Cloud IDS 是入侵偵測服務,提供威脅偵測服務,可抵禦網路上的入侵、惡意軟體、間諜軟體、指令與控制攻擊等。Cloud IDS 的運作方式是建立 Google 代管的對接網路,並鏡像虛擬機器 (VM) 執行個體。系統會鏡像對接網路中的流量,然後經由 Palo Alto Networks 威脅防護技術檢查,提供進階威脅偵測。您可以鏡像所有流量,也可以根據通訊協定、IP 位址範圍,或輸入和輸出流量,鏡像經過篩選的流量。
Cloud IDS 可讓您完整掌握網路流量 (包括南北向和東西向的流量),方便監控 VM 對 VM 的通訊,藉此偵測橫向移動,就像一個檢查引擎,可檢查子網路內流量。
您也可以使用 Cloud IDS 滿足進階威脅偵測和法規遵循需求,包括 PCI 11.4 和 HIPAA。
Cloud IDS 須遵守 Google Cloud的《Cloud 資料處理附加條款》。
Cloud IDS 會偵測威脅並發出警告,但不會採取行動來防範攻擊或修復損害。如要對 Cloud IDS 偵測到的威脅採取行動,可以使用 Cloud Next Generation Firewall 等產品。
以下各節詳細說明 IDS 端點和進階威脅偵測。
IDS 端點
Cloud IDS 使用稱為「IDS 端點」的資源,這是一種可用區資源,可檢查所在區域中任何可用區的流量。每個 IDS 端點都會接收鏡像流量,並執行威脅偵測分析。
私人服務連線可讓虛擬私有雲 (VPC) 網路與 Google/第三方擁有的網路建立私人連線。如採用 Cloud IDS,私人連線會將 VM 連線至 Google 代管的對接 VM。對於相同虛擬私有雲網路中的 IDS 端點,系統會重複使用相同的私人連線,但會為每個端點指派新的子網路。如果要將 IP 位址範圍新增至現有私人連線,請修改連線。
您可以在要監控的每個區域,使用 Cloud IDS 建立 IDS 端點。每個區域可建立多個 IDS 端點。每個 IDS 端點的檢查容量上限為 5 Gbps。每個 IDS 端點最多可處理 17 Gbps 的異常流量尖峰,但建議為網路每 5 Gbps 處理量設定一個 IDS 端點。
Packet Mirroring 政策
Cloud IDS 使用 Google Cloud Packet Mirroring 功能,建立網路流量副本。建立 IDS 端點後,必須將一或多個 Packet Mirroring 政策附加至該端點。這些政策會將鏡像流量傳送至單一 IDS 端點進行檢查。封包鏡像邏輯會將個別 VM 的所有流量傳送至 Google 代管的 IDS VM,例如,從 VM1 和 VM2 鏡像的所有流量一律會傳送至 IDS-VM1。
進階威脅偵測功能
Cloud IDS 威脅偵測功能是由下列 Palo Alto Networks 威脅防護技術提供支援。
App-ID
Palo Alto Networks 的應用程式 ID (App-ID) 可讓您掌握網路中執行的應用程式。App-ID 會使用多種識別技術,判斷透過網路傳輸的應用程式身分,任何通訊埠、通訊協定、規避策略或加密方式都能辨識。App-ID 可識別應用程式,提供相關知識,協助保護應用程式安全。
App-ID 清單每週都會擴充,通常會根據客戶、合作夥伴和市場趨勢的意見,新增三到五個應用程式。開發及測試新的 App-ID 後,系統會自動將其新增至清單,屬於每日內容更新的一部分。
您可以在Google Cloud 控制台的「IDS Threats」(IDS 威脅) 頁面查看應用程式資訊。
預設簽章集
Cloud IDS 提供一組預設的威脅簽章,可立即用來保護網路免於威脅。在Google Cloud 控制台,此簽章集稱為 Cloud IDS 服務設定檔。可選擇最低警告嚴重性等級,自訂此集合。簽章可用於偵測安全漏洞和間諜軟體。
如有不肖人士嘗試利用系統漏洞進行攻擊,或未經授權存取系統,安全漏洞偵測簽章會偵測到這些行為。反間諜軟體簽章有助於在流量離開網路時,識別受感染的主機,而安全漏洞偵測簽章則可防範進入網路的威脅。
例如,安全漏洞偵測簽章有助於防範緩衝區溢位、非法程式碼執行作業,以及其他試圖利用系統漏洞攻擊的行為。預設安全漏洞偵測簽章可偵測所有已知重大、高嚴重性和中等嚴重性威脅,並提供用戶端和伺服器偵測結果。
反間諜軟體簽章可用於偵測入侵主機的間諜軟體。這類間諜軟體可能會嘗試連線至外部指令與控制 (C2) 伺服器。當 Cloud IDS 偵測到惡意流量從受感染的主機離開網路時,就會產生警告,並儲存在威脅記錄,然後顯示在 Google Cloud 控制台。
威脅嚴重性等級
簽章的嚴重程度代表偵測到的事件風險,而 Cloud IDS 會針對相符的流量產生警告。您可以在預設簽章集選擇最低嚴重程度。下表彙整威脅嚴重性等級。
| 嚴重性 | 說明 |
|---|---|
| 重大 | 嚴重威脅,例如影響廣泛部署軟體的預設安裝,導致伺服器遭到根層級入侵,以及攻擊者可輕易鑽漏洞攻擊程式碼。攻擊者通常不需要任何特殊驗證憑證或個別受害者的相關知識,也不需要引導目標執行任何特殊功能。 |
| 高 | 可能成為重大威脅,但有機會減輕影響,例如這些威脅可能難以進行漏洞攻擊、不會授予外人進階權限,或受害者人數不多。 |
| 中 | 影響程度極小,不會危害目標,或攻擊者必須與受害者位於相同的本機網路,或只會影響非標準設定或不常見的應用程式,或僅授予外人非常有限的存取權。 |
| 低 | 對組織基礎架構影響極小的警告層級威脅。這類攻擊通常需要本機或實體系統存取權,導致的後果往往只是受害者隱私權問題和資訊外洩。 |
| 參考用 | 不會構成立即威脅的可疑事件,但仍會經過回報,提醒可能存在更深層的問題。 |
威脅例外狀況
如果您認為 Cloud IDS 產生過多不必要的威脅警告,可以使用 --threat-exceptions 旗標停用過於頻繁或其他非必要的威脅 ID。您可以在威脅記錄中,找到 Cloud IDS 偵測到的現有威脅 ID。每個 IDS 端點最多只能有 99 個例外狀況。
內容更新頻率
Cloud IDS 會自動更新所有簽章,不需要人工介入,使用者可專注於分析及解決威脅,不必管理或更新簽章。內容更新包括 App-ID 和威脅簽章,安全漏洞和反間諜軟體簽章也在其中。
Cloud IDS 每天都會接收 Palo Alto Networks 的更新,並推送至所有現有的 IDS 端點。更新延遲時間預估最長為 48 小時。
記錄
Cloud IDS 的多項功能都會產生警告,並傳送至威脅記錄。如要進一步瞭解記錄,請參閱「Cloud IDS 記錄」。
限制
- 使用 Cloud NGFW 第 7 層檢查政策和 Cloud IDS 端點政策時,請確保政策不會套用至相同流量。如果政策重疊,系統會優先採用第 7 層檢查政策,且不會鏡像流量。
後續步驟
- 如要設定 Cloud IDS,請參閱「設定 Cloud IDS」。