Cloud IDS 是入侵偵測服務,能偵測網路上的入侵活動、惡意軟體、間諜軟體、命令與控制攻擊等威脅。Cloud IDS 的運作方式是建立 Google 代管的對接網路,並將虛擬機器 (VM) 執行個體鏡像至該網路。系統會鏡像對接網路中的流量,然後透過 Palo Alto Networks 威脅防護技術進行檢查,提供進階威脅偵測。您可以鏡像所有流量,也可以根據通訊協定、IP 位址範圍,或輸入和輸出流量篩選鏡像目標。
無論是東西還是南北向的流量,您都可以透過 Cloud IDS 完整掌握,還能監控 VM 之間的通訊,偵測橫向移動,就像擁有一個檢查引擎,可檢查子網路內流量。
您也可以運用 Cloud IDS 因應進階威脅偵測和法規遵循需求,包括 PCI 11.4 和 HIPAA。
Cloud IDS 須遵守 Google Cloud的《Cloud 資料處理附加條款》。
Cloud IDS 會偵測威脅並發出警告,但不會採取行動來防範攻擊或修復損害。如要對 Cloud IDS 偵測到的威脅採取行動,可以使用 Cloud Next Generation Firewall 等產品。
以下各節詳細說明 IDS 端點和進階威脅偵測。
IDS 端點
Cloud IDS 運用了名為「IDS 端點」的可用區資源,能檢查所在區域中任何可用區的流量。每個 IDS 端點都會接收鏡像流量,並執行威脅偵測分析。
私人服務連線可讓虛擬私有雲 (VPC) 網路與 Google/第三方擁有的網路建立私人連線。如採用 Cloud IDS,私人連線會將 VM 連線至 Google 代管的對接 VM。對於相同虛擬私有雲網路中的 IDS 端點,系統會重複使用相同的私人連線,但會為每個端點指派新的子網路。如要將 IP 位址範圍新增至現有私人連線,請修改連線。
您可以使用 Cloud IDS,在要監控的區域建立 IDS 端點,而且一個區域可建立多個端點。每個 IDS 端點的檢查容量上限為 5 Gbps。遇到異常的流量高峰時,每個端點的處理量最高可達 17 Gbps,但我們建議您根據實際的網路處理量,每 5 Gbps 就設定一個 IDS 端點。
封包鏡像政策
Cloud IDS 使用 Google Cloud Packet Mirroring 功能,建立網路流量副本。建立 IDS 端點後,必須將一或多個封包鏡像政策附加至該端點。這些政策會將鏡像流量傳送至單一 IDS 端點進行檢查。封包鏡像邏輯會將個別 VM 的所有流量傳送至 Google 代管的 IDS VM,例如,鏡像來源為 VM1 和 VM2 的所有流量一律會傳送至 IDS-VM1。
進階威脅偵測
Cloud IDS 威脅偵測功能由下列 Palo Alto Networks 威脅防護技術提供支援。
App-ID
Palo Alto Networks 的應用程式 ID (App-ID) 可讓您掌握網路中執行的應用程式。無論通訊埠、通訊協定、規避策略或加密方式為何,App-ID 都能透過多種識別技術,判斷透過網路傳輸的應用程式身分。App-ID 可識別應用程式,提供相關資訊,協助您保護程式。
App-ID 清單每週都會擴充,通常會根據客戶和合作夥伴的意見、市場趨勢,新增三到五個應用程式。新的 App-ID 在開發及測試後,就會在系統每日更新內容時,自動加入清單內。
您可以在Google Cloud 控制台的「IDS Threats」(IDS 威脅) 頁面查看應用程式資訊。
預設特徵集
Cloud IDS 提供一組預設的威脅特徵,可立即用來保護網路,防範威脅。在Google Cloud 控制台,這個特徵集稱為 Cloud IDS 服務設定檔。您可以選擇最低警告嚴重性等級來自訂這組特徵。特徵可用於偵測安全漏洞和間諜軟體。
安全漏洞偵測特徵會偵測嘗試利用系統漏洞發動攻擊,或未經授權存取系統的行為。反間諜軟體特徵的作用則是在流量離開網路時,找出受感染的主機,而安全漏洞偵測特徵則可防範進入網路的威脅。
舉例來說,安全漏洞偵測特徵有助於防範緩衝區溢位、非法執行程式碼,以及其他試圖利用系統安全漏洞發動攻擊的行為。預設安全漏洞偵測特徵能為用戶端和伺服器,偵測所有已知的重大、高嚴重性和中等嚴重性威脅。
反間諜軟體特徵主要用於偵測入侵主機的間諜軟體。這類間諜軟體可能會嘗試連線至外部命令與控制 (C2) 伺服器。Cloud IDS 偵測到惡意流量從受感染的主機離開網路時,就會產生警告。該警告會儲存在威脅記錄中,也會在 Google Cloud 控制台中顯示。
威脅嚴重性等級
特徵的嚴重程度代表偵測到的事件風險,而 Cloud IDS 會針對相符的流量產生警告。您可以在預設特徵集選擇最低嚴重性等級。下表提供各個威脅嚴重性等級的簡要說明。
| 嚴重性 | 說明 |
|---|---|
| 重大 | 嚴重威脅,例如影響廣泛部署軟體的預設安裝,攻擊者入侵系統並取得 root 權限,以及漏洞攻擊程式碼四處散布,攻擊者可輕易取得並利用。攻擊者通常不需要任何特殊驗證憑證,或對個別受害者有所瞭解,也不需要引導目標執行任何特殊功能。 |
| 高 | 可能成為重大威脅,但有緩解因素,例如利用難度高、無法讓攻擊者取得進階權限,或受害者人數有限。 |
| 中 | 影響程度不大,不會危害目標,或攻擊者必須與受害者位於相同的本機網路、只會影響非標準設定/不常見的應用程式,或能提供的存取權極其有限。 |
| 低 | 對組織基礎架構影響極小的警告級威脅。這類攻擊通常需要本機或實體系統存取權,通常可能會引發受害者隱私權問題或資訊外洩。 |
| 參考用 | 不會構成立即威脅的可疑事件,但仍會加以回報,提醒可能存在更深層的問題。 |
威脅例外狀況
如果認為 Cloud IDS 產生過多不必要的威脅警告,可以使用 --threat-exceptions 旗標,即可停用誤判率高或其他非必要的威脅 ID。您可以在威脅記錄中,找到 Cloud IDS 偵測到的現有威脅 ID。每個 IDS 端點最多只能有 99 個例外狀況。
內容更新頻率
Cloud IDS 會自動更新所有特徵,無需人力介入,使用者可以專心分析及解決威脅,不必管理或更新特徵。內容更新涵蓋 App-ID 和威脅特徵,包括安全漏洞和反間諜軟體特徵。
Cloud IDS 每天都會接收來自 Palo Alto Networks 的更新內容,並推送至所有現有的 IDS 端點。更新延遲時間最長約為 48 小時。
記錄
Cloud IDS 的多項功能都會產生警告,系統會將這些警告傳送至威脅記錄。如要進一步瞭解記錄功能,請參閱 Cloud IDS 記錄的相關說明。
限制
- 使用 Cloud NGFW 第 7 層檢查政策和 Cloud IDS 端點政策時,請確保這些政策不會套用至相同流量。如果政策重疊,系統會優先採用第 7 層檢查政策,且不會鏡像流量。
後續步驟
- 如要設定 Cloud IDS,請參閱「設定 Cloud IDS」。