Cloud IDS הוא שירות לגילוי חדירות שבאמצעותו אתם יכולים לזהות ברשת איומים כמו פריצות, תוכנות זדוניות, רוגלות ומתקפות להשגת שליטה.השיטה שבה Cloud IDS מזהה איומים פשוטה: הוא יוצר רשת של Google שמקושרת לרשת שלכם ומשכפל את המכונות הווירטואליות. כלומר, תעבורת הנתונים ברשת המקושרת משוכפלת ונבדקת על ידי טכנולוגיות האבטחה של Palo Alto Network. אתם יכולים לשכפל את כל תעבורת הנתונים או לסנן אותה לפי פרוטוקול, טווח כתובות IP או כיוון (נכנסת או יוצאת).
באמצעות Cloud IDS אתם יכולים לנטר את התעבורה ברשת מכל הכיוונים ולזהות תנועה רוחבית בין המכונות הווירטואליות שלכם: הוא בעצם יוצר מנוע שבודק את התעבורה בתוך רשתות המשנה.
אתם יכולים להשתמש ב-Cloud IDS גם כדי לעמוד בתקנים מתקדמים לזיהוי איומים, כמו PCI 11.4 ו-HIPAA.
השימוש ב-Cloud IDS כפוף ל Google Cloudנספח לעיבוד נתונים ב-Cloud.
חשוב לזכור ש-Cloud IDS רק מזהה איומים ומתריע עליהם, אבל לא מטפל בהם, מונע מתקפות או מתקן נזקים. כדי לטפל באיומים ש-Cloud IDS מזהה, אתם יכולים להשתמש במוצרים כמו Cloud Next Generation Firewall.
בחלקים הבאים מוסבר על נקודות הקצה של IDS ועל הקונספט של זיהוי איומים מתקדם.
נקודות הקצה של IDS
Cloud IDS משתמש במשאב שנקרא נקודת קצה של IDS, משאב של תחום מוגדר שיכול לבדוק תעבורת נתונים מכל אזור בתחום הזה. תעבורת הנתונים משוכפלת לכל נקודת קצה של IDS ומנותחת לזיהוי איומים.
גישה לשירותי פרטיים היא חיבור פרטי בין הרשת של הענן הווירטואלי הפרטי (VPC) שלכם לבין הרשת של Google או של צד שלישי. במקרה של Cloud IDS, החיבור הפרטי הזה הוא בין המכונות הווירטואליות שלכם למכונות וירטואליות שכנות ש-Google מנהלת. אותו חיבור פרטי משמש לכל נקודות הקצה ברשת ה-VPC, אבל לכל נקודת קצה מוקצית רשת משנה חדשה. אם אתם צריכים להוסיף טווחי כתובות IP לחיבור הפרטי, אתם צריכים לשנות את החיבור.
אתם יכולים להשתמש ב-Cloud IDS כדי ליצור נקודות קצה של IDS בכל אזור שאתם רוצים לעקוב בו אחרי התעבורה. אתם יכולים גם ליצור כמה נקודות קצה של IDS לכל אזור. קיבולת הבדיקה של כל נקודת קצה של IDS מוגבלת ל-5Gbps. כל נקודת קצה של IDS יכולה לטפל בעליות חריגות בתעבורת הנתונים של עד 17Gbps, אבל אנחנו ממליצים להגדיר נקודת קצה לכל 5Gbps של תפוקה ברשת.
מדיניות הרפליקציה של חבילות נתונים
Cloud IDS משתמש בשיטה שנקראת רפליקציה של חבילות הנתונים ב- Google Cloud , שבה תעבורת הנתונים ברשת שלכם משוכפלת. אחרי שאתם יוצרים נקודת קצה של IDS, אתם צריכים לצרף אליה לפחות מדיניות אחת לרפליקציה של חבילות הנתונים. המדיניות הזו שולחת את תעבורת הנתונים המשוכפלת לבדיקה בנקודת קצה אחת של IDS. לוגיקת הרפליקציה קובעת לאילו מכונות וירטואליות של Google תישלח כל התעבורה מהמכונות: לדוגמה, כל התעבורה שמשוכפלת מ-VM1 ומ-VM2 תמיד תישלח ל-IDS-VM1.
זיהוי איומים מתקדם
יכולות זיהוי האיומים של Cloud IDS מבוססות על טכנולוגיות האבטחה של Palo Alto Networks.
App-ID
Application ID (App-ID) של Palo Alto Networks משתמש בשיטות שונות כדי לזהות את האפליקציות שעוברות ברשת שלכם, ללא קשר ליציאה, לפרוטוקול, לשיטת ההתחמקות או להצפנה, ונותן לכם פרטים כדי שתוכלו לשפר את האבטחה.
רשימת האפליקציות ב-App-ID מתעדכנת כל שבוע, כשבדרך כלל 3 עד 5 אפליקציות חדשות נוספות אליה בהתאם למשוב מהלקוחות ומהשותפים ועל סמך המגמות בשוק. אחרי שאתם מפתחים ובודקים App-ID חדש, הוא נוסף אוטומטית לרשימה כחלק מהעדכון היומי.
אתם יכולים לראות את פרטי האפליקציה בדף IDS Threats במסוףGoogle Cloud .
