Cloud IDS ist ein Einbruchserkennungsdienst, der Bedrohungserkennung bei Einbrüchen, Malware, Spyware und Command-and-Control-Angriffen in Ihrem Netzwerk bietet. Cloud IDS erstellt dazu ein von Google verwaltetes Peering-Netzwerk mit gespiegelten VM-Instanzen. Der Traffic im Peering-Netzwerk wird gespiegelt und dann mithilfe der Bedrohungsschutztechnologien von Palo Alto Networks geprüft, um eine erweiterte Bedrohungserkennung zu ermöglichen. Sie können den gesamten Traffic oder den anhand von Protokoll, IP-Adressbereich oder eingehendem bzw. ausgehendem Traffic gefilterten Traffic spiegeln.
Cloud IDS ermöglicht einen vollständigen Einblick in den Netzwerk-Traffic, einschließlich Nord-Süd- und Ost-West-Traffic, sowie die Überwachung der VM-zu-VM-Kommunikation für die Erkennung von Seitwärtsbewegungen. In diesem Zusammenhang wird eine Prüfungs-Engine bereitgestellt, die den Traffic innerhalb des Subnetzes prüft.
Sie können Cloud IDS auch verwenden, um Ihre Anforderungen an die erweiterte Bedrohungserkennung und Compliance zu erfüllen, einschließlich PCI 11.4 und HIPAA.
Cloud IDS unterliegt dem Zusatz zur Verarbeitung von Cloud-Daten von Google Cloud.
Cloud IDS erkennt Bedrohungen und gibt dann Benachrichtigungen aus, ergreift aber keine Maßnahmen, um Angriffe zu verhindern oder entstandene Schäden zu beheben. Um auf die von Cloud IDS erkannten Bedrohungen zu reagieren, können Sie Produkte wie Google Cloud Armor verwenden.
In den folgenden Abschnitten finden Sie genauere Informationen zu IDS-Endpunkten und zur erweiterten Bedrohungserkennung.
IDS-Endpunkte
Cloud IDS verwendet eine Ressource, die als IDS-Endpunkt bezeichnet wird. Dies ist eine zonale Ressource, die Traffic aus jeder Zone in ihrer Region prüfen kann. Jeder IDS-Endpunkt empfängt gespiegelten Traffic und führt eine Analyse zur Erkennung von Bedrohungen durch.
Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem VPC-Netzwerk (Virtual Private Cloud) und einem Netzwerk von Google oder einem Drittanbieter. Bei Cloud IDS werden Ihre VMs über die private Verbindung mit den von Google verwalteten Peering-VMs verbunden. Für IDS-Endpunkte im selben VPC-Netzwerk wird dieselbe private Verbindung wiederverwendet, aber jedem Endpunkt wird ein neues Subnetz zugewiesen. Wenn Sie einer vorhandenen privaten Verbindung IP-Adressbereiche hinzufügen möchten, müssen Sie die Verbindung ändern.
Sie können mit Cloud IDS in jeder Region, die Sie überwachen möchten, einen IDS-Endpunkt erstellen. Sie können für jede Region mehrere IDS-Endpunkte erstellen. Jeder IDS-Endpunkt hat eine maximale Prüfungskapazität von 5 Gbit/s. Jeder IDS-Endpunkt kann zwar anomale Traffic-Spitzen von bis zu 17 Gbit/s verarbeiten. Wir empfehlen jedoch, pro 5 Gbit/s an Durchsatz in Ihrem Netzwerk jeweils einen IDS-Endpunkt zu konfigurieren.
