O Cloud IDS é um serviço de deteção de intrusões que oferece deteção de ameaças para intrusões, software malicioso, spyware e ataques de comando e controlo na sua rede. O Cloud IDS funciona através da criação de uma rede com peering gerida pela Google com instâncias de máquinas virtuais (VMs) espelhadas. O tráfego na rede com peering é espelhado e, em seguida, inspecionado pelas tecnologias de proteção contra ameaças da Palo Alto Networks para fornecer deteção avançada de ameaças. Pode espelhar todo o tráfego ou espelhar o tráfego filtrado com base no protocolo, no intervalo de endereços IP ou na entrada e saída.
O Cloud IDS oferece visibilidade total do tráfego de rede, incluindo o tráfego norte-sul e leste-oeste, o que lhe permite monitorizar a comunicação de VM para VM para detetar o movimento lateral. Isto fornece um motor de inspeção que inspeciona o tráfego na sub-rede.
Também pode usar o Cloud IDS para cumprir os seus requisitos avançados de deteção de ameaças e conformidade, incluindo PCI 11.4 e HIPAA.
O Cloud IDS está sujeito à Google Cloud Adenda ao Tratamento de Dados do Cloud.
O SDI na nuvem deteta e envia alertas sobre ameaças, mas não toma medidas para impedir ataques nem reparar danos. Para tomar medidas relativamente às ameaças que o Cloud IDS deteta, pode usar produtos como o Cloud Next Generation Firewall.
As secções seguintes fornecem detalhes sobre os pontos finais do IDS e a deteção de ameaças avançada.
Pontos finais de IDS
O Cloud IDS usa um recurso conhecido como um ponto final do IDS, um recurso zonal que pode inspecionar o tráfego de qualquer zona na respetiva região. Cada ponto final do IDS recebe tráfego espelhado e realiza uma análise de deteção de ameaças.
O acesso privado aos serviços é uma ligação privada entre a sua rede da nuvem virtual privada (VPC) e uma rede pertencente à Google ou a terceiros. No caso do Cloud IDS, a ligação privada liga as suas VMs às VMs em peering geridas pela Google. Para pontos finais do IDS na mesma rede VPC, a mesma ligação privada é reutilizada, mas é atribuída uma nova sub-rede a cada ponto final. Se precisar de adicionar intervalos de endereços IP a uma ligação privada existente, tem de modificar a ligação.
Pode usar o Cloud IDS para criar um ponto final de IDS em cada região que quer monitorizar. Pode criar vários pontos finais do IDS para cada região. Cada ponto final do IDS tem uma capacidade de inspeção máxima de 5 Gbps. Embora cada ponto final do IDS possa processar picos de tráfego anómalos de até 17 Gbps, recomendamos que configure um ponto final do IDS para cada 5 Gbps de débito que a sua rede regista.
Políticas de espelhamento de pacotes
O Cloud IDS usa a Google Cloud duplicação de pacotes, que cria uma cópia do tráfego de rede. Depois de criar um ponto final de IDS, tem de anexar-lhe uma ou mais políticas de espelhamento de pacotes. Estas políticas enviam tráfego espelhado para um único ponto final do IDS para inspeção. A lógica de replicação de pacotes envia todo o tráfego de VMs individuais para VMs de IDS geridas pela Google: por exemplo, todo o tráfego replicado de VM1 e VM2 é sempre enviado para IDS-VM1.
Deteção avançada de ameaças
As capacidades de deteção de ameaças do Cloud IDS são baseadas nas seguintes tecnologias de prevenção de ameaças da Palo Alto Networks.
ID da app
O ID da aplicação (App-ID) da Palo Alto Networks oferece visibilidade sobre as aplicações em execução na sua rede. O App-ID usa várias técnicas de identificação para determinar a identidade das aplicações que atravessam a sua rede, independentemente da porta, do protocolo, da tática evasiva ou da encriptação. O App-ID identifica a aplicação, fornecendo-lhe conhecimentos para ajudar a proteger a sua aplicação.
A lista de IDs de apps é expandida semanalmente, com a adição de três a cinco novas aplicações, normalmente, com base no feedback de clientes, parceiros e tendências de mercado. Depois de um novo App-ID ser desenvolvido e testado, é adicionado automaticamente à lista como parte das atualizações diárias de conteúdo.
Pode ver as informações da aplicação na página Ameaças de IDS na Google Cloud consola.