הגדרת חתימה כברירת מחדל
Cloud IDS כולל קבוצה של חתימות איומים שמוגדרות כברירת מחדל, ושאתם יכולים להשתמש בהן מיידית כדי להגן על הרשת שלכם. במסוףGoogle Cloud , קבוצת החתימות הזו נקראת פרופיל השירות של Cloud IDS. כדי להתאים אותה אישית, אתם יכולים לבחור את רף ההתראה המינימלי. החתימות משמשות לגילוי נקודות חולשה ורוגלות.
החתימות לגילוי נקודות חולשה מזהות ניסיונות לנצל פגמים במערכת או להשיג גישה לא מורשית למערכות. לעומת החתימות לגילוי רוגלות, שעוזרות לזהות איומים שכבר נמצאים ברשת דרך תעבורת הנתונים היוצאת, החתימות לגילוי נקודות חולשה מגינות מאיומים שמנסים לחדור לרשת.
לדוגמה, החתימות האלה עוזרות להגן מעומסי יתר במאגר הנתונים הזמני, הרצות לא חוקיות של קוד וניסיונות אחרים לנצל נקודות חולשה במערכת. חתימות ברירת המחדל מאפשרות ללקוחות ולשרתים לזהות איומים בכל רמות החומרה הידועות: קריטיות, גבוהות ובינוניות.
החתימות לגילוי רוגלות משמשות לזיהוי רוגלות שכבר נמצאות ברשת ועלולות לנסות, למשל, לפנות לשרתי C2 (שליטה ובקרה). כש-Cloud IDS מזהה תעבורת נתונים זדונית שיוצאת מהרשת שלכם בגלל רוגלה כזו, הוא יוצר התראה שנשמרת ביומן האיומים ומופיעה במסוף Google Cloud .
רמות החומרה של איומים
רמת החומרה של החתימה מציינת את מידת הסיכון באירוע שזוהה. Cloud IDS יוצר התראות לגבי תעבורת הנתונים המתאימה. אתם יכולים לבחור את רמת החומרה המינימלית של חתימות ברירת המחדל. בטבלה הבאה מוסבר על רמות החומרה השונות של האיומים.
| רמת החומרה | תיאור |
|---|---|
| קריטית | איומים חמורים, למשל כאלה שמשפיעים על התקנות ברירת מחדל של תוכנות שנפרסות בצורה רחבה, מובילים לפריצה של שרתי root או עלולים לאפשר לתוקפים לנצל את הקוד. בדרך כלל התוקף לא צריך פרטי כניסה מיוחדים או ידע על הקורבנות הספציפיים, והקורבן לא צריך לבצע פעולות מיוחדות. |
| גבוהה | איומים שיש להם פוטנציאל להפוך לקריטיים, אבל בגלל גורמים ממתנים הסיכון קטן יותר. לדוגמה, יכול להיות שקשה לנצל אותם, שהם לא גורמים להרחבת ההרשאות או שהם לא משפיעים על מספר גדול של קורבנות. |
| בינונית | איומים קלים שבהם ההשפעה ממוזערת ולא מסכנת את היעד, או ניצול שדורש מהתוקף להיות באותה רשת מקומית כמו הקורבן, משפיעים רק על הגדרות לא סטנדרטיות או על אפליקציות לא ברורות, או מספקים גישה מוגבלת מאוד. |
| נמוכה | איומים שיש להם מעט מאוד השפעה על התשתית של הארגון, אבל עדיין כדאי להזהיר מפניהם. בדרך כלל הם דורשים גישה מקומית או פיזית למערכת, והרבה פעמים הם עלולים לפגוע בפרטיות של הקורבן ולגרום לדליפת מידע. |
| לידיעה | אירועים חשודים שאין בהם איום מיידי, אבל עדיין מדוּוחים כדי להפנות את תשומת הלב לבעיות עמוקות יותר שאולי קיימות. |
החרגת איומים
אם לדעתכם Cloud IDS מייצר יותר מדי התראות ממה שצריך, אתם יכולים להשתמש בדגל --threat-exceptions כדי להחריג איומים ולמזער את רעשי הרקע או האיומים שלא צריך לדווח עליהם. מזהי איומים שזוהו ב-Cloud IDS מפורטים ביומני האיומים. אתם יכולים להגדיר עד 99 חריגות לכל נקודת קצה של IDS.
תדירות העדכון של התוכן
כל החתימות מתעדכנות אוטומטית ב-Cloud IDS, ואתם לא צריכים לבצע שום פעולה. ככה אתם יכולים להתמקד בניתוח ובטיפול באיומים, בלי לבזבז זמן על ניהול או עדכון של החתימות. עדכוני התוכן כוללים את ה-App-ID והחתימות שלה לאיומים, כולל חתימות של נקודות חולשה ורוגלות.
העדכונים מתקבלים ב-Cloud IDS מ-Palo Alto Networks כל יום ונשלחים לכל נקודות הקצה הקיימות של IDS. זמן ההמתנה המקסימלי לקבלת העדכונים הוא עד 48 שעות.
רישום ביומן
חלק מהתכונות של Cloud IDS יוצרות התראות שנשלחות ליומן האיומים. למידע נוסף על רישום ביומנים של Cloud IDS
מגבלות
- אם אתם משתמשים במדיניות הבדיקה Cloud NGFW Layer 7 ובמדיניות אחרת לנקודות הקצה של Cloud IDS, ודאו שהכללים של מדיניות הבדיקה לא חלים על אותה תעבורת נתונים. אחרת, המדיניות של Layer 7 תגרום לכך שתעבורת הנתונים לא תשוכפל.