Richtlinien für die Paketspiegelung
Cloud IDS verwendet die Google Cloud -Paketspiegelung, bei der eine Kopie Ihres Netzwerk-Traffics erstellt wird. Nachdem Sie einen IDS-Endpunkt erstellt haben, müssen Sie eine oder mehrere Paketspiegelungsrichtlinien daran anhängen. Mit diesen Richtlinien wird gespiegelter Traffic zur Prüfung an einen einzelnen IDS-Endpunkt gesendet. Die Logik der Paketspiegelung sendet den gesamten Traffic von einzelnen VMs an von Google verwaltete IDS-VMs. So wird beispielsweise der gesamte von VM1 und VM2 gespiegelte Traffic immer an IDS-VM1 gesendet.
Erweiterte Bedrohungserkennung
Die Cloud IDS-Funktionen zur Bedrohungserkennung basieren auf den folgenden Technologien zur Bedrohungsvermeidung von Palo Alto Networks.
Anwendungs-ID
Die Anwendungs-ID (App-ID) von Palo Alto Networks bietet Einblick in die Anwendungen, die im Netzwerk ausgeführt werden. Die App-ID verwendet mehrere Identifizierungsverfahren, um die Identität von Anwendungen zu ermitteln, die das Netzwerk durchlaufen, unabhängig von Port, Protokoll, Ausweichtaktik oder Verschlüsselung. Die App-ID identifiziert die Anwendung und liefert Ihnen Informationen, mit denen Sie die Anwendung besser schützen können.
Die Liste der App-IDs wird wöchentlich ergänzt. Dabei werden in der Regel auf Grundlage des Feedbacks von Kunden und Partnern sowie Markttrends drei bis fünf neue Anwendungen hinzugefügt. Nachdem eine neue App-ID entwickelt und getestet wurde, wird sie im Rahmen der täglichen Inhaltsaktualisierungen automatisch der Liste hinzugefügt.
Informationen zu Anwendungen finden Sie in derGoogle Cloud Console auf der Seite IDS-Bedrohungen.
Standardsignatursatz
Cloud IDS bietet einen Standardsatz von Bedrohungssignaturen, mit denen Sie Ihr Netzwerk sofort vor Bedrohungen schützen können. In derGoogle Cloud Console wird dieser Signatursatz als Cloud IDS-Dienstprofil bezeichnet. Sie können ihn anpassen, indem Sie den minimalen Schweregrad für Benachrichtigungen auswählen. Die Signaturen werden verwendet, um Sicherheitslücken und Spyware zu erkennen.
Signaturen zur Sicherheitslückenerkennung erkennen Versuche, Systemfehler auszunutzen oder unbefugten Zugriff auf Systeme zu erlangen. Anti-Spyware-Signaturen helfen dabei, infizierte Hosts zu ermitteln, wenn der Traffic das Netzwerk verlässt. Mit Signaturen zur Sicherheitslückenerkennung werden Sie dagegen vor Bedrohungen geschützt, die in das Netzwerk eindringen.
Signaturen zur Sicherheitslückenerkennung schützen beispielsweise vor Zwischenspeicherüberläufen, illegaler Codeausführung und anderen Versuchen, die Systemsicherheitslücken auszunutzen. Die standardmäßigen Signaturen für die Sicherheitslückenerkennung bieten für Clients und Server die Erkennung aller bekannten Bedrohungen mit kritischem, hohem und mittlerem Schweregrad.
Anti-Spyware-Signaturen werden verwendet, um Spyware auf manipulierten Hosts zu erkennen. Solche Spyware versucht möglicherweise, externe C2-Server (Command-and-Control-Server) zu kontaktieren. Wenn Cloud IDS schädlichen Traffic erkennt, der von infizierten Hosts aus Ihrem Netzwerk stammt, wird eine Benachrichtigung generiert, die im Bedrohungslog gespeichert und in der Google Cloud Console angezeigt wird.
Bedrohungsschweregrade
Der Schweregrad einer Signatur gibt das Risiko des erkannten Ereignisses an und Cloud IDS generiert dann entsprechende Benachrichtigungen für übereinstimmenden Traffic. Sie können den minimalen Schweregrad im Standardsignatursatz auswählen. In der folgenden Tabelle sind die Schweregrade von Bedrohungen zusammengefasst.
