Cloud IDS は侵入検知サービスで、ネットワーク上の侵入、マルウェア、スパイウェア、コマンド&コントロール攻撃の脅威を検出します。Cloud IDS は、ミラーリングされた仮想マシン(VM)インスタンスを含む Google 管理のピアリング ネットワークを作成することで動作します。ピアリングされたネットワーク内のトラフィックはミラーリングされ、高度な脅威検出のために Palo Alto Networks の脅威保護技術によって検査されます。すべてのトラフィックをミラーリングすることも、プロトコル、IP アドレス範囲、上り(内向き)と下り(外向き)に基づいてフィルタされたトラフィックをミラーリングすることもできます。
Cloud IDS では、North-South トラフィックと East-West トラフィックの両方を含むネットワーク トラフィックを完全に可視化し、VM 間の通信をモニタリングしてラテラル ムーブメントを検出できます。このようにして、サブネット内のトラフィックを検査する検査エンジンが提供されます。
また、Cloud IDS を使用して、PCI 11.4 や HIPAA といった高度な脅威の検出とコンプライアンスの要件を満たすこともできます。
Cloud IDS には、 Google Cloudの Cloud のデータ処理に関する追加条項が適用されます。
Cloud IDS は脅威を検出してアラートを発信しますが、攻撃を防止したり被害を修復したりするための対応は行いません。Cloud IDS が検出した脅威に対処するには、Google Cloud Armor などのプロダクトを使用できます。
この後の各セクションでは、IDS エンドポイントと高度な脅威検出について詳しく説明します。
IDS エンドポイント
Cloud IDS では、IDS エンドポイントと呼ばれるリソースが使用されます。これは、そのリージョン内のあらゆるゾーンからのトラフィックを検査できるゾーンリソースです。各 IDS エンドポイントは、ミラーリングされたトラフィックを受信して脅威検出分析を実行します。
プライベート サービス アクセスは、Virtual Private Cloud(VPC)ネットワークと Google またはサードパーティが所有するネットワークとのプライベート接続機能です。Cloud IDS の場合、プライベート接続では、VM は Google 管理のピアリングされた VM に接続されます。同じ VPC ネットワーク内の IDS エンドポイントの場合、同じプライベート接続が再利用されますが、各エンドポイントに新しいサブネットが割り当てられます。既存のプライベート接続に IP アドレス範囲を追加する必要がある場合は、接続を変更する必要があります。
Cloud IDS を使用して、モニタリングする各リージョンに IDS エンドポイントを作成できます。リージョンごとに複数の IDS エンドポイントを作成できます。各 IDS エンドポイントが検査できる容量は最大 5 Gbps です。各 IDS エンドポイントは、異常なトラフィック急増を最大で 17 Gbps 処理できますが、ネットワークで発生する IDS エンドポイントは 5 Gbps のスループットごとに 1 つ構成することをおすすめします。
パケット ミラーリング ポリシー
Cloud IDS は、 Google Cloud Packet Mirroring を使用してネットワーク トラフィックのコピーを作成します。IDS エンドポイントを作成したら、そのエンドポイントに 1 つ以上のパケット ミラーリング ポリシーを接続する必要があります。これらのポリシーにより、ミラーリングされたトラフィックが検査のために単一の IDS エンドポイントに送信されます。パケット ミラーリング ロジックは、すべてのトラフィックを個々の VM から Google が管理する IDS VM に送信します。たとえば、VM1 と VM2 からミラーリングされるすべてのトラフィックは、常に IDS-VM1 に送信されます。
高度な脅威検出
Cloud IDS の脅威検出機能では、次の Palo Alto Networks の脅威防止テクノロジーが利用されています。
App-ID
Palo Alto Networks のアプリケーション ID(App-ID)を使用すると、ネットワークで実行されているアプリケーションの内容を確認できます。App-ID は、ポート、プロトコル、回避戦術、暗号化に関係なく、複数の識別手法を使用して、ネットワークを通過するアプリケーションの身元を判別します。そして、アプリケーションを識別し、アプリケーションの保護に役立つ情報を提供します。
App-ID のリストは毎週更新されています。通常は、お客様、パートナー、市場トレンドの入力に基づいて、新たに 3~5 個のアプリケーションが追加されます。新たに開発された App-ID のテストが終わると、日々のコンテンツ アップデートの一環として自動的にリストに追加されます。
