Cloud IDS は侵入検知サービスで、ネットワーク上の侵入、マルウェア、スパイウェア、コマンド&コントロール攻撃の脅威を検出します。Cloud IDS は、ミラーリングされた VM を使用して Google が管理するピアリングされたネットワークを作成することによって機能します。ピアリングされたネットワーク内のトラフィックはミラーリングされ、Palo Alto Networks の脅威保護技術によって検査されて、高度な脅威検出が提供されます。すべてのトラフィックをミラーリングすることも、プロトコル、IP アドレス範囲、上り(内向き)と下り(外向き)に基づいてフィルタリングされたトラフィックをミラーリングすることもできます。
Cloud IDS は North-South トラフィックと East-West トラフィックの両方を含むネットワーク トラフィックを完全に可視化し、VM 間の通信をモニタリングしてラテラル ムーブメントを検出できます。これにより、サブネット内のトラフィックを検査する検査エンジンが提供されます。
また、ID 11.4 をはじめとする高度な脅威の検出とコンプライアンス要件を満たすために、Cloud IDS を使用することもできます。
Cloud IDS には、Google Cloud のデータ処理およびセキュリティ規約が適用されます。
Cloud IDS にはコンプライアンスの維持に役立つすべての機能が含まれますが、Cloud IDS 自体は監査対象であり、コンプライアンスはまだ認定されていません。また、Cloud IDS は脅威を検出して警告しますが、攻撃の防止や修復には対応しません。Google Cloud Armor などのプロダクトを使用して、Cloud IDS が検出した脅威に対処できます。
Cloud IDS について
次のセクションでは、IDS エンドポイントと高度な脅威検出について詳しく説明します。
IDS エンドポイント
Cloud IDS は IDS エンドポイントと呼ばれるリソースを使用します。これは、そのリージョン内の任意のゾーンからのトラフィックを検査できます。各 IDS エンドポイントは、ミラーリングされたトラフィックを受信し、脅威検出分析を実行します。
プライベート サービス アクセスは、Virtual Private Cloud ネットワークと Google またはサードパーティが所有するネットワークとのプライベート接続です。Cloud IDS の場合、プライベート接続は、Google が管理するピアリングされた VM に VM を接続します。同じ Virtual Private Cloud ネットワーク内の IDS エンドポイントの場合、同じプライベート接続が再利用されますが、新しいエンドポイントは各エンドポイントに割り当てられます。既存のプライベート接続に IP アドレス範囲を追加する必要がある場合は、接続を変更する必要があります。
パケット ミラーリング ポリシー
Cloud IDS は Google Cloud パケット ミラーリングを使用して、ネットワーク トラフィックのコピーを作成します。IDS エンドポイントを作成したら、1 つ以上パケット ミラーリング ポリシーのをそのエンドポイントに接続する必要があります。これらのポリシーでは、ミラーリングされるトラフィックを検査のために単一の IDS エンドポイントに送信します。パケット ミラーリング ロジックは、個々の VM からすべてのトラフィックを Google が管理する IDS VM に送信します。たとえば、VM1 と VM2 からミラーリングされたすべてのトラフィックは常に IDS-VM1 に送信されます。
高度な脅威検出
Cloud IDS の脅威検出機能は、次の Palo Alto Networks の脅威防止技術を利用しています。
アプリケーション ID
Palo Alto Networks のアプリケーション ID(App-ID)は、ネットワーク上で実行されるアプリケーションを可視化します。App-ID は、ポート、プロトコル、回避策、暗号化に関係なく、複数の識別手法を使用してネットワークを通過するアプリケーションの ID を判別します。App-ID はアプリケーションを識別し、アプリケーションの保護に役立つ情報を提供します。
アプリ ID のリストは毎週拡張され、お客様、パートナー、市場の動向に基づいて 3 ~ 5 個の新しいアプリケーションが一般的に追加されています。新しいアプリ ID が開発されてテストされると、毎日のコンテンツ更新の一部として自動的にリストに追加されます。
