Cloud IDS è un servizio di rilevamento delle intrusioni che offre il rilevamento delle minacce come intrusioni, malware, spyware e attacchi command-and-control sulla tua rete. Cloud IDS funziona creando una rete con peering gestita da Google con istanze di macchine virtuali (VM) sottoposte a mirroring. Il traffico nella rete in peering viene sottoposto a mirroring e poi ispezionato dalle tecnologie di protezione dalle minacce di Palo Alto Networks per fornire un rilevamento avanzato delle minacce. Puoi eseguire il mirroring di tutto il traffico oppure puoi eseguire il mirroring del traffico filtrato in base a protocollo, intervallo di indirizzi IP o ingresso e uscita.
Cloud IDS offre visibilità completa sul traffico di rete, incluso il traffico nord/sud e est/ovest, consentendoti di monitorare le comunicazioni da VM a VM per rilevare il movimento laterale. che fornisce un motore di ispezione che esamina il traffico all'interno della subnet.
Puoi anche utilizzare Cloud IDS per soddisfare i requisiti di conformità e rilevamento avanzato delle minacce, inclusi PCI 11.4 e HIPAA.
Cloud IDS è soggetto all'Addendum per il trattamento dei dati Cloud di Google Cloud.
Cloud IDS rileva le minacce e invia avvisi, ma non interviene per prevenire attacchi o riparare i danni. Per intervenire sulle minacce rilevate da Cloud IDS, puoi utilizzare prodotti come Cloud Next Generation Firewall.
Le sezioni seguenti forniscono dettagli sugli endpoint IDS e sul rilevamento avanzato delle minacce.
Endpoint IDS
Cloud IDS utilizza una risorsa nota come endpoint IDS, una risorsa di zona che può ispezionare il traffico da qualsiasi zona della sua regione. Ogni endpoint IDS riceve il traffico sottoposto a mirroring ed esegue l'analisi di rilevamento delle minacce.
L'accesso privato ai servizi è una connessione privata tra la tua rete Virtual Private Cloud (VPC) e una rete di proprietà di Google o di terze parti. Nel caso di Cloud IDS, la connessione privata collega le tue VM alle VM con peering gestite da Google. Per gli endpoint IDS nella stessa rete VPC, la stessa connessione privata viene riutilizzata, ma viene assegnata una nuova subnet per ogni endpoint. Se devi aggiungere intervalli di indirizzi IP a una connessione privata esistente, devi modificare la connessione.
Puoi utilizzare Cloud IDS per creare un endpoint IDS in ogni regione che vuoi monitorare. Puoi creare più endpoint IDS per ogni regione. Ogni endpoint IDS ha una capacità di ispezione massima di 5 Gbps. Sebbene ogni endpoint IDS possa gestire picchi di traffico anomali fino a 17 Gbps, ti consigliamo di configurare un endpoint IDS per ogni 5 Gbps di throughput che la tua rete registra.
Policy di mirroring dei pacchetti
Cloud IDS utilizza Google Cloud Packet Mirroring, che crea
una copia del traffico di rete. Dopo aver creato un endpoint IDS, devi collegarvi
uno o più criteri di mirroring pacchetto. Questi criteri inviano il traffico sottoposto a mirroring
a un singolo endpoint IDS per l'ispezione. La logica di mirroring dei pacchetti invia tutto
il traffico dalle singole VM alle VM IDS gestite da Google: ad esempio,
tutto il traffico sottoposto a mirroring da VM1 e VM2 viene sempre inviato a IDS-VM1.
Rilevamento avanzato delle minacce
Le funzionalità di rilevamento delle minacce di Cloud IDS si basano sulle seguenti tecnologie di prevenzione delle minacce di Palo Alto Networks.
ID app
L'ID applicazione (App-ID) di Palo Alto Networks offre visibilità sulle applicazioni in esecuzione sulla tua rete. App-ID utilizza più tecniche di identificazione per determinare l'identità delle applicazioni che attraversano la tua rete, indipendentemente da porta, protocollo, tattica evasiva o crittografia. App-ID identifica l'applicazione, fornendoti le informazioni necessarie per proteggerla.
L'elenco degli ID app viene ampliato settimanalmente con l'aggiunta di tre-cinque nuove applicazioni in base ai suggerimenti di clienti, partner e tendenze di mercato. Una volta sviluppato e testato un nuovo ID app, questo viene aggiunto automaticamente all'elenco nell'ambito degli aggiornamenti quotidiani dei contenuti.
Puoi visualizzare le informazioni sull'applicazione nella pagina Minacce IDS della consoleGoogle Cloud .
