O Cloud IDS é um serviço de detecção de intrusões que fornece detecção de ameaças de invasões, malware, spyware e ataques de comando e controle na rede. O Cloud IDS cria uma rede VPC com peering com instâncias de máquina virtual (VM) espelhadas. Tráfego no app com peering rede é espelhada e, em seguida, inspecionado pelas tecnologias de proteção contra ameaças da Palo Alto Networks para fornecer detecção avançada de ameaças. É possível espelhar todo o tráfego ou o tráfego filtrado com base no protocolo, no intervalo de endereços IP ou na entrada e saída.
O Cloud IDS oferece visibilidade total do tráfego de rede, incluindo norte-sul e leste-oeste, permitindo monitorar a comunicação entre VMs e detectar movimento lateral. Isso fornece um mecanismo de inspeção que inspeciona o tráfego interno da sub-rede.
Também é possível usar o Cloud IDS para atender às exigências de detecção de ameaças avançadas e requisitos de conformidade, incluindo PCI 11.4 e HIPAA.
O Cloud IDS está sujeito à política do Google Cloud Adendo sobre processamento de dados do Cloud.
O Cloud IDS detecta e alerta sobre ameaças, mas não toma medidas para evitar ataques ou reparar danos. Para tomar medidas em relação às ameaças detectadas pelo IDS do Cloud, use produtos como o Google Cloud Armor.
As seções a seguir fornecem detalhes sobre os endpoints do IDS e a detecção de ameaças avançada.
Endpoints IDS
O Cloud IDS usa um recurso conhecido como endpoint do IDS, que é um recurso zonal que pode inspecionar o tráfego de qualquer zona na região. Cada endpoint do IDS recebe tráfego espelhado e realiza análises para a detecção de ameaças.
O acesso a serviços particulares é uma entre sua rede de nuvem privada virtual (VPC) e uma rede de propriedade da pelo Google ou por terceiros. No caso do Cloud IDS, a conexão particular conecta suas VMs às VMs com peering gerenciadas pelo Google. Para endpoints de IDS na mesma rede VPC, a mesma rede VPC será reutilizada, mas uma nova sub-rede será atribuída a cada endpoint. Se for preciso adicionar intervalos de endereços IP a uma conexão particular, você precisa modificar a conexão.
É possível usar o Cloud IDS para criar um endpoint do IDS em cada região que você quer monitorar. É possível criar vários endpoints SDI para cada região. Cada endpoint do IDS tem uma capacidade máxima de inspeção de 5 Gbps. Embora cada endpoint de IDS possa lidar com picos de tráfego anormais de até 17 Gbps, recomendamos que você configure um endpoint de IDS para cada 5 Gbps de throughput que sua rede experimenta.
Políticas de espelhamento de pacote
O Cloud IDS usa o espelhamento de pacotes do Google Cloud, que cria
uma cópia do tráfego de rede. Depois de criar um endpoint do IDS, é preciso anexar
uma ou mais políticas de espelhamento de pacotes a ele. Essas políticas enviam tráfego espelhado
a um endpoint do SDI para inspeção. A lógica de espelhamento de pacotes envia todo o tráfego de VMs individuais para VMs do IDS gerenciadas pelo Google. Por exemplo, todo o tráfego espelhado da VM1 e da VM2 é sempre enviado para a IDS-VM1.
Detecção avançada de ameaças
Os recursos de detecção de ameaças do Cloud IDS usam a tecnologia do Palo a seguir: Tecnologias de prevenção de ameaças da Alto Networks.
ID do aplicativo
O ID do aplicativo (App-ID) da Palo Alto Networks oferece visibilidade dos aplicativos em execução na sua rede. O App-ID usa vários identificadores para determinar a identidade dos aplicativos que atravessam a rede, independentemente de porta, protocolo, tática evasiva ou criptografia. O ID do aplicativo identifica o aplicativo, fornecendo informações para ajudar a protegê-lo.
A lista de IDs de apps é expandida semanalmente, e geralmente de três a cinco novos aplicativos adicionados com base na contribuição de clientes, parceiros e tendências de mercado. Após uma nova O ID do app é desenvolvido e testado, ele é adicionado automaticamente à lista como parte do as atualizações de conteúdo diárias.
As informações do aplicativo estão disponíveis na página Ameaças do IDS no console do Google Cloud.
