G-gen の杉村です。これまでは Preview の扱いだった Google Cloud (GCP) のセキュリティサービスである Cloud IDS が 2021/11/10 に Generally Available となりました。
IDS は Intrusion Detection System の略語で、侵入検知システムのことです。主にネットワークトラフィックを検査することで有害なアクセスを検知することを目的とした仕組みを指します。しばしば IPS/IDS のように 侵入防止システムとセットで語られることが多いです。
Google Cloud (GCP) サービスの仲間入りを果たした Cloud IDS がどんなサービスなのか、解説していきます。
Cloud IDS とは
- 侵入、マルウェアによる通信、コマンド & コントロール通信をネットワーク上で検知する仕組み
- 侵入検知の機能だけを提供する。侵入を 防ぐ機能はない (Cloud Armor など他サービスと組み合わせる必要あり)
- North-South トラフィックも East-West トラフィックも両方検査可能 (※)
- VPC からトラフィックをミラーリング (複製) し Palo Alto Networks の脅威検知技術 で検査する
- 全トラフィックをミラーすることも、プロコトル・ IP レンジ・ Ingress/Egress などでトラフィックをフィルタしてミラーすることも可能
※ North-South トラフィックは「クラウドとインターネットの間」「クラウドとオンプレミスの間」など GCP と他環境の間の通信を指します。 East-West トラフィックは「 VM と VM の間」など GCP 内部の通信を指します。ネットワーク構成図において縦方向か横方向かのイメージです。
アーキテクチャ
IDS エンドポイント
Cloud IDS では IDS エンドポイント というリソースを作成します。
IDS エンドポイント自体はゾーンリソースですが、1つ作れば同じリージョン内の全ゾーンのトラフィックを検査できます。
IDS エンドポイントは Private services access の機能を使って、ユーザの VM と Google が管理する検査用 VM の間を接続します。
パラメータとして以下を持ちます。
- 最小のアラート (アラートとして扱う最小の重要度。 Critical > High > Medium > Low > Informational)
- トラフィックログ (ON or OFF)
トラフィックログ は、検知された脅威とは別に、ミラーリングしたトラフィックのログを JSON で生成します。
大量のログが Cloud Logging へ送信され利用料金が大きくなることが想定されますので、特に必要な理由がある場合を除いて、オフとすることが望ましいでしょう。
Packet mirroring policy
IDS エンドポイントを作成すると Packet mirroring policy をアタッチする必要があります。
このポリシーが、どのトラフィックを検査対象とするかを決定します。
Packet mirroring policy では以下のパラメータを持っています。
- ポリシーの状態 (有効 or 無効)
- ミラーリングの対象 (サブネット単位 or ネットワークタグ単位 or インスタンス単位)
- ミラーリングのフィルタ (プロトコル / IP レンジ / トラフィックの方向)
脅威検知
Application-ID
検査されるネットワークトラフィックは Palo Alto Networks がメンテナンスする Application-ID (App-ID) という ID により、どのアプリのトラフィックであるかが判断されます。
脅威検知された際、そのトラフィックが何のアプリケーションにより生成されたものなのかが、この App-ID によって分類されます。
App-ID は週次程度の頻度で更新されていき、 Cloud IDS のユーザーが意識しなくとも、自動でアップデートされていきます。
シグネチャーセット
Cloud IDS は シグネチャー によりトラフィックを検査します。
例として、以下のような挙動となります。
- バッファオーバーフロー、コードの不正実行、その他の脆弱性を突いたアクセスなどを検知
- スパイウェアからコマンド & コントロール (C&C) サーバへの通信を検知
重要度
検知された脅威は 5段階に分類 されます。
IDS エンドポイントの設定でどのレベルまでを検知対象とするかを指定できます。
| 重要度 | 説明 |
|---|---|
| Critical | 深刻。 サーバに深刻なダメージを与えるもの。またエクスプロイトコードが広く知られている、攻撃者が攻撃対象に関して認証情報や深い情報を必要としないなど、危険度が高い脅威 |
| High | 高。危険ではあるものの、エクスプロイトの難易度が高い、特権昇格に繋がらない、攻撃対象となり得る範囲が狭いなどの理由で "深刻" には分類されない脅威 |
| Medium | 中。インパクトは中程度で、攻撃者が同じローカルネットワークにいる必要があったり、標準的でない設定に対してのみ危険であったり、限定的な対象に対してのみ危険な脅威 |
| Low | 低。インパクトが小さく、ローカルネットワークもしくは物理的なアクセスが可能な場合のみ危険となりえるなどの理由で、警告レベルとされる脅威 |
| Informational | 情報レベル。直ちに脅威にはなり得ないが潜在的に危険な、疑わしい挙動など |
シグネチャーの更新頻度
App-ID やシグネチャーは、ユーザーが意識する必要なく、 自動的にアップデート されます。
Palo Alto Networks によるアップデートは、日次で Cloud IDS に反映されます。反映の遅れは、最大でも 48 時間とされています。
料金
Cloud IDS の料金は エンドポイントの存在する時間 単位の課金 + 処理したトラフィックの GB 単位の課金 の2軸となっています。
2021/11時点で料金は以下のようになっています。
- エンドポイント時間あたり: $1.50 / hour
- 処理データ量あたり: $0.07 / GB
最新の料金は必ず以下のドキュメントを参照してください。
参考: Pricing
上限
Cloud IDS には以下の上限 (Quotas) が設定されています。
コンソールの 割り当て 画面から緩和リクエストを送信することが可能です。
- ゾーンあたりの IDS エンドポイント数: デフォルト 10
- 分あたりの API リクエスト数: デフォルト 1,200
セットアップ
セットアップ手順
セットアップ方法は以下のドキュメントを参考にしてください。
大まかな流れは以下のとおりです。
IDS エンドポイントの作成時に待ち時間が 10 分ほどありますが、全体としては 30 分程度で構築することができます。
- Private service access を作成 (Cloud SQL などで既存のものがあれば利用可能)
- IDS エンドポイントを作成
- Packet mirroring policy を作成
動作確認
Google Compute Engine (GCE) のコンソールで対象 VM を選択し オブザーバビリティ タブを選択すると対象 VM の Cloud Monitoring メトリクス (指標) を見ることができます。
その中に Packet Monitoring という項目があります。
ここを見ると、対象 VM からパケットが IDS エンドポイントを通じてミラーリングされていることが分かります。
また、脅威が確実に検知されることを確かめるため、以下のコマンドを VM 上で実行しましょう。
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
しばらくすると Cloud IDS のコンソール画面で検知が High として脅威されていることが表示されます。
対象アラートをクリックすると、詳細を表示することができます。
参考: Troubleshooting
杉村 勇馬 (記事一覧)
クラウドソリューション部 部長
クラウド管理運用やネットワークに知見あり。AWSの全12資格をコンプリートしたので、次はGoogle Cloudの認定資格を狙っている。現在、Google Cloud認定資格は4冠。
2022年1月現在、ハマっているものはディズニープラスで見られるマーベルのドラマシリーズ。