Cloud IDS è un servizio di rilevamento delle intrusioni che offre il rilevamento delle minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Per funzionare, Cloud IDS crea una rete in peering gestita da Google con istanze di macchine virtuali (VM) sottoposte a mirroring. Il traffico nella rete in peering viene sottoposto a mirroring e poi ispezionato dalle tecnologie di protezione dalle minacce di Palo Alto Networks per fornire un rilevamento avanzato delle minacce. Puoi eseguire il mirroring di tutto il traffico oppure del traffico filtrato in base a protocollo, intervallo di indirizzi IP o tipologia (in ingresso e in uscita).
Cloud IDS offre visibilità completa sul traffico di rete, incluso il traffico nord/sud ed est/ovest, consentendoti di monitorare le comunicazioni da VM a VM per rilevare il movimento laterale. Fornisce, perciò, un motore di ispezione che esamina il traffico all'interno della subnet.
Puoi anche utilizzare Cloud IDS per soddisfare i requisiti di conformità e rilevamento avanzato delle minacce, inclusi PCI 11.4 e HIPAA.
Cloud IDS è soggetto all'Addendum per il trattamento dei dati Cloud Google Cloud.
Cloud IDS rileva le minacce e invia avvisi, ma non interviene per prevenire attacchi o riparare i danni. Per agire sulle minacce rilevate da Cloud IDS, puoi utilizzare prodotti come Cloud Next Generation Firewall.
Le sezioni seguenti forniscono dettagli sugli endpoint IDS e sul rilevamento avanzato delle minacce.
Endpoint IDS
Cloud IDS utilizza una risorsa di zona nota come endpoint IDS, che può ispezionare il traffico da qualsiasi zona della sua regione. Ogni endpoint IDS riceve il traffico sottoposto a mirroring ed esegue l'analisi per il rilevamento delle minacce.
L'accesso privato ai servizi è una connessione privata tra la tua rete virtual private cloud (VPC) e una rete di proprietà di Google o di terze parti. Nel caso di Cloud IDS, la connessione privata collega le tue VM a quelle in peering gestite da Google. Per gli endpoint IDS nella stessa rete VPC, viene riutilizzata la stessa connessione privata, ma viene assegnata una nuova subnet per ogni endpoint. Se devi aggiungere intervalli di indirizzi IP a una connessione privata esistente, devi modificare la connessione.
Puoi utilizzare Cloud IDS in modo da creare un endpoint IDS in ogni regione che vuoi monitorare. Puoi creare più endpoint IDS per ogni regione. Ogni endpoint IDS ha una capacità di ispezione massima di 5 Gbps. Sebbene ogni endpoint IDS possa gestire picchi di traffico anomali fino a 17 Gbps, ti consigliamo di configurare un endpoint IDS per ogni 5 Gbps di throughput registrati nella tua rete.
Policy di Mirroring pacchetto
Cloud IDS utilizza Google Cloud Mirroring pacchetto, che crea
una copia del traffico di rete. Dopo aver creato un endpoint IDS, devi collegarvi
una o più policy di Mirroring pacchetto. Queste policy inviano il traffico sottoposto a mirroring a un singolo endpoint IDS per l'ispezione. La logica di Mirroring pacchetto invia tutto
il traffico dalle singole VM alle VM IDS gestite da Google. Ad esempio,
tutto il traffico sottoposto a mirroring da VM1 e VM2 viene sempre inviato a IDS-VM1.
Rilevamento avanzato delle minacce
Le funzionalità di rilevamento delle minacce di Cloud IDS si basano sulle seguenti tecnologie di prevenzione delle minacce di Palo Alto Networks.
App-ID
L'ID applicazione (App-ID) di Palo Alto Networks offre visibilità sulle applicazioni in esecuzione sulla tua rete. L'App-ID utilizza più tecniche di identificazione per determinare l'identità delle applicazioni che attraversano la tua rete, indipendentemente da porta, protocollo, tattica evasiva o crittografia. L'App-ID identifica l'applicazione, fornendoti le informazioni necessarie per proteggerla.
L'elenco degli App-ID viene ampliato ogni settimana. In genere vengono aggiunte da tre a cinque nuove applicazioni in base ai suggerimenti di clienti e partner e alle tendenze di mercato. Una volta sviluppato e testato un nuovo App-ID, questo viene aggiunto automaticamente all'elenco nell'ambito degli aggiornamenti quotidiani dei contenuti.
Puoi visualizzare le informazioni sull'applicazione nella pagina Minacce IDS della consoleGoogle Cloud .
