O Cloud IDS é um serviço de detecção de intrusões que identifica ameaças de invasão, malware, spyware e ataques de comando e controle na rede. Ele cria uma rede de peering gerenciada pelo Google com instâncias de máquina virtual (VM) espelhadas. O tráfego nessa rede é espelhado e depois inspecionado pelas tecnologias avançadas de proteção da Palo Alto Networks para detecção avançada de ameaças. É possível espelhar todo o tráfego ou apenas o tráfego filtrado com base em protocolo, intervalo de endereços IP ou entrada e saída.
O Cloud IDS oferece total visibilidade do tráfego de rede, incluindo norte-sul e leste-oeste, para você monitorar a comunicação entre VMs e detectar o movimento lateral. Isso fornece um mecanismo que inspeciona o tráfego entre sub-redes.
Também é possível usar o Cloud IDS para atender aos requisitos avançados de conformidade e detecção de ameaças, incluindo PCI 11.4 e HIPAA.
O Cloud IDS está sujeito ao Aditivo sobre tratamento de dados do Cloud do Google Cloud.
O Cloud IDS detecta e alerta sobre ameaças, mas não toma medidas para evitar ataques ou reparar danos. Para tomar medidas contra as ameaças detectadas pelo Cloud IDS, use produtos como o Google Cloud Armor.
As seções a seguir fornecem detalhes sobre endpoints do IDS e detecção avançada de ameaças.
Endpoints do IDS
O Cloud IDS usa um recurso zonal chamado endpoint do IDS, que consegue inspecionar o tráfego de qualquer zona na região. Cada endpoint do IDS recebe tráfego espelhado e realiza análises para a detecção de ameaças.
O acesso a serviços particulares é uma conexão privada entre sua rede de nuvem privada virtual (rede VPC) e uma rede de propriedade do Google ou de terceiros. No caso do Cloud IDS, a conexão privada interliga suas VMs às VMs em peering gerenciadas pelo Google. Para endpoints do IDS na mesma rede VPC, a mesma conexão particular é reutilizada, mas uma nova sub-rede é atribuída a cada endpoint. Se você precisar adicionar intervalos de endereços IP a uma conexão particular existente, modifique a conexão.
Use o Cloud IDS para criar um endpoint do IDS em cada região que você quer monitorar. É possível criar vários endpoints do IDS para cada região. Cada um deles tem uma capacidade máxima de inspeção de 5 Gbps. Embora cada endpoint do IDS possa processar picos de tráfego anômalos de até 17 Gbps, recomendamos configurar um endpoint do IDS para cada 5 Gbps de capacidade de processamento da sua rede.
Políticas de espelhamento de pacotes
O Cloud IDS usa o espelhamento de pacotes do Google Cloud , que cria
uma cópia do tráfego de rede. Depois de criar um endpoint do IDS, é preciso anexar
uma ou mais políticas de espelhamento de pacotes a ele. Essas políticas enviam o tráfego espelhado
a um único endpoint do IDS para inspeção. A lógica de espelhamento de pacotes envia todo
o tráfego de VMs individuais para VMs do IDS gerenciadas pelo Google. Por exemplo,
todo o tráfego espelhado de VM1 e VM2 é sempre enviado para IDS-VM1.
Detecção avançada de ameaças
Confira a seguir os recursos de detecção de ameaças do Cloud IDS que têm as tecnologias de prevenção de ameaças da Palo Alto Networks.
ID de aplicativo
O ID de aplicativo da Palo Alto Networks oferece visibilidade dos aplicativos em execução na sua rede. Ele usa várias técnicas de identificação para determinar a identidade dos aplicativos que atravessam sua rede, independentemente de porta, protocolo, tática evasiva ou criptografia. O ID de aplicativo identifica o aplicativo, fornecendo informações para ajudar a protegê-lo.
A lista de IDs de aplicativos é atualizada semanalmente, com a adição de três a cinco novos aplicativos, geralmente com base em informações de clientes, parceiros e tendências de mercado. Depois que um novo ID de aplicativo é desenvolvido e testado, ele é adicionado automaticamente à lista como parte das atualizações diárias de conteúdo.
É possível conferir as informações sobre o aplicativo na página Ameaças do IDS no console doGoogle Cloud .
Conjunto padrão de assinaturas
O Cloud IDS fornece um conjunto padrão de assinaturas de ameaças que podem ser usadas imediatamente para proteger sua rede contra ameaças. No console doGoogle Cloud , esse conjunto de assinaturas é chamado de perfil de serviço do Cloud IDS. É possível personalizar esse conjunto escolhendo o nível mínimo de gravidade dos alertas. As assinaturas são usadas para detectar vulnerabilidades e spyware.
