Cloud IDS 是入侵偵測服務,可針對您網路上的入侵、惡意軟體、間諜軟體、指令與控制攻擊等,提供威脅偵測服務。Cloud IDS 的運作方式是建立 Google 管理的對等互連網路,並使用鏡像虛擬機器 (VM) 執行個體。對等互連網路中的流量會經過鏡像處理,然後由 Palo Alto Networks 威脅防護技術檢查,提供進階威脅偵測功能。您可以建立所有流量的鏡像,也可以根據通訊協定、IP 位址範圍,或輸入和輸出流量,建立經過篩選的流量鏡像。
Cloud IDS 可讓您完整掌握網路流量 (包括南北向和東西向的流量),方便您監控 VM 對 VM 的通訊,藉此偵測水平擴散。這會提供檢查引擎,檢查子網路內流量。
您也可以使用 Cloud IDS 滿足進階威脅偵測和法規遵循要求,包括 PCI 11.4 和 HIPAA。
Cloud IDS 適用於 Google Cloud的《 Cloud 資料處理附加條款》。
Cloud IDS 會偵測威脅並發出快訊,但不會採取行動來防範攻擊或修復損害。如要對 Cloud IDS 偵測到的威脅採取行動,可以使用 Cloud Next Generation Firewall 等產品。
以下各節詳細說明 IDS 端點和進階威脅偵測。
IDS 端點
Cloud IDS 使用稱為「IDS 端點」的資源,這是一種區域資源,可檢查所在區域中任何區域的流量。每個 IDS 端點都會接收鏡像流量,並執行威脅偵測分析。
私人服務存取權是指在您的虛擬私有雲 (VPC) 網路與 Google 或第三方所擁有網路之間建立的私人連線。如果是 Cloud IDS,私人連線會將 VM 連線至 Google 管理的對等互連 VM。對於相同虛擬私有雲網路中的 IDS 端點,系統會重複使用相同的私人連線,但會為每個端點指派新的子網路。如要將 IP 位址範圍新增至現有私人連線,請修改連線。
您可以在要監控的每個區域中,使用 Cloud IDS 建立 IDS 端點。每個區域可以建立多個 IDS 端點。 每個 IDS 端點的檢查容量上限為 5 Gbps。每個 IDS 端點最多可處理 17 Gbps 的異常流量尖峰,但我們建議您為網路的每 5 Gbps 處理量設定一個 IDS 端點。
封包鏡像政策
Cloud IDS 使用 Google Cloud 封包鏡像功能,建立網路流量副本。建立 IDS 端點後,您必須將一或多個封包鏡像政策附加至該端點。這些政策會將鏡像流量傳送至單一 IDS 端點進行檢查。封包鏡像邏輯會將個別 VM 的所有流量傳送至 Google 代管的 IDS VM,例如,從 VM1 和 VM2 鏡像的所有流量一律會傳送至 IDS-VM1。
進階威脅偵測功能
Cloud IDS 威脅偵測功能是由下列 Palo Alto Networks 威脅防護技術提供支援。
應用程式 ID
Palo Alto Networks 的應用程式 ID (App-ID) 可讓您掌握網路中執行的應用程式。App-ID 會使用多種識別技術,判斷通過網路的應用程式身分,無論通訊埠、通訊協定、規避策略或加密方式為何。應用程式 ID 可識別應用程式,提供相關知識,協助您保護應用程式安全。
應用程式 ID 清單每週都會擴充,通常會根據客戶、合作夥伴和市場趨勢的意見,新增三到五個應用程式。開發及測試新的 App-ID 後,系統會自動將其新增至清單,做為每日內容更新的一部分。
您可以在Google Cloud 控制台的「IDS Threats」頁面中查看應用程式資訊。
預設簽名設定
Cloud IDS 提供一組預設的威脅特徵碼,可立即用來保護網路免於威脅。在Google Cloud 控制台中,這組簽章稱為 Cloud IDS 服務設定檔。您可以選擇最低快訊嚴重程度,自訂這組快訊。簽章可用於偵測安全漏洞和間諜軟體。
安全漏洞偵測簽章會偵測嘗試利用系統瑕疵或擅自存取系統的行為。反間諜軟體特徵碼有助於在流量離開網路時識別受感染的主機,而漏洞偵測特徵碼則可防範進入網路的威脅。
舉例來說,漏洞偵測簽章有助於防範緩衝區溢位、非法程式碼執行,以及其他試圖利用系統漏洞的行為。預設的安全漏洞偵測簽章可偵測所有已知重大、高嚴重性和中等嚴重性威脅,並保護用戶端和伺服器。
反間諜軟體簽章可用於偵測遭入侵主機上的間諜軟體。這類間諜軟體可能會嘗試連線至外部命令與控制 (C2) 伺服器。當 Cloud IDS 偵測到惡意流量從受感染的主機離開網路時,就會產生警示,並儲存在威脅記錄中,然後顯示在 Google Cloud 控制台中。
威脅嚴重性等級
簽章的嚴重程度代表偵測到的事件風險,而 Cloud IDS 會針對相符的流量產生快訊。您可以在預設簽章集中選擇最低嚴重程度。下表摘要說明威脅嚴重程度。
| 嚴重性 | 說明 |
|---|---|
| 重大 | 如果嚴重威脅影響廣泛部署軟體的預設安裝作業,導致伺服器遭到 Root 權限入侵,且攻擊者可輕易取得攻擊程式碼,攻擊者通常不需要任何特殊驗證憑證或個別受害者的相關知識,也不需要操縱目標執行任何特殊功能。 |
| 高 | 可能成為重大威脅,但有減輕影響的因素,例如難以利用、不會導致權限提升,或受害者人數不多。 |
| 中 | 影響程度極小,不會危害目標,或攻擊者必須與受害者位於相同本機網路,或只會影響非標準設定或不明應用程式,或只能提供非常有限的存取權。 |
| 低 | 對機構基礎架構影響極小的警告層級威脅。這類攻擊通常需要存取本機或實體系統,且可能導致受害者隱私權問題和資訊外洩。 |
| 參考用 | 不會立即造成威脅,但會回報以提醒可能存在的深層問題。 |
威脅例外狀況
如果您認為 Cloud IDS 產生過多不必要的威脅警報,可以使用 --threat-exceptions 旗標停用過於頻繁或不必要的威脅 ID。您可以在威脅記錄中,找到 Cloud IDS 偵測到的現有威脅 ID。每個 IDS 端點最多只能有 99 個例外狀況。
內容更新頻率
Cloud IDS 會自動更新所有簽章,不需要使用者介入,讓使用者專注於分析及解決威脅,不必管理或更新簽章。內容更新包括應用程式 ID 和威脅簽章,包括安全漏洞和反間諜軟體簽章。
Cloud IDS 每天都會接收 Palo Alto Networks 的更新,並推送至所有現有的 IDS 端點。預估更新延遲時間最長為 48 小時。
記錄
Cloud IDS 的多項功能都會產生快訊,並傳送至威脅記錄。如要進一步瞭解記錄功能,請參閱「Cloud IDS 記錄」。
限制
- 使用 Cloud NGFW 第 7 層檢查政策和 Cloud IDS 端點政策時,請確保政策不會套用至相同流量。如果政策重疊,系統會優先採用第 7 層檢查政策,且不會鏡像處理流量。
後續步驟
- 如要設定 Cloud IDS,請參閱「設定 Cloud IDS」。