Firma predefinita impostata
Cloud IDS fornisce un insieme predefinito di firme delle minacce che puoi utilizzare immediatamente per proteggere la tua rete dalle minacce. Nella console Google Cloud , questo insieme di firme è chiamato profilo di servizio Cloud IDS. Puoi personalizzare questo insieme scegliendo il livello minimo di gravità degli avvisi. Le firme vengono utilizzate per rilevare vulnerabilità e spyware.
Le firme di rilevamento delle vulnerabilità rilevano i tentativi di sfruttare i difetti del sistema o di ottenere l'accesso non autorizzato ai sistemi. Mentre le firme anti-spyware aiutano a identificare gli host infetti quando il traffico esce dalla rete, le firme di rilevamento delle vulnerabilità proteggono dalle minacce che entrano nella rete.
Ad esempio, le firme di rilevamento delle vulnerabilità contribuiscono a proteggere da overflow del buffer, esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. Le firme di rilevamento delle vulnerabilità predefinite forniscono il rilevamento per client e server di tutte le minacce note con gravità critica, elevata e media.
Le firme anti-spyware vengono utilizzate per rilevare spyware sugli host compromessi. Questi spyware potrebbero tentare di contattare server di comando e controllo (C2) esterni. Quando Cloud IDS rileva traffico dannoso che esce dalla tua rete da host infetti, genera un avviso che viene salvato nel log delle minacce e mostrato nella console Google Cloud .
Livelli di gravità minaccia
La gravità di una firma indica il rischio dell'evento rilevato e Cloud IDS genera avvisi per il traffico corrispondente. Puoi scegliere il livello di gravità minimo nel set di firme predefinito. La tabella seguente riepiloga i livelli di gravità delle minacce.
| Gravità | Descrizione |
|---|---|
| Critico | Le minacce gravi, come quelle che interessano le installazioni predefinite di software ampiamente distribuiti, comportano la compromissione root dei server e il codice exploit è ampiamente disponibile per gli autori degli attacchi. L'autore dell'attacco in genere non ha bisogno di credenziali di autenticazione speciali o di informazioni sulle singole vittime e non è necessario manipolare il target per fargli eseguire funzioni speciali. |
| Alta | Minacce che hanno la capacità di diventare critiche, ma esistono fattori mitiganti, ad esempio potrebbero essere difficili da sfruttare, non comportano privilegi elevati o non hanno un ampio pool di vittime. |
| Media | Minacce minori in cui l'impatto è ridotto al minimo e che non compromettono il target o exploit che richiedono a un malintenzionato di risiedere sulla stessa rete locale della vittima, interessano solo configurazioni non standard o applicazioni oscure o forniscono un accesso molto limitato. |
| Bassa | Minacce a livello di avviso che hanno un impatto minimo sull'infrastruttura di un'organizzazione. Di solito richiedono l'accesso al sistema locale o fisico e spesso possono causare problemi di privacy e fuga di informazioni per le vittime. |
| Informativo | Eventi sospetti che non rappresentano una minaccia immediata, ma che vengono segnalati per attirare l'attenzione su problemi più profondi che potrebbero esistere. |
Eccezioni alle minacce
Se decidi che Cloud IDS genera avvisi su più minacce del necessario,
puoi disattivare gli ID minaccia rumorosi o altrimenti non necessari utilizzando il flag
--threat-exceptions. Puoi trovare gli ID minaccia delle minacce esistenti rilevate da Cloud IDS nei log delle minacce. Puoi creare un massimo di 99
eccezioni per endpoint IDS.
Frequenza di aggiornamento dei contenuti
Cloud IDS aggiorna automaticamente tutte le firme senza alcun intervento dell'utente, consentendo agli utenti di concentrarsi sull'analisi e sulla risoluzione delle minacce senza gestire o aggiornare le firme. Gli aggiornamenti dei contenuti includono App-ID e firme delle minacce, tra cui firme di vulnerabilità e antispyware.
Gli aggiornamenti di Palo Alto Networks vengono acquisiti quotidianamente da Cloud IDS e inviati a tutti gli endpoint IDS esistenti. La latenza massima di aggiornamento è stimata fino a 48 ore.
Logging
Diverse funzionalità di Cloud IDS generano avvisi, che vengono inviati al log delle minacce. Per saperne di più sulla registrazione, consulta Logging di Cloud IDS.
Limitazioni
- Quando utilizzi le policy di ispezione di livello 7 di Cloud NGFW e le policy degli endpoint Cloud IDS, assicurati che le policy non si applichino allo stesso traffico. Se i criteri si sovrappongono, la priorità viene assegnata al criterio di ispezione del livello 7 e il traffico non viene sottoposto a mirroring.
Passaggi successivi
- Per configurare Cloud IDS, consulta Configurare Cloud IDS.