Cloud IDS 是入侵偵測服務,可針對您網路上的入侵、惡意軟體、間諜軟體、指令與控制攻擊等,提供威脅偵測服務。Cloud IDS 會建立由 Google 管理的對等網路,其中包含鏡像虛擬機器 (VM) 執行個體。對等網路中的流量會經過鏡像處理,然後由 Palo Alto Networks 威脅防護技術進行檢查,以提供進階威脅偵測功能。您可以鏡像所有流量,也可以根據通訊協定、IP 位址範圍或輸入和輸出,鏡像篩選的流量。
Cloud IDS 可讓您完整掌握網路流量 (包括南北向和東西向的流量),方便您監控 VM 對 VM 的通訊,藉此偵測水平擴散。這項功能提供檢查引擎,可檢查子網路內的流量。
您也可以使用 Cloud IDS 滿足進階威脅偵測和法規遵循要求,包括 PCI 11.4 和 HIPAA。
Cloud IDS 適用於 Google Cloud的《Cloud 資料處理附加條款》。
Cloud IDS 可偵測威脅並發出警報,但不會採取行動來防範攻擊或修復損害。如要針對 Cloud IDS 偵測到的威脅採取行動,您可以使用 Google Cloud Armor 等產品。
以下各節將詳細說明 IDS 端點和進階威脅偵測功能。
IDS 端點
Cloud IDS 會使用稱為「IDS 端點」的區域資源,這類區域資源可檢查該區域內任何區域的流量。每個 IDS 端點都會接收鏡像流量,並執行威脅偵測分析。
私人服務存取權是指在您的虛擬私有雲 (VPC) 網路與 Google 或第三方所擁有的網路之間建立的私人連線。在 Cloud IDS 的情況下,私人連線會將您的 VM 連線至 Google 管理的對等 VM。對於位於相同虛擬私有雲網路的 IDS 端點,系統會重複使用相同的私人連線,但會為每個端點指派新的子網路。如果您需要在現有私人連線中新增 IP 位址範圍,必須修改連線。
您可以使用 Cloud IDS,在每個要監控的區域中建立 IDS 端點。您可以為每個區域建立多個 IDS 端點。每個 IDS 端點的檢查能力上限為 5 Gbps。雖然每個 IDS 端點都能處理高達 17 Gbps 的異常流量尖峰,但我們建議您為網路的每 5 Gbps 吞吐量設定一個 IDS 端點。
封包鏡像政策
Cloud IDS 使用 Google Cloud 封包鏡像功能,可建立網路流量的副本。建立 IDS 端點後,您必須將一或多個封包鏡像政策附加至該端點。這些政策會將鏡像流量傳送至單一 IDS 端點進行檢查。封包鏡像邏輯會將個別 VM 的所有流量傳送至 Google 代管的 IDS VM:例如,從 VM1 和 VM2 鏡像的所有流量一律會傳送至 IDS-VM1。
進階威脅偵測功能
Cloud IDS 威脅偵測功能是由下列 Palo Alto Networks 威脅防護技術提供支援。
Application-ID
Palo Alto Networks 的應用程式 ID (App-ID) 可讓您瞭解網路上執行的應用程式。App-ID 會使用多種識別技術,判斷經過網路的應用程式身分,不受通訊埠、通訊協定、規避策略或加密技術的影響。應用程式 ID 可識別應用程式,並提供相關資訊,協助您保護應用程式。
應用程式 ID 清單每週會擴充,通常會根據客戶、合作夥伴和市場趨勢的意見新增三到五個應用程式。開發及測試新的 App-ID 後,系統會在每日內容更新中自動將其加入清單。
您可以在Google Cloud 控制台的「IDS 威脅」頁面中查看應用程式資訊。
預設簽名集
Cloud IDS 提供一組預設的威脅簽章,可立即用於保護網路免受威脅。在Google Cloud 控制台中,這個簽章集合稱為 Cloud IDS 服務設定檔。您可以選擇最小快訊嚴重程度,自訂這組設定。這些簽章可用於偵測安全漏洞和間諜軟體。
漏洞偵測簽章可偵測試圖利用系統缺陷或擅自存取系統的行為。雖然反間諜軟體特徵可在流量離開網路時協助識別受感染的主機,但漏洞偵測特徵可防範進入網路的威脅。
舉例來說,漏洞偵測簽章有助於防範緩衝區溢位、非法程式碼執行,以及其他企圖利用系統漏洞的行為。預設的安全漏洞偵測簽章可偵測所有已知的嚴重、高、中等嚴重性威脅,保護用戶端和伺服器。
反間諜軟體簽章可用於偵測遭入侵主機上的間諜軟體。這類間諜軟體可能會嘗試聯絡外部指令和控制 (C2) 伺服器。Cloud IDS 偵測到惡意流量從受感染的主機離開網路時,會產生快訊,並儲存在威脅記錄中,並顯示在 Google Cloud 控制台中。
威脅嚴重性等級
簽章的嚴重性代表偵測到的事件風險,Cloud IDS 會針對相符的流量產生警報。您可以在預設簽章組合中選擇最低嚴重性等級。下表概略說明威脅嚴重程度。
| 嚴重性 | 說明 |
|---|---|
| 重大 | 嚴重威脅,例如影響廣泛部署軟體的預設安裝作業,導致伺服器遭到根層入侵,且攻擊者可輕易取得漏洞程式碼。攻擊者通常不需要任何特殊的驗證憑證,也不需要瞭解個別受害者的相關資訊,而且也不需要操控目標執行任何特殊功能。 |
| 高 | 威脅可能會變得嚴重,但有緩解因素,例如難以利用、不會導致權限提升,或沒有大量受害者。 |
| 中 | 影響力降到最低的次要威脅,不會危害目標,或需要攻擊者與受害者位於相同本機網路的漏洞,只會影響非標準設定或不知名應用程式,或提供非常有限的存取權。 |
| 低 | 警告級威脅,對組織基礎架構的影響極小。這些攻擊通常需要本地或實體系統存取權,且可能經常導致受害者隱私問題和資訊外洩。 |
| 參考用 | 可疑事件並未造成即時威脅,但會回報,以便引起對可能存在的更深層問題的注意。 |
威脅例外狀況
如果您認為 Cloud IDS 產生的警報數量過多,可以使用 --threat-exceptions 標記停用雜訊或其他不必要的威脅 ID。您可以在威脅記錄中找到 Cloud IDS 偵測到的現有威脅的威脅 ID。每個 IDS 端點最多只能有 99 個例外狀況。
內容更新頻率
Cloud IDS 會自動更新所有簽章,無須使用者介入,讓使用者能專注於分析及解決威脅,不必管理或更新簽章。內容更新包括應用程式 ID 和威脅簽章,包括安全漏洞和反間諜軟體簽章。
Cloud IDS 每天會接收 Palo Alto Networks 的更新,並推送至所有現有的 IDS 端點。預估更新延遲時間上限為 48 小時。
記錄
Cloud IDS 的多項功能會產生快訊,並傳送至威脅記錄。如要進一步瞭解記錄功能,請參閱「Cloud IDS 記錄」。
限制
- 使用 Cloud Next Generation Firewall L7 檢查政策和 Cloud IDS 端點政策時,請確認政策不會套用至相同的流量。如果政策重疊,則 L7 檢查政策優先,且不會複製流量。
後續步驟
- 如要設定 Cloud IDS,請參閱「設定 Cloud IDS」。