Conjunto padrão de assinaturas
O Cloud IDS oferece um conjunto padrão de assinaturas de ameaças que podem ser usadas imediatamente para proteger sua rede contra ameaças. No console do Google Cloud, esse conjunto de assinaturas é chamado de perfil de serviço do Cloud IDS. É possível personalizar esse conjunto escolhendo o nível mínimo de gravidade do alerta. As assinaturas são usadas para detectar vulnerabilidades e spyware.
As assinaturas de detecção de vulnerabilidades detectam tentativas de explorar falhas do sistema ou conseguir acesso não autorizado aos sistemas. As assinaturas antispyware ajudam a identificar hosts infectados quando o tráfego sai da rede. Já as assinaturas de detecção de vulnerabilidades protegem contra ameaças que entram na rede.
Por exemplo, as assinaturas de detecção de vulnerabilidades ajudam a proteger contra estouro de buffer, execução ilegal de códigos e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas de detecção de vulnerabilidade padrão fornecem detecção para clientes e servidores de todas as ameaças críticas, de alta e média gravidade conhecidas.
As assinaturas antispyware são usadas para detectar spyware em hosts comprometidos. Essas o spyware pode tentar entrar em contato com servidores externos de comando e controle (C2). Quando O Cloud IDS detecta tráfego malicioso que sai da rede e está infectado host, ele gera um alerta que é salvo no registro de ameaças e mostrado no console do Google Cloud.
Níveis de gravidade de ameaças
A gravidade de uma assinatura indica o risco do evento detectado. O Cloud IDS gera alertas para o tráfego correspondente. Você pode escolher o nível mínimo de gravidade no conjunto de assinaturas padrão. A tabela a seguir resume os níveis de gravidade de ameaças.
| Severity | Descrição |
|---|---|
| Crítico | Ameaças graves, como as que afetam as instalações padrão dos de software amplamente implantado, resultam no comprometimento raiz dos servidores e onde está amplamente disponível para os atacantes. O invasor geralmente faz sem precisar de credenciais especiais de autenticação ou conhecimento sobre a vítimas individuais, e o alvo não precisa ser manipulado sem executar funções especiais. |
| Alta | Ameaças que podem se tornar críticas, mas há fatores atenuantes. Por exemplo, elas podem ser difíceis de explorar, não resultam em privilégios elevados ou não têm um grande pool de vítimas. |
| Médio | Pequenas ameaças em que o impacto é minimizado e não compromete o alvo ou explorações que exigem que um invasor resida na mesma rede local que a vítima, afetam apenas configurações não padrão ou aplicativos obscuros ou fornecem acesso muito limitado. |
| Baixo | Ameaças de alerta com pouco impacto na infraestrutura de uma organização. Elas geralmente exigem acesso ao sistema físico ou local e podem resultar em problemas de privacidade da vítima e vazamentos de informações. |
| Informativa | Eventos suspeitos que não representam uma ameaça imediata, mas que são relatadas para chamar a atenção para problemas mais profundos que possam existir. |
Exceções de ameaças
Se você decidir que o Cloud IDS gera alertas sobre mais ameaças do que o necessário,
desative os IDs de ameaça com ruídos ou desnecessários usando a
flag --threat-exceptions. É possível encontrar os IDs das ameaças
ameaças detectadas pelo Cloud IDS nos registros de ameaças. Você tem um limite de 99
exceções por endpoint do IDS.
Frequência de atualização do conteúdo
O Cloud IDS atualiza automaticamente todas as assinaturas sem que nenhum usuário permitindo que os usuários se concentrem na análise e resolução de ameaças sem gerenciar ou atualizar as assinaturas. As atualizações de conteúdo incluem o Application-ID e assinaturas de ameaças, incluindo assinaturas antispyware e vulnerabilidade.
O Cloud IDS recebe atualizações diárias da Palo Alto Networks, enviados para todos os endpoints do SDI atuais. A latência máxima de atualização é estimada em até 48 horas.
Geração de registros
Vários atributos do Cloud IDS geram alertas, que são enviados ao sistema de registro. Para mais informações sobre a geração de registros, consulte Gerenciamento de registros do Cloud IDS.
Limitações
- Quando você usa as políticas de inspeção do Cloud Next Generation Firewall L7 e o Cloud IDS de endpoint, garanta que elas não se apliquem ao mesmo tráfego. Se se sobrepõem, a política de inspeção L7 tem prioridade e o tráfego não é espelhado.
A seguir
- Para configurar o Cloud IDS, consulte Configurar o Cloud IDS.