As assinaturas de detecção de vulnerabilidades identificam tentativas de explorar falhas do sistema ou obter acesso não autorizado aos sistemas. As assinaturas antispyware ajudam a identificar hosts infectados quando o tráfego sai da rede. Já as assinaturas de detecção de vulnerabilidades protegem a rede de ameaças externas.
Por exemplo, as assinaturas de detecção de vulnerabilidades ajudam a proteger contra estouros de buffer, execução ilegal de códigos e outras tentativas de explorar vulnerabilidades do sistema. As assinaturas de detecção de vulnerabilidades padrão identificam ameaças conhecidas de severidade crítica, alta e média, tanto em clientes quanto em servidores.
As assinaturas antispyware são usadas para detectar spyware em hosts comprometidos. Esses spywares podem entrar em contato com servidores de comando e controle (C2) externos. Quando o Cloud IDS detecta tráfego malicioso saindo da rede de hosts infectados, ele gera um alerta que é salvo no registro de ameaças e é mostrado no console do Google Cloud .
Níveis de gravidade de ameaças
A gravidade de uma assinatura indica o risco do evento detectado, e o Cloud IDS gera alertas para o tráfego correspondente. Você pode escolher o nível mínimo de gravidade no conjunto de assinaturas padrão. A tabela a seguir resume os níveis de gravidade de ameaças.
| Gravidade | Descrição |
|---|---|
| Crítico | Ameaças graves são aquelas que afetam as instalações padrão de softwares amplamente utilizados, resultam no comprometimento total de servidores e possuem códigos de exploração de fácil acesso para invasores. Geralmente, o invasor não precisa de credenciais de autenticação especiais ou de informações sobre as vítimas. Além disso, a vítima não precisa ser manipulada para executar nenhuma ação específica. |
| Alto | Ameaças que podem se tornar críticas, mas que têm fatores atenuantes. Por exemplo, podem ser difíceis de explorar, não resultam em privilégios elevados ou não atingem um grande número de vítimas. |
| Médio | Ameaças menores são aquelas cujo impacto é mínimo, que não chegam a comprometer o alvo. Ou, então, são ataques que exigem que o invasor esteja na mesma rede local da vítima, afetam apenas configurações não padronizadas ou aplicativos pouco conhecidos ou que dão acesso muito limitado. |
| Baixo | Ameaças de alerta com pouco impacto na infraestrutura de uma organização. Elas geralmente exigem acesso local ou físico ao sistema e podem com frequência causar problemas de privacidade para a vítima e vazamento de informações. |
| Informativo | Eventos suspeitos que não representam uma ameaça imediata, mas que são reportados para chamar a atenção para problemas mais sérios que podem existir. |
Exceções de ameaças
Se você achar que o Cloud IDS está gerando alertas em mais ameaças do que o necessário,
é possível desativar as identificações de ameaças que são excessivas ou irrelevantes usando a
flag --threat-exceptions. Nos registros de ameaças, é possível encontrar os
IDs das ameaças detectadas pelo Cloud IDS. Você tem um limite de 99
exceções por endpoint do IDS.
Frequência de atualização de conteúdo
O Cloud IDS atualiza automaticamente todas as assinaturas sem intervenção dos usuários, permitindo que eles se concentrem na análise e resolução de ameaças, sem gerenciar nem atualizar as assinaturas. As atualizações de conteúdo incluem o ID de aplicativo e as assinaturas de ameaças, incluindo assinaturas de vulnerabilidades e anti-spyware.
O Cloud IDS recebe atualizações diárias da Palo Alto Networks e as distribui para todos os seus endpoints ativos. Estima-se que a latência máxima de atualização seja de até 48 horas.
Geração de registros
Vários recursos do Cloud IDS geram alertas que são enviados para o registro de ameaças. Para mais informações, consulte Geração de registros do Cloud IDS.
Limitações
- Ao usar políticas de inspeção da camada 7 do Cloud Next Generation Firewall e políticas de endpoint do Cloud IDS, verifique se elas não se aplicam ao mesmo tráfego. Se as políticas forem conflitantes, a política de inspeção da camada 7 terá prioridade, e o tráfego não será espelhado.
A seguir
- Para informações sobre configuração, consulte Configurar o Cloud IDS.