アプリケーションの情報は、Google Cloud コンソールの [IDS の脅威] ページで確認できます。
デフォルトの署名セット
Cloud IDS には、脅威シグネチャのデフォルト セットが用意されているため、脅威からネットワークをすぐに保護できます。この署名セットは、Google Cloud コンソールでは Cloud IDS サービス プロファイルと呼ばれています。このセットは、アラートの最小重大度レベルを選択することでカスタマイズできます。このシグネチャを使用して、脆弱性とスパイウェアを検出できます。
脆弱性検出シグネチャは、システムの欠陥の悪用やシステムへの不正アクセスの試みを検出します。スパイウェア対策シグネチャは、トラフィックがネットワークから出るときに感染したホストを特定するのに役立つ一方、脆弱性検出シグネチャは、ネットワークに侵入する脅威からの保護に役立ちます。
たとえば、脆弱性検出シグネチャは、バッファ オーバーフロー、不正なコード実行、システムの脆弱性を悪用するその他の試みからの保護に役立ちます。デフォルトの脆弱性検出のシグネチャは、クライアントとサーバーですべての既知の脅威(重大、高、中レベル)を検出します。
スパイウェア対策シグネチャは、侵害されたホスト上のスパイウェアを検出するために使用されます。こういったスパイウェアは、外部のコマンド アンド コントロール(C2)サーバーに接続を試みる場合があります。Cloud IDS は、感染したホストでネットワークから発信される悪意のあるトラフィックを検出すると、アラートを生成して脅威ログに保存し、Google Cloud コンソールに表示させます。
脅威の重大度
脅威シグネチャの重大度は、検出されたイベントのリスクを示すものです。Cloud IDS は、一致するトラフィックに対してアラートを生成します。デフォルトのシグネチャセットで選択できるのは、一番低い重大度レベルです。次の表に示すのは、脅威の重大度です。
| 重大度 | 説明 |
|---|---|
| 重大 | 広くデプロイされているソフトウェアのデフォルト インストールに影響するものなど重大な脅威によりサーバーのルート侵害が行われ、攻撃者によってエクスプロイト コードが広く利用されています。一般的に攻撃者は、特別な認証情報や個々の被害者に関する情報を知らなくても、ターゲットに特別な機能を実行させなくても攻撃できます。 |
| 高 | 重大になる可能性はあるものの、緩和できる要因がある脅威。たとえば、悪用が困難である、権限昇格が発生しない、多数の被害者プールがない、などが該当します。 |
| 中 | 影響が最低限でターゲットが侵害されない脅威、または攻撃者が被害者と同じローカル ネットワーク上に配置される必要がある脆弱性利用型不正プログラムは、標準以外の構成または難読化されたアプリケーションにのみ影響するか、アクセスが非常に限定的です。 |
| 低 | 組織のインフラストラクチャにほとんど影響を与えない警告レベルの脅威。通常、ローカルまたは物理的なシステムへのアクセスを目的としており、被害者のプライバシーの問題や情報漏洩につながる可能性があります。 |
| 情報 | 差し迫った脅威ではないが、潜在的な問題の可能性があるとの注意喚起のために報告される不審なイベント。 |
脅威の例外
Cloud IDS により脅威に対して必要以上のアラートが生成されていると判断した場合は、--threat-exceptions フラグを使用して、ノイズの多いまたは不要な脅威 ID を無効にできます。Cloud IDS によって検出された既存の脅威の脅威 ID は、脅威ログで確認できます。例外は IDS エンドポイントあたり 99 個に制限されています。
コンテンツの更新頻度
Cloud IDS では、すべてのシグネチャがユーザーの介入なしで自動的に更新されるため、ユーザーがシグネチャの管理や更新から解放されて、脅威の分析と解決に集中できます。コンテンツの更新には、脆弱性 ID やスパイウェア対策の署名など、アプリケーション ID と脅威シグネチャなどがあります
Palo Alto Networks からの更新は、Cloud IDS によって毎週取得され、既存のすべての IDS エンドポイントに push されます。更新レイテンシは最大で約 48 時間です。
ロギング
Cloud IDS の一部の機能により、脅威ログに送信されるアラートが生成されます。ロギングについて詳しくは、Cloud IDS のロギングをご覧ください。
制限事項
- Cloud Next Generation Firewall L7 インスペクション ポリシーと Cloud IDS エンドポイント ポリシーを使用する場合は、ポリシーを同じトラフィックに適用しないようにしてください。ポリシーが重複する場合、L7 インスペクション ポリシーが優先され、トラフィックはミラーリングされません。
次のステップ
- Cloud IDS の設定について Cloud IDS を構成するで確認する