Cloud IDS adalah layanan deteksi penyusupan yang menyediakan deteksi ancaman untuk intrusi, malware, spyware, serta serangan perintah dan kontrol di jaringan Anda. Cloud IDS berfungsi dengan membuat jaringan yang di-peering dan dikelola Google dengan instance virtual machine (VM) yang diduplikasi. Traffic di jaringan yang di-peering dicerminkan, lalu diperiksa oleh teknologi perlindungan terhadap ancaman Palo Alto Networks untuk memberikan deteksi ancaman tingkat lanjut. Anda dapat menduplikasikan semua traffic, atau Anda dapat menduplikasikan traffic yang difilter berdasarkan protokol, rentang alamat IP, atau masuk dan keluar.
Cloud IDS memberikan visibilitas penuh ke traffic jaringan, termasuk traffic utara-selatan dan timur-barat, sehingga Anda dapat memantau komunikasi VM-ke-VM untuk mendeteksi pergerakan lateral. Hal ini menyediakan mesin inspeksi yang memeriksa traffic intra-subnet.
Anda juga dapat menggunakan Cloud IDS untuk memenuhi persyaratan deteksi ancaman lanjutan dan kepatuhan, termasuk PCI 11.4 dan HIPAA.
Cloud IDS tunduk pada Google Cloud Adendum Pemrosesan Data Cloud.
Cloud IDS mendeteksi dan memberikan peringatan tentang ancaman, tetapi tidak mengambil tindakan untuk mencegah serangan atau memperbaiki kerusakan. Untuk menindaklanjuti ancaman yang dideteksi Cloud IDS, Anda dapat menggunakan produk seperti Cloud Next Generation Firewall.
Bagian berikut memberikan detail tentang endpoint IDS dan deteksi ancaman lanjutan.
Endpoint IDS
Cloud IDS menggunakan resource yang dikenal sebagai endpoint IDS, yaitu resource zonal yang dapat memeriksa traffic dari zona mana pun di regionnya. Setiap endpoint IDS menerima traffic yang di-mirror dan melakukan analisis deteksi ancaman.
Akses layanan pribadi adalah koneksi pribadi antara jaringan Virtual Private Cloud (VPC) Anda dan jaringan yang dimiliki oleh Google atau pihak ketiga. Dalam kasus Cloud IDS, koneksi pribadi menghubungkan VM Anda ke VM peer yang dikelola Google. Untuk endpoint IDS di jaringan VPC yang sama, koneksi pribadi yang sama digunakan kembali, tetapi subnet baru ditetapkan untuk setiap endpoint. Jika perlu menambahkan rentang alamat IP ke koneksi pribadi yang ada, Anda harus mengubah koneksi.
Anda dapat menggunakan Cloud IDS untuk membuat endpoint IDS di setiap region yang ingin Anda pantau. Anda dapat membuat beberapa endpoint IDS untuk setiap region. Setiap endpoint IDS memiliki kapasitas pemeriksaan maksimum 5 Gbps. Meskipun setiap endpoint IDS dapat menangani lonjakan traffic anomali hingga 17 Gbps, sebaiknya Anda mengonfigurasi satu endpoint IDS untuk setiap throughput 5 Gbps yang dialami jaringan Anda.
Kebijakan duplikasi paket
Cloud IDS menggunakan Google Cloud Duplikasi Paket, yang membuat
salinan traffic jaringan Anda. Setelah membuat endpoint IDS, Anda harus melampirkan
satu atau beberapa kebijakan duplikasi paket ke endpoint tersebut. Kebijakan ini mengirimkan traffic yang di-mirror ke satu endpoint IDS untuk diperiksa. Logika duplikasi paket mengirimkan semua traffic dari VM individual ke VM IDS yang dikelola Google: misalnya, semua traffic yang diduplikasikan dari VM1 dan VM2 selalu dikirim ke IDS-VM1.
Deteksi ancaman lanjutan
Kemampuan deteksi ancaman Cloud IDS didukung oleh teknologi pencegahan ancaman Palo Alto Networks berikut.
App-ID
ID Aplikasi (App-ID) Palo Alto Networks memberikan visibilitas ke aplikasi yang berjalan di jaringan Anda. App-ID menggunakan beberapa teknik identifikasi untuk menentukan identitas aplikasi yang melintasi jaringan Anda, terlepas dari port, protokol, taktik penghindaran, atau enkripsi. App-ID mengidentifikasi aplikasi, sehingga Anda memiliki pengetahuan untuk membantu mengamankan aplikasi Anda.
Daftar ID Aplikasi diperluas setiap minggu, dengan tiga hingga lima aplikasi baru yang biasanya ditambahkan berdasarkan masukan dari pelanggan, partner, dan tren pasar. Setelah App-ID baru dikembangkan dan diuji, App-ID tersebut akan otomatis ditambahkan ke daftar sebagai bagian dari update konten harian.
Anda dapat melihat informasi aplikasi di halaman Ancaman IDS di konsolGoogle Cloud .
