Cloud IDS 是一种入侵检测服务,可以针对网络入侵、恶意软件、间谍软件以及命令和控制攻击提供威胁检测。Cloud IDS 的工作原理是创建具有镜像的虚拟机的 Google 代管的对等互连网络。对等互连网络中的流量会被镜像,然后由 Palo Alto Networks 威胁防护技术进行检查,以提供高级威胁检测功能。您可以镜像所有流量,也可以根据协议、IP 地址范围或入站流量和出站流量镜像过滤后的流量。
Cloud IDS 可让您全面了解网络流量(包括南北流量和东西流量),使您能够监控虚拟机到虚拟机的通信,以检测横向移动。这提供了一个用于检查子网内流量的检查引擎。
您还可以使用 Cloud IDS 来满足高级威胁检测和合规性要求,包括 PCI 11.4。
Cloud IDS 受 Google Cloud 的数据处理和安全条款约束。
虽然 Cloud IDS 包含可帮助您维护合规性的所有功能,但 Cloud IDS 本身仍在接受审核,尚未经过合规性认证。另请注意,Cloud IDS 会检测威胁并发出提醒,但不会采取措施来阻止攻击或修复受破坏的内容。您可以使用 Google Cloud Armor 等产品来应对 Cloud IDS 检测到的威胁。
Cloud IDS 简介
以下部分详细介绍了 IDS 端点和高级威胁检测。
IDS 端点
Cloud IDS 使用称为 IDS 端点的资源,这是一种可用区级资源,可以检查来自其地区内任何区域的流量。每个 IDS 端点都会接收镜像流量并执行威胁检测分析。
专用服务访问通道是 Virtual Private Cloud 网络与 Google 或第三方拥有的网络之间的专用连接。使用 Cloud IDS 时,专用连接将您的虚拟机连接到由 Google 管理的对等互连虚拟机。对于同一 Virtual Private Cloud 网络中的 IDS 端点,系统会重复使用相同的专用连接,但为每个端点分配新的子网。如果您需要向现有专用连接添加 IP 地址范围,则必须修改连接。
数据包镜像政策
Cloud IDS 使用 Google Cloud 数据包镜像,这会创建网络流量的副本。创建 IDS 端点后,您必须向其附加一项或多项数据包镜像政策。这些政策会将镜像的流量发送到单个 IDS 端点进行检查。数据包镜像逻辑会将各个虚拟机的所有流量发送到 Google 管理的 IDS 虚拟机:例如,从 VM1 和 VM2 镜像的所有流量都将始终发送到 IDS-VM1。
高级威胁检测
Cloud IDS 威胁检测功能由以下 Palo Alto Networks 威胁防范技术提供支持。
应用 ID
Palo Alto Networks 的“应用 ID”(App-ID) 可让您了解在您的网络上运行的应用。无论端口、协议、规避策略还是加密,App-ID 都使用多种识别技术来确定跨网络的应用的身份。App-ID 用于标识应用,为您提供相关知识,以帮助保护应用。
应用 ID 列表每周都会展开,通常会根据客户、合作伙伴和市场趋势而添加 3 到 5 个新应用。开发和测试新的 App-ID 后,它会在每日内容更新时自动添加到列表中。
您可以在 Google Cloud 控制台的威胁详情页面上查看应用信息。
默认签名集
Cloud IDS 提供了一组默认威胁签名,您可以立即使用这些签名来保护您的网络免受威胁。在 Google Cloud Console 中,此签名集称为 Cloud IDS 服务配置文件。您可以通过选择最低提醒严重级别来自定义此集合。签名用于检测漏洞和间谍软件。
- 漏洞检测签名可检测试图利用系统缺陷或未经授权访问系统的行为。虽然反间谍软件签名有助于在流量离开网络时识别受感染的主机,但漏洞检测签名可以防止网络进入威胁。例如,漏洞检测签名有助于防止缓冲区溢出、非法代码执行和其他试图利用系统漏洞的行为。默认的漏洞检测签名可检测客户端和服务器是否收到了所有已知的严重、高和中等严重程度的威胁。
- 反间谍软件签名用于检测遭入侵主机上的间谍软件。此类间谍软件可能会尝试联系外部命令和控制 (C2) 服务器。当 Cloud IDS 检测到来自受感染主机的恶意流量时,会生成一条提醒,该提醒会保存在威胁日志中,并且还会在 Google Cloud Console 中显示。
威胁严重级别
严重级别指示检测到事件的风险,Cloud IDS 会针对匹配的流量生成提醒。您可以在默认签名集中选择最低严重级别。下表总结了威胁严重级别。
| 严重程度 | 说明 |
|---|---|
| 严重 | 严重威胁(例如影响广泛部署的软件的默认安装的行为)会导致服务器出现 root 攻击,并且攻击者普遍可以利用攻击代码。攻击者通常不需要任何特殊的身份验证凭据,也不需要了解各个受害者,也不需要操纵目标以执行任何特殊功能。 |
| 高 | 可能成为关键因素但具有缓解因素的威胁;例如,它们可能难以利用、不会导致权限提升或没有大型受害者池。 |
| 中 | 轻微威胁,影响最小,不损害目标,或需要攻击者与受害者驻留在同一本地网络的漏洞,仅影响非标准配置或隐藏应用,或提供非常有限的访问权限。 |
| 低 | 对组织基础架构影响非常小的警告级威胁。它们通常需要访问本地或物理系统,并且通常可能导致受害者隐私权问题和信息泄露。 |
| 参考信息 | 不会造成直接威胁的可疑事件,但有些事件被报告指出需要注意可能存在的更深层次的问题。 |
内容更新频率
Cloud IDS 会自动更新所有签名,无需任何用户干预,让用户专注于分析和解决威胁,而无需管理或更新签名。内容更新包括应用 ID 和威胁签名,包括漏洞和反间谍软件签名。
Cloud IDS 每天提取来自 Palo Alto Networks 的更新,并将其推送到所有现有 IDS 端点。更新延迟上限预计不超过 48 小时。
日志记录
Cloud IDS 的多项功能会生成提醒,并将其发送至威胁日志。如需详细了解日志记录,请参阅 Cloud IDS 日志记录。
限制
- VPC Service Controls 不支持 Cloud IDS。我们建议仅在边界外的项目中创建 IDS 端点。
后续步骤
- 如需设置 Cloud IDS,请参阅配置 Cloud IDS。