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Schwerwiegende Bedrohungen, z. B. solche, die Standardinstallationen weit verbreiteter Software betreffen, führen zu einer Root-Manipulation von Servern und der Exploitcode ist dann für alle Angreifer allgemein verfügbar. Der Angreifer benötigt in der Regel keine speziellen Authentifizierungsanmeldedaten oder Kenntnisse über die einzelnen Opfer. Das Ziel muss außerdem nicht so manipuliert werden, dass spezielle Funktionen ausgeführt werden. |
| Hoch | Bedrohungen, die kritisch werden können, bei denen es aber Möglichkeiten zur Risikominderung gibt. Sie können beispielsweise schwierig auszunutzen sein, führen nicht zu erhöhten Berechtigungen oder haben keine große Zahl potenzieller Opfer. |
| Mittel | Kleinere Bedrohungen, bei denen sich die Auswirkungen in Grenzen halten und das Ziel nicht manipuliert wird, oder Exploits, die erfordern, dass sich ein Angreifer im selben lokalen Netzwerk wie das Opfer befindet. Sie betreffen ausschließlich nicht standardmäßige Konfigurationen, sehr spezielle Anwendungen bzw. ermöglichen nur einen eingeschränkten Zugriff. |
| Niedrig | Bedrohungen auf Warnungsebene, die nur sehr geringe Auswirkungen auf die Infrastruktur einer Organisation haben. Sie erfordern in der Regel lokalen oder physischen Zugriff auf Systeme und es kann hier oft zu Datenschutzproblemen und Informationslecks auf Seiten der Opfer kommen. |
| Informationell | Verdächtige Ereignisse, die keine unmittelbare Bedrohung darstellen, aber gemeldet wurden, um auf eventuell bestehende tiefergehende Probleme hinzuweisen. |
Bedrohungsausnahmen
Wenn Sie feststellen, dass Cloud IDS Warnungen für mehr Bedrohungen als nötig generiert, können Sie mit dem Flag --threat-exceptions die Bedrohungs-IDs deaktivieren, für die Sie die Benachrichtigungen als störend bzw. nicht notwendig empfinden. Sie finden die Bedrohungs-IDs vorhandener Bedrohungen, die von Cloud IDS erkannt werden, in Ihren Bedrohungslogs. Sie sind auf 99 Ausnahmen pro IDS-Endpunkt beschränkt.
Häufigkeit von Inhaltsaktualisierungen
Cloud IDS aktualisiert alle Signaturen automatisch ohne Nutzereingriff, sodass sich die Nutzer auf die Analyse und Behebung von Bedrohungen konzentrieren können, ohne Signaturen verwalten oder aktualisieren zu müssen. Inhaltsaktualisierungen umfassen Anwendungs-ID- und Bedrohungssignaturen, einschließlich Signaturen für Sicherheitslücken und Anti-Spyware-Signaturen.
Aktualisierungen von Palo Alto Networks werden täglich von Cloud IDS übernommen und an alle vorhandenen IDS-Endpunkte übertragen. Die maximale Aktualisierungslatenz beträgt geschätzt bis zu 48 Stunden.
Logging
Verschiedene Features von Cloud IDS generieren Benachrichtigungen, die an das Bedrohungslog gesendet werden. Weitere Informationen zum Logging finden Sie unter Cloud IDS-Logging.
Beschränkungen
- Wenn Sie Prüfungsrichtlinien für L7-Cloud-Firewalls der nächsten Generation und Cloud IDS-Endpunktrichtlinien verwenden, achten Sie darauf, dass die Richtlinien nicht auf denselben Traffic angewendet werden. Wenn sich die Richtlinien überschneiden, hat die L7-Prüfungsrichtlinie Vorrang und der Traffic wird nicht gespiegelt.
Nächste Schritte
- Informationen zum Einrichten von Cloud IDS finden Sie unter Cloud IDS konfigurieren.