Cloud IDS：網路入侵偵測系統

Cloud IDS 簡介

雖然防火牆 (第 4 層) 和 Cloud Armor (第 7 層) 可以阻擋已知的惡意流量，但 Cloud IDS (入侵偵測系統) 的設計目的是「傾聽」已經進入您網路內部的流量。它提供深度封包檢測 (DPI)，以識別惡意活動，例如惡意軟體、間諜軟體以及可能繞過其他防線的指令與控制 (C2) 通訊。

對於 專業雲端安全工程師 (PSE) 而言，Cloud IDS 是 VPC 的「監視攝影機」。它不會阻斷流量 (它不是 IPS)，但它能為橫向移動和資料外洩嘗試提供關鍵的可視性，其背後由 Palo Alto Networks 業界領先的威脅情資提供支援。

白話文解釋

1. 監視攝影機 (IDS)

VPC 防火牆和 Cloud Armor 就像是鎖著的門和保安人員。Cloud IDS 則是走廊上的監視攝影機。它不會阻止某人走進門，但它會記錄下他們進入後的一舉一動。如果它看到有人試圖撬開保險箱 (伺服器) 的鎖，它就會向安全性團隊發出警報。

2. 竊聽器 (封包鏡像)

想像您懷疑大樓內有間諜在活動。您不打算停止每個人的活動，而是竊聽電話線 (封包鏡像)。您將每段對話的副本發送給一組專家 (Cloud IDS)，他們會傾聽其中是否包含密碼或可疑指令。通話者不知道自己正被記錄，且他們的通話也不會因此延遲。

3. 血液檢查 (威脅分析)

將 Cloud IDS 想像成網路的血液檢查。它分析數據的「流動」，尋找感染 (惡意軟體) 或外來代理 (間諜軟體) 的跡象。它不直接阻止感染，但它會告訴醫生 (PSE) 確切的問題所在，以便開出正確的處方 (防火牆規則或事件回應)。

為 VPC 安全架構 Cloud IDS

Cloud IDS 採用使用 Private Service Connect (PSC) 的「服務生產者」模型構建。

關鍵組件：

• IDS 端點 (IDS Endpoint)： 位於 Google 擁有的專案中的代管資源，該專案與您的 VPC 建立對等互連。
• 封包鏡像 (Packet Mirroring)： 一項 VPC 功能，可複製選定 VM 或子網路的流量並將其發送到 IDS 端點。
• 威脅偵測引擎： 由 Palo Alto Networks 提供技術支援，根據數千個已知威脅特徵碼分析鏡像流量。

管理 IDS 端點與封包鏡像

IDS 端點設定：

1. 啟用 Cloud IDS API。
2. 建立連向 IDS 服務的 Private Service Connect (PSC) 連線。
3. 在特定區域建立 IDS 端點。

封包鏡像策略 (Packet Mirroring Policy)：

• 鏡像來源： 可以是特定的子網路、網路標記或個別 VM 執行個體。
• 收集器 (Collector)： 您建立的 IDS 端點。
• 流量篩選器： 您可以選擇鏡像所有流量，或僅鏡像特定的通訊協定/埠以節省處理成本。

分析威脅：惡意軟體、間諜軟體與 C2

Cloud IDS 使用特徵碼偵測廣泛的威脅。

• 惡意軟體 (Malware)： 偵測正在下載且與已知惡意雜湊值相符的檔案。
• 間諜軟體 (Spyware)： 識別指示資料正被外洩至可疑網域的流量模式。
• 指令與控制 (C2)： 偵測「訊標 (Beaconing)」流量，即受損的 VM 正向攻擊者的伺服器請求指令。
• 漏洞掃描： 識別內部或外部行為者試圖掃描您的網路以尋找開放通訊埠或已知漏洞。

與 Security Command Center (SCC) 整合

Cloud IDS 並非孤立運作。其發現結果會自動發送到 Security Command Center (SCC)。

• 發現結果儀表板： 提供跨多個專案的所有 IDS 警報的集中視圖。
• 嚴重程度分級： 警報分為資訊、低、中、高或緊急。
• 後續步驟： SCC 提供緩解威脅的建議 (例如：「使用防火牆規則隔離此 VM」)。

效能影響與吞吐量考量

由於 Cloud IDS 使用封包鏡像，因此對您的應用程式零延遲影響。

• 吞吐量： 每個 IDS 端點都有特定的吞吐能力 (例如 5 Gbps)。
• 擴展性： 如果您的流量極高，可能需要多個 IDS 端點和多個封包鏡像策略。

多 VPC 與共用 VPC 檢查

Cloud IDS 在複雜的網路拓撲中運作良好。

• 共用 VPC (Shared VPC)： IDS 端點可以建立在宿主專案 (Host Project) 中，且封包鏡像可以套用於任何服務專案 (Service Project) 中的 VM。
• VPC 對等互連： 您必須在每個想要檢查流量的 VPC 中建立 IDS 端點，因為封包鏡像預設不會跨越 VPC 對等互連邊界。

