O Cloud IDS é um serviço de detecção de intrusões que oferece detecção de ameaças para intrusões, malwares, spywares e ataques de comando e controle na rede. O Cloud IDS funciona criando uma rede com peering gerenciada pelo Google com VMs espelhadas. O tráfego na rede com peering é espelhado e inspecionado pelas tecnologias de proteção contra ameaças da Palo Alto Networks para oferecer uma detecção avançada de ameaças. É possível espelhar todo o tráfego ou espelhar o tráfego filtrado com base no protocolo, no intervalo de endereços IP ou na entrada e na saída.
O Cloud IDS fornece visibilidade total do tráfego de rede, incluindo tráfego norte-sul e leste-oeste, permitindo que você monitore a comunicação entre VMs para detectar o movimento lateral. Isso fornece um mecanismo de inspeção que inspeciona o tráfego intra-sub-rede.
O Cloud IDS também é usado para atender aos requisitos avançados de detecção e ameaça de ameaças, incluindo o PCI 11.4.
O Cloud IDS está sujeito aos Termos de processamento e segurança de dados do Google Cloud.
O Cloud IDS inclui todas as funcionalidades que ajudam você a manter a conformidade, mas o Cloud IDS em si ainda está sendo auditado e ainda não foi certificado. Observe também que o Cloud IDS detecta e alerta sobre ameaças, mas não toma medidas para evitar ataques ou reparos. É possível usar produtos como o Google Cloud Armor para agir sobre as ameaças que o Cloud IDS detecta.
Sobre o Cloud IDS
A seção a seguir fornece detalhes sobre os endpoints de IDS e a detecção avançada de ameaças.
Endpoints IDS
O Cloud IDS usa um recurso conhecido como endpoint do IDS, um recurso zonal que pode inspecionar o tráfego de qualquer zona na região dele. Cada endpoint do IDS recebe tráfego espelhado e executa análises de detecção de ameaças.
O acesso a serviços particulares é uma conexão particular entre a rede de nuvem privada virtual e a rede de propriedade do Google ou de terceiros. No caso do Cloud IDS, a conexão particular conecta suas VMs às VMs com peering do Google. No caso de endpoints do IDS na mesma rede de nuvem privada virtual, a mesma conexão particular é reutilizada, mas uma nova sub-rede é atribuída para cada endpoint. Se você precisar adicionar intervalos de endereços IP a uma conexão particular, modifique a conexão.
Políticas de espelhamento de pacote
O Cloud IDS usa o espelhamento de pacotes do Google Cloud, que cria uma cópia do
tráfego de rede. Depois de criar um endpoint do IDS, anexe uma ou
mais políticas de espelhamento de pacotes a ele. Essas políticas enviam o tráfego espelhado a um único endpoint de IDS para inspeção. A lógica de espelhamento de pacotes envia todo o tráfego de VMs individuais para VMs de IDS gerenciadas pelo Google. Por exemplo, todo o tráfego espelhado de VM1 e VM2 sempre será enviado para IDS-VM1.
Detecção avançada de ameaças
Os recursos de detecção de ameaças do Cloud IDS usam as seguintes tecnologias de prevenção contra ameaças da Palo Alto Networks.
ID do aplicativo
O Palo Alto Networks' ID do aplicativo (ID do aplicativo) oferece visibilidade para os aplicativos em execução na sua rede. O ID do app usa várias técnicas de identificação para determinar a identidade dos aplicativos que passam pela sua rede, independentemente da porta, do protocolo, da tática evasiva ou da criptografia. O ID do app identifica o aplicativo, fornecendo informações para ajudar a proteger o aplicativo.
A lista de IDs de apps é expandida semanalmente, com três a cinco novos aplicativos adicionados geralmente com base na entrada de clientes, parceiros e tendências de mercado. Depois que um novo ID do aplicativo é desenvolvido e testado, ele é adicionado automaticamente à lista como parte das atualizações de conteúdo diárias.
As informações do aplicativo podem ser vistas na página Detalhes das ameaças no Console do Google Cloud.