Assinatura predefinida
O Cloud IDS fornece um conjunto predefinido de assinaturas de ameaças que pode usar imediatamente para proteger a sua rede contra ameaças. NaGoogle Cloud consola, este conjunto de assinaturas é denominado perfil de serviço do Cloud IDS. Pode personalizar este conjunto escolhendo o nível de gravidade mínimo do alerta. As assinaturas são usadas para detetar vulnerabilidades e spyware.
As assinaturas de deteção de vulnerabilidades detetam tentativas de explorar falhas do sistema ou obter acesso não autorizado a sistemas. Embora as assinaturas anti-spyware ajudem a identificar anfitriões infetados quando o tráfego sai da rede, as assinaturas de deteção de vulnerabilidades protegem contra ameaças que entram na rede.
Por exemplo, as assinaturas de deteção de vulnerabilidades ajudam a proteger contra transbordamentos de buffer, execução de código ilegal e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas de deteção de vulnerabilidades predefinidas oferecem deteção para clientes e servidores de todas as ameaças críticas, elevadas e de gravidade média conhecidas.
As assinaturas anti-spyware são usadas para detetar spyware em anfitriões comprometidos. Este tipo de spyware pode tentar contactar servidores de comando e controlo (C2) externos. Quando o Cloud IDS deteta tráfego malicioso a sair da sua rede a partir de anfitriões infetados, gera um alerta que é guardado no registo de ameaças e apresentado na consola. Google Cloud
Níveis de gravidade das ameaças
A gravidade de uma assinatura indica o risco do evento detetado e o Cloud IDS gera alertas para tráfego correspondente. Pode escolher o nível de gravidade mínimo no conjunto de assinaturas predefinido. A tabela seguinte resume os níveis de gravidade das ameaças.
| Gravidade | Descrição |
|---|---|
| Crítico | Ameaças graves, como as que afetam as instalações predefinidas de software amplamente implementado, resultam na violação da raiz dos servidores e em que o código de exploração está amplamente disponível para os atacantes. Normalmente, o atacante não precisa de credenciais de autenticação especiais nem de conhecimentos sobre as vítimas individuais, e o alvo não precisa de ser manipulado para realizar funções especiais. |
| Alto | Ameaças que podem tornar-se críticas, mas existem fatores atenuantes. Por exemplo, podem ser difíceis de explorar, não resultam em privilégios elevados ou não têm um grande número de vítimas. |
| Médio | Ameaças menores em que o impacto é minimizado e que não comprometem o alvo, ou explorações que exigem que um atacante resida na mesma rede local que a vítima, afetam apenas configurações não padrão ou aplicações obscuras, ou fornecem acesso muito limitado. |
| Baixo | Ameaças ao nível de aviso que têm um impacto muito reduzido na infraestrutura de uma organização. Normalmente, requerem acesso local ou físico ao sistema e podem resultar em problemas de privacidade da vítima e fuga de informações. |
| Informativas | Eventos suspeitos que não representam uma ameaça imediata, mas que são comunicados para chamar a atenção para problemas mais profundos que possam existir. |
Exceções de ameaças
Se decidir que o IDS na nuvem gera alertas sobre mais ameaças do que o necessário, pode desativar IDs de ameaças ruidosos ou desnecessários de outra forma usando a flag --threat-exceptions. Pode encontrar os IDs de ameaças existentes
detetadas pelo Cloud IDS nos registos de ameaças. Tem um limite de 99 exceções por ponto final de IDS.
Frequência de atualização do conteúdo
O IDS na nuvem atualiza automaticamente todas as assinaturas sem intervenção do utilizador, o que permite aos utilizadores focarem-se na análise e resolução de ameaças sem gerir nem atualizar assinaturas. As atualizações de conteúdo incluem o ID da app e assinaturas de ameaças, incluindo assinaturas de vulnerabilidades e antispyware.
As atualizações da Palo Alto Networks são recolhidas diariamente pelo Cloud IDS e enviadas para todos os pontos finais do IDS existentes. A latência máxima de atualização é estimada em até 48 horas.
Registo
Várias funcionalidades do Cloud IDS geram alertas, que são enviados para o registo de ameaças. Para mais informações sobre o registo, consulte o artigo Registo do Cloud IDS.
Limitações
- Quando usar políticas de inspeção da camada 7 da NGFW do Cloud e políticas de pontos finais do Cloud IDS, certifique-se de que as políticas não se aplicam ao mesmo tráfego. Se as políticas se sobrepuserem, a política de inspeção da camada 7 tem prioridade e o tráfego não é espelhado.
O que se segue?
- Para configurar o Cloud IDS, consulte o artigo Configure o Cloud IDS.