IDS 規則設定檔與威脅嚴重程度

您可以選擇不同的威脅例外 (Threat Exception) 設定檔來減少干擾。

• 預設設定檔： 偵測所有緊急和高嚴重程度的威脅。
• 自定義例外： 如果您有會觸發 IDS 警報的合法工具 (例如漏洞掃描器)，您可以在 IDS 策略中「靜音 (Silence)」該特定特徵碼。

警報與調查工作流程

當 Cloud IDS 發現威脅時：

1. 警報： 在 Cloud Logging 和 SCC 中建立一條條目。
2. 通知： 使用 Pub/Sub 或 SCC 通知將警報發送到您的 SOC (安全性營運中心) 或透過 PagerDuty/Slack 發送。
3. 調查： 使用 Cloud Logging 查看原始封包元數據 (來源 IP、目的 IP、通訊埠、通訊協定以及特定的威脅特徵碼 ID)。

Cloud IDS 與合作夥伴解決方案的比較

為什麼選擇 Cloud IDS 而不是第三方 NVA (網路虛擬應用裝置)，如 Fortinet 或 Check Point VM？

• 免管理： Cloud IDS 是完全代管的；無需修補或擴展底層 VM。
• 原生整合： 與 GCP 帳單、IAM 和 SCC 整合。
• 無瓶頸： 由於它是頻外的，它不會導致您的網路崩潰。

對 IDS 發現結果的自動化回應

雖然 Cloud IDS 不直接阻斷流量，但您可以使用 Cloud Functions 自動執行回應。

• 工作流程： IDS 發現 → SCC 警報 → Pub/Sub → Cloud Function → 更新防火牆規則為 DENY (拒絕) 來源 IP。
• 這提供了一個能在數秒內對威脅做出反應的「閉迴路」安全性系統。

Cloud IDS 的 CLI 指令

建立 IDS 端點

gcloud ids endpoints create my-ids-endpoint \
    --network=my-vpc \
    --region=us-central1 \
    --severity=MEDIUM

建立封包鏡像策略

gcloud compute packet-mirrorings create my-mirroring \
    --region=us-central1 \
    --network=my-vpc \
    --collector-ilb=ids-endpoint-forwarding-rule \
    --mirrored-subnets=my-subnet

PSE 安全性最佳實踐

1. 鏡像「東西向」流量： 不要只看來自網際網路的流量。也要鏡像子網路之間的流量，以偵測橫向移動。
2. 篩選鏡像： 僅鏡像您感興趣的流量 (例如跳過內部備份流量)，以保持在吞吐量限制內。
3. 使用 SCC Premium： SCC Premium 為 IDS 發現結果提供更深層次的分析和歷史背景。
4. 定期檢視例外情況： 確保被「靜音」的警報仍然有效，且沒有變成安全盲點。

故障排除情境

情境：儘管有已知攻擊，IDS 卻未顯示任何威脅

診斷： 檢查封包鏡像策略。確保來源 VM 已正確指定，且流量在被鏡像之前未被 VPC 防火牆丟棄。 修正： 驗證封包鏡像狀態，並確保流量符合鏡像篩選器。

情境：IDS 端點建立失敗，顯示「網路」錯誤

診斷： 您可能缺少 Private Service Access 範圍，或者您的 VPC 與 Google IDS 專案之間的對等互連尚未建立。 修正： 在建立 IDS 端點之前，先為您的 VPC 設定 Private Service Access。

PSE 考試情境

情境 1：偵測橫向移動

「安全性工程師懷疑 'web' 子網路中受損的 VM 正試圖掃描 'database' 子網路。在不影響網路效能的情況下，確認此情況最有效的方法是什麼？」 答案： 部署 Cloud IDS。建立一個鏡像來自 'web' 子網路所有流量的封包鏡像策略，並將其發送到 IDS 端點進行分析。

情境 2：DPI 的監管合規性

「一項金融法規要求對所有包含 PII 的流量進行深度封包檢測 (DPI)。如何以代管方式實施？」 答案： 使用 Cloud IDS。它提供代管的 DPI 並與 SCC 整合以報告發現結果，滿足入侵偵測的監管要求。

總結清單

• 描述 IDS (偵測) 與 IPS (防護) 的區別。
• 解釋封包鏡像如何與 Cloud IDS 協同工作。
• 列出使用 PSC 建立 IDS 端點的步驟。
• 識別 Cloud IDS 偵測到的威脅類別 (惡意軟體、C2 等)。
• 了解 SCC 在管理 IDS 發現結果中的作用。