Cloud IDS adalah layanan deteksi penyusupan yang menyediakan deteksi ancaman untuk intrusi, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda. Cloud IDS bekerja dengan membuat jaringan yang di-peering dan dikelola Google dengan instance virtual machine (VM) yang dicerminkan. Traffic di jaringan yang di-peering dicerminkan, lalu diperiksa oleh teknologi perlindungan ancaman Palo Alto Networks untuk menyediakan deteksi ancaman tingkat lanjut. Anda dapat menduplikasi semua traffic, atau menduplikasi traffic yang difilter berdasarkan protokol, rentang alamat IP, atau traffic masuk dan keluar.
Cloud IDS memberikan visibilitas penuh ke traffic jaringan, termasuk traffic utara-selatan dan timur-barat, sehingga Anda dapat memantau komunikasi VM-ke-VM untuk mendeteksi pergerakan lateral. Hal ini menyediakan mesin inspeksi yang memeriksa traffic intra-subnet.
Anda juga dapat menggunakan Cloud IDS untuk memenuhi persyaratan kepatuhan dan deteksi ancaman lanjutan, termasuk PCI 11.4 dan HIPAA.
Cloud IDS tunduk pada Adendum Pemrosesan Data Cloud Google Cloud.
Cloud IDS mendeteksi dan memberi tahu ancaman, tetapi tidak mengambil tindakan untuk mencegah serangan atau memperbaiki kerusakan. Untuk menindaklanjuti ancaman yang terdeteksi oleh Cloud IDS, Anda dapat menggunakan produk seperti Google Cloud Armor.
Bagian berikut ini memberikan detail tentang endpoint IDS dan deteksi ancaman lanjutan.
Endpoint IDS
Cloud IDS menggunakan resource yang dikenal sebagai endpoint IDS, yaitu resource zona yang dapat memeriksa traffic dari zona mana pun di region-nya. Setiap endpoint IDS menerima traffic yang dicerminkan dan melakukan analisis deteksi ancaman.
Akses layanan pribadi adalah koneksi pribadi antara jaringan Virtual Private Cloud (VPC) Anda dan jaringan milik Google atau pihak ketiga. Dalam kasus Cloud IDS, koneksi pribadi menghubungkan VM Anda ke VM yang di-peering yang dikelola Google. Untuk endpoint IDS di jaringan VPC yang sama, koneksi pribadi yang sama digunakan kembali, tetapi subnet baru ditetapkan untuk setiap endpoint. Jika perlu menambahkan rentang alamat IP ke koneksi pribadi yang ada, Anda harus mengubah koneksi.
Anda dapat menggunakan Cloud IDS untuk membuat endpoint IDS di setiap region yang ingin Anda pantau. Anda dapat membuat beberapa endpoint IDS untuk setiap region. Setiap endpoint IDS memiliki kapasitas pemeriksaan maksimum 5 Gbps. Meskipun setiap endpoint IDS dapat menangani lonjakan traffic anomali hingga 17 Gbps, sebaiknya Anda mengonfigurasi satu endpoint IDS untuk setiap throughput 5 Gbps yang dialami jaringan Anda.
Kebijakan duplikasi paket
Cloud IDS menggunakan Duplikasi Paket Google Cloud, yang akan membuat salinan traffic jaringan Anda. Setelah membuat endpoint IDS, Anda harus melampirkan
satu atau beberapa kebijakan duplikasi paket ke endpoint. Kebijakan ini mengirim traffic yang dicerminkan
ke satu endpoint IDS untuk diperiksa. Logika pencerminan paket mengirimkan semua
traffic dari setiap VM ke VM IDS yang dikelola Google: misalnya,
semua traffic yang dicerminkan dari VM1 dan VM2 selalu dikirim ke IDS-VM1.
Deteksi ancaman lanjutan
Kemampuan deteksi ancaman Cloud IDS didukung oleh teknologi pencegahan ancaman Palo Alto Networks berikut.
ID-Aplikasi
ID Aplikasi (App-ID) Palo Alto Networks memberikan visibilitas ke aplikasi yang berjalan di jaringan Anda. ID Aplikasi menggunakan beberapa teknik identifikasi untuk menentukan identitas aplikasi yang melintasi jaringan Anda, terlepas dari port, protokol, taktik mengelak, atau enkripsi. App-ID mengidentifikasi aplikasi, yang memberi Anda pengetahuan untuk membantu mengamankan aplikasi.
Daftar ID Aplikasi diperluas setiap minggu, dengan tiga hingga lima aplikasi baru yang biasanya ditambahkan berdasarkan input dari pelanggan, partner, dan tren pasar. Setelah dikembangkan dan diuji, App-ID baru akan otomatis ditambahkan ke daftar sebagai bagian dari update konten harian.
Anda dapat melihat informasi aplikasi di halaman Ancaman IDS pada Konsol Google Cloud.