Tanda tangan default ditetapkan
Cloud IDS menyediakan serangkaian tanda tangan ancaman default yang dapat Anda gunakan secara langsung untuk melindungi jaringan Anda dari ancaman. Di konsol Google Cloud , set tanda tangan ini disebut profil layanan Cloud IDS. Anda dapat menyesuaikan set ini dengan memilih tingkat keparahan pemberitahuan minimum. Tanda tangan digunakan untuk mendeteksi kerentanan dan spyware.
Tanda tangan deteksi kerentanan mendeteksi upaya untuk mengeksploitasi kelemahan sistem atau mendapatkan akses tidak sah ke sistem. Meskipun tanda tangan anti-spyware membantu mengidentifikasi host yang terinfeksi saat traffic keluar dari jaringan, tanda tangan deteksi kerentanan melindungi dari ancaman yang masuk ke jaringan.
Misalnya, tanda tangan deteksi kerentanan membantu melindungi dari overflow buffer, eksekusi kode ilegal, dan upaya lain untuk mengeksploitasi kerentanan sistem. Tanda tangan deteksi kerentanan default menyediakan deteksi untuk klien dan server dari semua ancaman tingkat keparahan penting, tinggi, dan sedang yang diketahui.
Tanda tangan anti-spyware digunakan untuk mendeteksi spyware di host yang disusupi. Spyware tersebut mungkin mencoba menghubungi server command and control (C2) eksternal. Saat Cloud IDS mendeteksi traffic berbahaya yang keluar dari jaringan Anda dari host yang terinfeksi, Cloud IDS akan membuat pemberitahuan yang disimpan dalam log ancaman dan ditampilkan di konsol Google Cloud .
Tingkat keparahan ancaman
Tingkat keparahan tanda tangan menunjukkan risiko peristiwa yang terdeteksi, dan Cloud IDS membuat pemberitahuan untuk traffic yang cocok. Anda dapat memilih tingkat keparahan minimum dalam set tanda tangan default. Tabel berikut merangkum tingkat keparahan ancaman.
| Keparahan | Deskripsi |
|---|---|
| Kritis | Ancaman serius, seperti yang memengaruhi penginstalan default software yang di-deploy secara luas, mengakibatkan kompromi root server, dan kode eksploitasi tersedia secara luas bagi penyerang. Penyerang biasanya tidak memerlukan kredensial autentikasi khusus atau pengetahuan tentang korban individual, dan target tidak perlu dimanipulasi untuk melakukan fungsi khusus apa pun. |
| Tinggi | Ancaman yang berpotensi menjadi kritis, tetapi ada faktor-faktor yang mengurangi risikonya—misalnya, ancaman tersebut mungkin sulit dieksploitasi, tidak mengakibatkan peningkatan hak istimewa, atau tidak memiliki banyak korban. |
| Sedang | Ancaman ringan yang dampaknya diminimalkan yang tidak membahayakan target, atau eksploitasi yang mengharuskan penyerang berada di jaringan lokal yang sama dengan korban, hanya memengaruhi konfigurasi non-standar atau aplikasi yang tidak jelas, atau memberikan akses yang sangat terbatas. |
| Rendah | Ancaman tingkat peringatan yang berdampak sangat kecil pada infrastruktur organisasi. Biasanya memerlukan akses sistem lokal atau fisik dan sering kali menyebabkan masalah privasi korban dan kebocoran informasi. |
| Informatif | Peristiwa mencurigakan yang tidak menimbulkan ancaman langsung, tetapi dilaporkan untuk menarik perhatian pada masalah yang lebih dalam yang mungkin ada. |
Pengecualian ancaman
Jika Anda memutuskan bahwa Cloud IDS menghasilkan pemberitahuan tentang lebih banyak ancaman daripada yang diperlukan,
Anda dapat menonaktifkan ID ancaman yang tidak relevan atau tidak diperlukan dengan menggunakan
flag --threat-exceptions. Anda dapat menemukan ID ancaman dari ancaman yang ada yang terdeteksi oleh Cloud IDS di log ancaman Anda. Anda dibatasi hingga 99
pengecualian per endpoint IDS.
Frekuensi update konten
Cloud IDS otomatis mengupdate semua tanda tangan tanpa intervensi pengguna, sehingga pengguna dapat fokus menganalisis dan menyelesaikan ancaman tanpa mengelola atau mengupdate tanda tangan. Update konten mencakup tanda tangan ancaman dan App-ID, termasuk tanda tangan kerentanan dan anti-spyware.
Update dari Palo Alto Networks diambil setiap hari oleh Cloud IDS dan diterapkan ke semua endpoint IDS yang ada. Latensi pembaruan maksimum diperkirakan hingga 48 jam.
Logging
Beberapa fitur Cloud IDS menghasilkan pemberitahuan, yang dikirim ke log ancaman. Untuk mengetahui informasi selengkapnya tentang logging, lihat Logging Cloud IDS.
Batasan
- Saat Anda menggunakan kebijakan pemeriksaan Lapisan 7 Cloud NGFW dan kebijakan endpoint Cloud IDS, pastikan kebijakan tersebut tidak berlaku untuk traffic yang sama. Jika kebijakan tumpang-tindih, kebijakan inspeksi Layer 7 akan diprioritaskan, dan traffic tidak diduplikasi.
Langkah berikutnya
- Untuk menyiapkan Cloud IDS, lihat Mengonfigurasi Cloud IDS.