Set di firme predefinito
Cloud IDS fornisce un set predefinito di firme delle minacce che puoi utilizzare immediatamente per proteggere la tua rete dalle minacce. Nella consoleGoogle Cloud , questo set di firme è chiamato profilo di servizio Cloud IDS. Puoi personalizzare questo set scegliendo il livello minimo di gravità degli avvisi. Le firme vengono utilizzate per rilevare vulnerabilità e spyware.
Le firme di rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti del sistema o di ottenere l'accesso non autorizzato ai sistemi. Mentre le firme anti-spyware aiutano a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento delle vulnerabilità proteggono dalle minacce che entrano nella rete.
Ad esempio, le firme di rilevamento delle vulnerabilità contribuiscono a proteggere da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme di rilevamento delle vulnerabilità predefinite consentono a client e server di rilevare tutte le minacce note con gravità critica, elevata e media.
Le firme anti-spyware vengono utilizzate per rilevare spyware sugli host compromessi. Questi spyware potrebbero tentare di contattare server di comando e controllo (C2) esterni. Quando Cloud IDS rileva traffico dannoso che esce dalla tua rete da host infetti, genera un avviso che viene salvato nel log delle minacce e mostrato nella console Google Cloud .
Livelli di gravità delle minacce
La gravità di una firma indica il rischio dell'evento rilevato e Cloud IDS genera avvisi per il traffico corrispondente. Puoi scegliere il livello di gravità minimo nel set di firme predefinito. La tabella seguente riepiloga i livelli di gravità delle minacce.
| Gravità | Descrizione |
|---|---|
| Critico | Le minacce gravi, ad esempio quelle che interessano le installazioni predefinite di software ampiamente distribuiti, comportano la compromissione root dei server e riguardano i casi in cui il codice di exploit è ampiamente disponibile per i malintenzionati. L'utente malintenzionato in genere non ha bisogno di credenziali di autenticazione speciali o di informazioni sulle singole vittime né deve manipolare il target per fargli eseguire funzioni speciali. |
| Alto | Riguarda le minacce che possono diventare critiche, ma che non lo sono ancora per via di fattori mitiganti, ad esempio potrebbero essere difficili da sfruttare, non causano l'assegnazione di privilegi elevati o non hanno come target un vasto gruppo di vittime. |
| Medio | Minacce di minore entità il cui l'impatto è ridotto al minimo e che non compromettono il target. Sono exploit che prevedono che un malintenzionato si trovi nella stessa rete locale della vittima, interessano solo configurazioni non standard o applicazioni oscure oppure forniscono un accesso molto limitato. |
| Basso | Minacce a livello di avviso che hanno un impatto minimo sull'infrastruttura di un'organizzazione. Di solito richiedono l'accesso al sistema locale o fisico e spesso possono causare problemi di privacy e fuga di informazioni per le vittime. |
| Livello informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per attirare l'attenzione su problemi più profondi che potrebbero esistere. |
Eccezioni alle minacce
Se ritieni che Cloud IDS generi avvisi relativi a più minacce del necessario,
puoi disattivare gli ID minaccia irrilevanti o altrimenti non necessari utilizzando il flag --threat-exceptions. Puoi trovare gli ID delle minacce esistenti rilevate da Cloud IDS nei log delle minacce. Puoi creare un massimo di 99 eccezioni per endpoint IDS.
Frequenza di aggiornamento dei contenuti
Cloud IDS aggiorna automaticamente tutte le firme senza alcun intervento da parte degli utenti, che perciò possono concentrarsi sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme. Gli aggiornamenti dei contenuti includono App-ID e firme delle minacce, tra cui firme di vulnerabilità e anti-spyware.
Gli aggiornamenti di Palo Alto Networks vengono acquisiti quotidianamente da Cloud IDS e inviati a tutti gli endpoint IDS esistenti. La latenza massima di aggiornamento stimata è di 48 ore.
Logging
Diverse funzionalità di Cloud IDS generano avvisi, che vengono inviati al log delle minacce. Per saperne di più sul logging, consulta Logging di Cloud IDS.
Limitazioni
- Quando utilizzi le policy di ispezione di livello 7 di Cloud NGFW e le policy degli endpoint Cloud IDS, assicurati che le policy non si applichino allo stesso traffico. Se le policy si sovrappongono, la priorità viene assegnata alla policy di ispezione di livello 7 e il traffico non viene sottoposto a mirroring.
Passaggi successivi
- Per configurare Cloud IDS, consulta Configura Cloud IDS.