Cloud IDS è un servizio di rilevamento delle intrusioni che consente di rilevare le minacce di intrusioni, malware, spyware e attacchi command-and-control sulla rete. Cloud IDS crea una rete in peering gestita da Google con istanze di macchine virtuali (VM) sottoposte a mirroring. Il traffico nella rete in peering viene sottoposto a mirroring e quindi ispezionato dalle tecnologie di protezione dalle minacce di Palo Alto Networks per fornire un rilevamento avanzato delle minacce. Puoi eseguire il mirroring di tutto il traffico oppure del traffico filtrato in base a protocollo, intervallo di indirizzi IP o in entrata e in uscita.
Cloud IDS offre una visibilità completa sul traffico di rete, compreso il traffico da nord-sud e est-ovest, consentendoti di monitorare la comunicazione da VM a VM per rilevare i movimenti laterali. In questo modo viene fornito un motore di ispezione che analizza il traffico intra-subnet.
Puoi inoltre utilizzare Cloud IDS per soddisfare i tuoi requisiti di conformità e rilevamento avanzato delle minacce, tra cui PCI 11.4 e HIPAA.
Cloud IDS è soggetto all'Addendum per il trattamento dei dati Cloud di Google Cloud.
Cloud IDS rileva e invia avvisi sulle minacce, ma non interviene per prevenire attacchi o riparare i danni. Per intervenire sulle minacce rilevate da Cloud IDS, puoi utilizzare prodotti come Google Cloud Armor.
Le seguenti sezioni forniscono dettagli sugli endpoint IDS e sul rilevamento avanzato delle minacce.
Endpoint IDS
Cloud IDS utilizza una risorsa nota come endpoint IDS, una risorsa di zona in grado di ispezionare il traffico da qualsiasi zona della regione. Ogni endpoint IDS riceve il traffico sottoposto a mirroring ed esegue l'analisi di rilevamento delle minacce.
L'accesso privato ai servizi è una connessione privata tra la tua rete Virtual Private Cloud (VPC) e una rete di proprietà di Google o di una terza parte. Nel caso di Cloud IDS, la connessione privata connette le VM alle VM in peering gestite da Google. Per gli endpoint IDS nella stessa rete VPC, viene riutilizzata la stessa connessione privata, ma viene assegnata una nuova subnet a ogni endpoint. Se devi aggiungere intervalli di indirizzi IP a una connessione privata esistente, devi modificare la connessione.
Puoi utilizzare Cloud IDS per creare un endpoint IDS in ogni regione da monitorare. Puoi creare più endpoint IDS per ogni regione. Ogni endpoint IDS ha una capacità di ispezione massima di 5 Gbps. Sebbene ogni endpoint IDS sia in grado di gestire picchi di traffico anomali fino a 17 Gbps, ti consigliamo di configurare un endpoint IDS per ogni 5 Gbps di velocità effettiva riscontrata dalla rete.
Criteri di mirroring dei pacchetti
Cloud IDS utilizza Google Cloud Mirroring pacchetto, che crea una copia del traffico di rete. Dopo aver creato un endpoint IDS, devi collegarvi uno o più criteri di mirroring pacchetto. Questi criteri inviano il traffico con mirroring
a un singolo endpoint IDS per l'ispezione. La logica di mirroring pacchetto invia tutto il traffico dalle singole VM alle VM IDS gestite da Google: ad esempio, tutto il traffico con mirroring da VM1 e VM2 viene sempre inviato a IDS-VM1.
Rilevamento avanzato delle minacce
Le funzionalità di rilevamento delle minacce di Cloud IDS si basano sulle seguenti tecnologie di prevenzione delle minacce di Palo Alto Networks.
ID applicazione
L'ID applicazione (ID app) di Palo Alto Networks fornisce visibilità sulle applicazioni in esecuzione sulla rete. L'ID app utilizza diverse tecniche di identificazione per determinare l'identità delle applicazioni che attraversano la rete, indipendentemente da porta, protocollo, tattica evasiva o crittografia. L'ID app identifica l'applicazione e ti fornisce le informazioni necessarie per proteggerla.
L'elenco di ID app viene ampliato ogni settimana, con da tre a cinque nuove applicazioni in genere aggiunte in base agli input di clienti, partner e tendenze del mercato. Dopo essere stato sviluppato e testato, un nuovo ID app viene aggiunto automaticamente all'elenco come parte degli aggiornamenti giornalieri dei contenuti.