Tanda tangan default disetel
Cloud IDS menyediakan serangkaian tanda tangan ancaman default yang dapat segera Anda gunakan untuk melindungi jaringan Anda dari ancaman. Di Konsol Google Cloud, kumpulan tanda tangan ini disebut profil layanan Cloud IDS. Anda dapat menyesuaikan kumpulan ini dengan memilih tingkat keseriusan notifikasi minimum. Tanda tangan ini digunakan untuk mendeteksi kerentanan dan spyware.
Tanda tangan deteksi kerentanan mendeteksi upaya untuk mengeksploitasi kekurangan sistem atau mendapatkan akses tanpa izin ke sistem. Meskipun tanda tangan anti-spyware membantu mengidentifikasi host yang terinfeksi saat traffic keluar dari jaringan, tanda tangan deteksi kerentanan melindungi dari ancaman yang masuk ke jaringan.
Misalnya, tanda tangan deteksi kerentanan membantu melindungi dari overflow buffer, eksekusi kode ilegal, dan upaya lain untuk mengeksploitasi kerentanan sistem. Tanda tangan deteksi kerentanan default menyediakan deteksi untuk klien dan server dari semua ancaman kritis, tinggi, dan tingkat keparahan sedang yang diketahui.
Tanda tangan anti-spyware digunakan untuk mendeteksi spyware pada host yang disusupi. spyware tersebut mungkin mencoba menghubungi server perintah dan kontrol eksternal (C2). Saat mendeteksi traffic berbahaya yang keluar dari jaringan Anda dari host yang terinfeksi, Cloud IDS akan menghasilkan peringatan yang disimpan di log ancaman dan ditampilkan di Konsol Google Cloud.
Tingkat keparahan ancaman
Tingkat keparahan tanda tangan menunjukkan risiko peristiwa yang terdeteksi, dan Cloud IDS akan menghasilkan peringatan untuk traffic yang cocok. Anda dapat memilih tingkat keparahan minimum dalam kumpulan tanda tangan default. Tabel berikut meringkas tingkat keparahan ancaman.
| Keseriusan | Deskripsi |
|---|---|
| Penting | Ancaman serius, seperti yang memengaruhi penginstalan default software yang di-deploy secara luas, menyebabkan penyusupan ke server di root, dan tempat kode eksploitasi tersedia secara luas bagi penyerang. Penyerang biasanya tidak memerlukan kredensial autentikasi khusus atau pengetahuan tentang korban individu, dan targetnya tidak perlu dimanipulasi untuk melakukan fungsi khusus apa pun. |
| Tinggi | Ancaman dapat menjadi kritis, tetapi ada beberapa faktor yang dapat mengurangi—misalnya, ancaman tersebut mungkin sulit dieksploitasi, tidak menghasilkan hak istimewa yang ditingkatkan, atau tidak memiliki kelompok korban yang besar. |
| Sedang | Ancaman kecil dengan dampak diminimalkan yang tidak membahayakan target, atau eksploitasi yang mengharuskan penyerang berada di jaringan lokal yang sama dengan korban, hanya memengaruhi konfigurasi non-standar atau aplikasi yang tidak jelas, atau menyediakan akses yang sangat terbatas. |
| Rendah | Ancaman tingkat peringatan yang berdampak sangat kecil pada infrastruktur organisasi. Layanan ini biasanya memerlukan akses sistem lokal atau fisik dan mungkin sering mengakibatkan masalah privasi korban dan kebocoran informasi. |
| Informatif | Peristiwa mencurigakan yang tidak menimbulkan ancaman langsung, tetapi dilaporkan untuk menarik perhatian ke masalah yang lebih dalam yang mungkin ada. |
Pengecualian ancaman
Jika Anda memutuskan bahwa Cloud IDS menghasilkan pemberitahuan tentang ancaman yang lebih banyak daripada yang diperlukan, Anda dapat menonaktifkan ID ancaman yang berisik atau tidak perlu menggunakan flag --threat-exceptions. Anda dapat menemukan ID ancaman dari ancaman yang ada yang terdeteksi oleh Cloud IDS di log ancaman. Anda dibatasi hingga 99 pengecualian per endpoint IDS.
Frekuensi pembaruan konten
Cloud IDS secara otomatis memperbarui semua tanda tangan tanpa intervensi pengguna apa pun, sehingga pengguna dapat fokus pada analisis dan penyelesaian ancaman tanpa mengelola atau memperbarui tanda tangan. Update konten mencakup ID Aplikasi dan tanda tangan ancaman, termasuk tanda tangan kerentanan dan anti-spyware.
Update dari Palo Alto Networks diambil setiap hari oleh Cloud IDS dan diteruskan ke semua endpoint IDS yang ada. Latensi update maksimum diperkirakan hingga 48 jam.
Logging
Beberapa fitur Cloud IDS menghasilkan pemberitahuan yang dikirim ke log ancaman. Untuk informasi selengkapnya tentang logging, lihat Logging Cloud IDS.
Langkah selanjutnya
- Untuk menyiapkan Cloud IDS, lihat Mengonfigurasi Cloud IDS.