksi spyware di host yang disusupi. Spyware tersebut mungkin mencoba menghubungi server command-and-control (C2) eksternal. Saat Cloud IDS mendeteksi traffic berbahaya yang keluar dari jaringan Anda dari host yang terinfeksi, Cloud IDS akan membuat pemberitahuan yang disimpan dalam log ancaman dan ditampilkan di konsol Google Cloud .
Tingkat keparahan ancaman
Tingkat keparahan signature menunjukkan risiko peristiwa yang terdeteksi, dan Cloud IDS membuat pemberitahuan untuk traffic yang cocok. Anda dapat memilih tingkat keparahan minimum dalam kumpulan signature default. Tabel berikut merangkum tingkat keparahan ancaman.
| Keparahan | Deskripsi |
|---|---|
| Kritis | Ancaman serius, seperti yang memengaruhi penginstalan default software yang di-deploy secara luas, mengakibatkan kompromi root server, dan kode eksploit tersedia secara luas bagi penyerang. Penyerang biasanya tidak memerlukan kredensial autentikasi khusus atau pengetahuan tentang setiap korban, dan target tidak perlu dimanipulasi untuk melakukan fungsi khusus apa pun. |
| Tinggi | Ancaman yang berpotensi menjadi kritis, tetapi ada faktor-faktor yang mengurangi risikonya—misalnya, ancaman tersebut mungkin sulit dieksploitasi, tidak mengakibatkan peningkatan hak istimewa, atau tidak memiliki banyak korban. |
| Sedang | Ancaman ringan yang dampaknya diminimalkan dan tidak membahayakan target, atau eksploit yang mengharuskan penyerang berada di jaringan lokal yang sama dengan korban, hanya memengaruhi konfigurasi non-standar atau aplikasi yang tidak jelas, atau memberikan akses yang sangat terbatas. |
| Rendah | Ancaman tingkat peringatan yang berdampak sangat kecil pada infrastruktur organisasi. Biasanya memerlukan akses sistem lokal atau fisik dan sering kali menyebabkan masalah privasi korban dan kebocoran informasi. |
| Informatif | Peristiwa mencurigakan yang tidak menimbulkan ancaman langsung, tetapi dilaporkan untuk menarik perhatian pada masalah yang lebih dalam yang mungkin ada. |
Pengecualian ancaman
Jika Anda memutuskan bahwa Cloud IDS menghasilkan pemberitahuan tentang lebih banyak ancaman daripada yang diperlukan,
Anda dapat menonaktifkan ID ancaman yang tidak relevan atau tidak diperlukan dengan menggunakan
flag --threat-exceptions. Anda dapat menemukan ID ancaman dari ancaman yang ada yang terdeteksi oleh Cloud IDS di log ancaman Anda. Anda dibatasi hingga 99
pengecualian per endpoint IDS.
Frekuensi update konten
Cloud IDS secara otomatis mengupdate semua signature tanpa intervensi pengguna, sehingga pengguna dapat fokus menganalisis dan menyelesaikan ancaman tanpa mengelola atau mengupdate signature. Update konten mencakup signature ancaman dan App-ID, termasuk signature kerentanan dan anti-spyware.
Update dari Palo Alto Networks diambil setiap hari oleh Cloud IDS dan diterapkan ke semua endpoint IDS yang ada. Latensi update maksimum diperkirakan hingga 48 jam.
Logging
Beberapa fitur Cloud IDS menghasilkan pemberitahuan, yang dikirim ke log ancaman. Untuk mengetahui informasi selengkapnya tentang logging, lihat Logging Cloud IDS.
Batasan
- Saat Anda menggunakan kebijakan pemeriksaan Lapisan 7 Cloud NGFW dan kebijakan endpoint Cloud IDS, pastikan kebijakan tersebut tidak berlaku untuk traffic yang sama. Jika kebijakan tersebut tumpang-tindih, kebijakan pemeriksaan Lapisan 7 diprioritaskan, dan traffic tidak diduplikasi.
Langkah berikutnya
- Untuk menyiapkan Cloud IDS, lihat Mengonfigurasi Cloud IDS.