Assinatura padrão definida
O Cloud IDS oferece um conjunto padrão de assinaturas de ameaças que podem ser usadas imediatamente para proteger sua rede contra ameaças. No Console do Google Cloud, esse conjunto de assinaturas é chamado de perfil de serviço do Cloud IDS. Você pode personalizar esse conjunto escolhendo o nível mínimo de gravidade do alerta. As assinaturas são usadas para detectar vulnerabilidades e spyware.
- As assinaturas de detecção de vulnerabilidades detectam tentativas de exploração de falhas do sistema ou de acesso não autorizado aos sistemas. As assinaturas antispyware ajudam a identificar os hosts infectados quando o tráfego sai da rede. Já as assinaturas de detecção de vulnerabilidade protegem contra ameaças que entram na rede. Por exemplo, as assinaturas de detecção de vulnerabilidades ajudam a proteger contra estouro de buffer, execução de código ilegal e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas de detecção de vulnerabilidades padrão oferecem detecção para clientes e servidores de todas as ameaças críticas, de alta e média gravidade conhecidas.
- As assinaturas anti-spyware são usadas para detectar spywares em hosts comprometidos. Esses spywares podem tentar entrar em contato com servidores externos de comando e controle (C2). Quando o Cloud IDS detecta tráfego malicioso que deixa a rede dos hosts infectados, ele gera um alerta, que é salvo no registro de ameaças e também exibido no console do Google Cloud.
Níveis de gravidade das ameaças
A gravidade de uma assinatura indica o risco do evento detectado, e o Cloud IDS gera alertas para o tráfego correspondente. Você pode escolher o nível de gravidade mínima no conjunto de assinaturas padrão. Veja na tabela a seguir um resumo dos níveis de gravidade das ameaças.
| Gravidade | Descrição |
|---|---|
| Crítica | Ameaças graves, como as que afetam a instalação padrão de software amplamente implantado, resultam em comprometimento raiz dos servidores e em que o código de exploração está amplamente disponível para os invasores. O invasor geralmente não precisa de credenciais de autenticação especiais nem de conhecimento sobre as vítimas individuais, e o alvo não precisa ser manipulado para executar funções especiais. |
| Alto | Ameaças que podem se tornar críticas, mas há fatores de mitigação. Por exemplo, elas podem ser difíceis de explorar, não resultar em privilégios elevados ou não têm um grande número de vítimas. |
| Média | Pequenas ameaças em que o impacto é minimizado, que não compromete o alvo ou explorações que exigem que um invasor resida na mesma rede local da vítima, afetam apenas configurações não padrão ou ocultam aplicativos ou oferecem acesso muito limitado. |
| Baixa | Ameaças no nível de alerta com pouco impacto na infraestrutura de uma organização. Eles geralmente precisam de acesso local ou físico ao sistema e podem resultar em problemas de privacidade da vítima e vazamento de informações. |
| Informativa | Eventos suspeitos que não representam uma ameaça imediata, mas que são chamados para chamar a atenção para problemas mais profundos que podem existir. |
Frequência de atualização de conteúdo
O Cloud IDS atualiza automaticamente todas as assinaturas sem nenhuma intervenção do usuário, permitindo que os usuários se concentrem na análise e resolução de ameaças, sem gerenciar ou atualizar assinaturas. As atualizações de conteúdo incluem o ID do aplicativo e assinaturas de ameaças, incluindo assinaturas de vulnerabilidades e antispyware.
As atualizações da Palo Alto Networks são coletadas diariamente pelo Cloud IDS e enviadas para todos os endpoints de IDS existentes. A latência máxima estimada é de até 48 horas.
Geração de registros
Vários recursos do Cloud IDS geram alertas, que são enviados ao registro de ameaças. Para mais informações sobre a geração de registros, consulte Geração de registros do Cloud IDS.
Limitações
- O Cloud IDS não é compatível com o VPC Service Controls. Recomendamos criar um endpoint IDS somente em projetos que estão fora de perímetros.
A seguir
- Consulte Como configurar o Cloud IDS.