アプリケーションの情報は、Google Cloud Console の [脅威の詳細] ページで確認できます。
デフォルトの署名セット
Cloud IDS には、ネットワークを脅威から直ちに保護するために使用できる、デフォルトの脅威署名が用意されています。Google Cloud Console では、この署名セットは Cloud IDS サービス プロファイルと呼ばれます。アラートの重大度の最小レベルを選択して、このセットをカスタマイズできます。署名は、脆弱性やスパイウェアの検出に使用されます。
- 脆弱性検出シグネチャは、システムの欠陥を悪用する試みや、システムへの不正アクセスを検出します。アンチスパイウェア シグネチャは、トラフィックがネットワークから出るときに感染したホストを識別するのに役立ちますが、脆弱性検出シグネチャは、ネットワークへの脅威から保護します。たとえば、脆弱性検出シグネチャは、バッファ オーバーフロー、不正なコードの実行、その他のシステムの脆弱性を悪用するための保護に役立ちます。デフォルトの脆弱性検出シグネチャは、既知の重要性、高レベル、中程度の脅威からクライアントとサーバーを検出します。
- スパイウェア対策シグネチャは、不正使用されたホスト上のスパイウェアを検出するために使用されます。このようなスパイウェアは、外部のコマンド コントロール(C2)サーバーとの接続を試みることがあります。Cloud IDS は、感染したホストからネットワークを離れる悪意のあるトラフィックを検出すると、アラートを生成し、それを脅威ログに保存し、これも Google Cloud Console に表示されます。
脅威の重大度
シグネチャの重大度は検出されたイベントのリスクを示し、Cloud IDS は一致するトラフィックに関するアラートを生成します。デフォルトの署名セットでは最小重大度レベルを選択できます。次の表に、脅威の重大度を示します。
| 重大度 | 説明 |
|---|---|
| 重大 | 広範囲にデプロイされたソフトウェアのデフォルト インストールに影響する脅威など、重大な脅威は、サーバーのルートを侵害し、攻撃者が悪用コードを広く利用できる場所にあります。攻撃者は通常、特別な認証情報や個々の被害者の知識を必要とせず、ターゲットを操作して特別な機能を実行する必要もありません。 |
| 高 | クリティカルになる可能性がある脅威を軽減する要素がある脅威。たとえば、攻撃が悪用されたり、権限昇格につながったり、被害者プールがなかったりする場合があります。 |
| 中 | 影響が最小限に抑えられ、ターゲットが侵害されない脅威、または攻撃者が被害者と同じローカル ネットワーク上に配置する必要がある攻撃は、標準以外の構成または難読化されたアプリケーションにのみ影響するか、アクセスが非常に限定的になります。 |
| 低 | 組織のインフラストラクチャへの影響がほとんどない警告レベルの脅威。通常、ローカル システムまたは物理システムへのアクセスが必要となり、被害者のプライバシーの問題や情報漏洩が発生する可能性があります。 |
| 情報 | 即時の脅威にはさらされないものの、潜在的に潜在的に潜在的な問題に注意を要すると報告された疑わしいイベント。 |
コンテンツの更新頻度
Cloud IDS は、ユーザーの介入なしにすべての署名を自動的に更新するため、ユーザーは署名の管理や更新を行うことなく、脅威の分析と解決に集中できます。コンテンツの更新には、アプリケーション ID と脅威の署名(脆弱性とアンチスパイウェアの署名など)が含まれます。
Palo Alto Networks からの更新は、Cloud IDS によって毎週取得され、既存のすべての IDS エンドポイントに push されます。更新の最大レイテンシは最大で 48 時間と推測されます。
ロギング
Cloud IDS のいくつかの機能によってアラートが生成され、脅威ログに送信されます。ロギングの詳細については、Cloud IDS のロギングをご覧ください。
制限事項
- Cloud IDS は VPC Service Controls ではサポートされていません。IDS エンドポイントは、境界外のプロジェクトにのみ作成することをおすすめします。
次のステップ
- Cloud IDS を設定するには、Cloud IDS の構成をご覧ください。