Puoi visualizzare le informazioni sulle applicazioni nella pagina IDS Threats della console Google Cloud.
Firma predefinita impostata
Cloud IDS fornisce un insieme predefinito di firma delle minacce che puoi utilizzare immediatamente per proteggere la tua rete dalle minacce. Nella console Google Cloud, questo set di firme è chiamato profilo di servizio Cloud IDS. Puoi personalizzare questo set scegliendo il livello minimo di gravità degli avvisi. Le firme vengono utilizzate per rilevare vulnerabilità e spyware.
Le firme per il rilevamento delle vulnerabilità rilevano i tentativi di sfruttare difetti di sistema o di ottenere accesso non autorizzato ai sistemi. Mentre le firme antispyware aiutano a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento delle vulnerabilità proteggono dalle minacce che entrano nella rete.
Ad esempio, le firme per il rilevamento delle vulnerabilità contribuiscono a proteggere da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme predefinite per il rilevamento delle vulnerabilità consentono di rilevare per client e server da tutte le minacce critiche, ad alta e media gravità note.
Le firme antispyware vengono utilizzate per rilevare spyware su host compromessi. Questo tipo di spyware potrebbe tentare di contattare server di comando e controllo (C2) esterni. Quando Cloud IDS rileva traffico dannoso che esce dalla rete da host infetti, genera un avviso che viene salvato nel log delle minacce e visualizzato nella console Google Cloud.
Livelli di gravità delle minacce
La gravità di una firma indica il rischio dell'evento rilevato e Cloud IDS genera avvisi per il traffico corrispondente. Puoi scegliere il livello di gravità minimo nel set di firme predefinito. La tabella seguente riassume i livelli di gravità delle minacce.
| Gravità | Descrizione |
|---|---|
| Critico | Minacce gravi, ad esempio quelle che interessano le installazioni predefinite di software su larga scala, comportano una compromissione radice dei server e il codice di exploit è ampiamente disponibile per gli utenti malintenzionati. In genere l'utente malintenzionato non ha bisogno di credenziali di autenticazione speciali o di conoscenze sulle singole vittime e non è necessario manipolare il bersaglio per svolgere funzioni speciali. |
| Alta | Minacce in grado di diventare critiche, ma che presentano fattori attenuanti, ad esempio potrebbero essere difficili da sfruttare, non comportare privilegi elevati o non avere un vasto pool di vittime. |
| Medio | Minacce minori in cui l'impatto è ridotto al minimo che non compromettono il bersaglio o exploit che richiedono a un utente malintenzionato di risiedere sulla stessa rete locale della vittima, che interessano solo configurazioni non standard o applicazioni oscurano oppure forniscono un accesso molto limitato. |
| Bassa | Minacce a livello di avviso con un impatto minimo sull'infrastruttura di un'organizzazione. Di solito richiedono l'accesso al sistema locale o fisico e spesso potrebbero causare problemi di privacy delle vittime e fuga di informazioni. |
| Informativo | Eventi sospetti che non costituiscono una minaccia immediata, ma che vengono segnalati per richiamare l'attenzione su problemi più gravi che potrebbero sussistere. |
Eccezioni alle minacce
Se decidi che Cloud IDS genera avvisi su più minacce del necessario, puoi disattivare gli ID minaccia rumorosi o comunque non necessari utilizzando il flag --threat-exceptions. Puoi trovare gli ID minaccia delle minacce esistenti rilevate da Cloud IDS nei log delle minacce. Sono previste massimo 99 eccezioni per endpoint IDS.
Frequenza di aggiornamento dei contenuti
Cloud IDS aggiorna automaticamente tutte le firme senza l'intervento dell'utente, consentendo agli utenti di concentrarsi sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme. Gli aggiornamenti dei contenuti includono ID applicazione e firme delle minacce, tra cui firme antispyware e vulnerabilità.
Gli aggiornamenti di Palo Alto Networks sono ricevuti ogni giorno da Cloud IDS e inviati a tutti gli endpoint IDS esistenti. Si stima che la latenza massima degli aggiornamenti sia fino a 48 ore.
Logging
Diverse funzionalità di Cloud IDS generano avvisi, che vengono inviati al log delle minacce. Per ulteriori informazioni sul logging, consulta Logging di Cloud IDS.
Passaggi successivi
- Per configurare Cloud IDS, consulta Configurare Cloud IDS.