今年8月,谷歌云宣布Cloud IDS(Intrusion Dection Service) 开始公开预览。
Cloud IDS是Google Cloud与Palo Alto多年合作研发的产物,双方一起把Palo Alto强大的Threat Prevention Service (入侵检测与响应云服务)在Google云中重构,以Google Cloud 原生服务的形式提供给Google Cloud 的用户。
一、Google Cloud IDS 服务产生的背景
随着网络安全边界的模糊化,网络安全的重要性已经无需多谈。然而,如何为部署在公有云环境的工作负载做好安全防护,却是一个难题:因为目前所有方案都需要把packet镜像到云商之外的第三方安防平台中去做检查,这样做就会遇到如下困难:
1)需要事先对业务系统的流量做预估,以此为基础规划设计镜像系统的功能与容量;
2)Packet Mirroring需要做复杂的设置,而且对性能监测、管理复杂;
3)对流量的变化, 缺乏动态的适应能力,尤其是当流量突然出现峰值的时候;
4)受Packet Mirrroring能力的限制,检查大多限于南北流量,然而对东西向的巨大流量还无法提供安全防护
在这样的情况下,如果公有云平台可以提供一个原生的入侵检测服务,是不是可以解决用户的上述痛点呢?这就是Google与Palo Alto共同打造Cloud IDS 原生入侵检测服务的初衷。
二、Cloud IDS的使用方式:
首先,用户需要先在谷歌云中创建至少一个Cloud IDS Endpoint, 这个Endpoint会自动在后台创建3台Palo Alto的VM系列防火墙实例。
然后,用户需要为每个新创建的IDS Endpoint设置流量镜像策略。流量镜像功能是通过谷歌云原生的Packet Mirroring Service以及Private Service Access这两个服务共同实现的。
镜像策略通常有3种模式:
1)将subnet内所有实例的流量全部镜像,一个策略最多可对5个subnet进行操作;
2)基于组标签(Tags),将对散布于多个subnet的一组实例进行统一镜像转发,同样,一个策略最多支持5个标签;
3)对单个实例进行流量镜像转发,一个策略最多支持50个实例。
再然后,Cloud IDS Endpoint就可以接收Google 云的Packet Monitorng 服务和Private Service Access服务镜像过来的流量并进行威胁检测了。如果检测到威胁,会将Alerts发送给用户。
因为Cloud IDS及其调用的Packet Monitoring和Private Service Access都是Google云中原生的服务,所以用户在使用时,理论上无需担心服务的部署速度、性能、可用性、伸缩性,只需在管理界面上开通服务、设置好正确的策略即可。
Google Cloud IDS 原理
三、Google Cloud IDS 如何定价
Google Cloud IDS在预览期间免费,未来将有2种定价方式供用户选择:
1)按IDS实例运行时间收费
2)按IDS实际检查的流量(per GB)收费
四、Google Cloud IDS 与Palo Alto Threat Prevention Service的关系
Threat Prevention Service是Palo Alto的超级 IPS (Intrusion Prevention Solution) 云平台,它可以对网络中的漏洞利用、恶意软件、C&C等入侵攻击行为进行检测并将结果下发到客户商的Palo Alto NGFW,按客户策略进行下一步行动。Threat Prevention不但可以与Wildfire、URL Filtering等云服务无缝集成,还可以与Snort等第三方自动化工具配合使用,将网络安全集成到客户的网络管理方案中。可以说,Threat Prevention虽然是Palo Alto NGFW的必选基础服务,但其在Palo Alto产品体系中的重要性,却完全不可以用“基础”来形容。Threat Prevention是Palo Alto吸引用户的一大利器。
Google Cloud IDS几乎是Palo Alto Threat Prevention在谷歌云中的复刻,Cloud IDS不但拥有Threat Prevention 强大的威胁检测能力,还具有与谷歌云中业务系统同步的弹性伸缩能力,这点是对Threat Prevention能力的超越。
那么,问题来了,Palo Alto将如此重要的一项服务放在Google云中,对Palo Alto未来的业务会产生何种影响?