Vérifier qu'un point de terminaison IDS est fonctionnel
Pour vérifier qu'un point de terminaison IDS est fonctionnel, procédez comme suit:
- Vérifiez que le point de terminaison de l'IDS apparaît dans la console Google Cloud de Cloud IDS et qu'une règle de mise en miroir de paquets est définie dans la colonne
Attached Policies. - Assurez-vous que la règle jointe est activée en cliquant sur son nom, et vérifiez que
Policy Enforcementest défini sur Enabled (Activé). - Pour vérifier que le trafic est mis en miroir, choisissez une instance de VM dans le VPC surveillé, accédez à l'onglet Observabilité et assurez-vous que le tableau de bord
Mirrored Bytesindique que le trafic est mis en miroir sur le point de terminaison de l'IDS. - Assurez-vous que le même trafic (ou VM) n'est pas affecté par plusieurs règles de mise en miroir de paquets, car chaque paquet ne peut être mis en miroir que vers une seule destination. Vérifiez la colonne
Attached Policieset assurez-vous qu'il n'y a qu'une seule règle par VM. Générez une alerte de test en vous connectant à une VM du réseau surveillé à l'aide de SSH, puis exécutez la commande suivante:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Si curl n'est pas disponible sur la plate-forme, vous pouvez utiliser un outil similaire pour effectuer des requêtes HTTP.
Après quelques secondes, une alerte doit s'afficher à la fois dans l'interface utilisateur de Cloud IDS et dans Cloud Logging (journal des menaces).
Décrypter le trafic pour l'inspection
Pour inspecter le trafic, Cloud IDS utilise la mise en miroir de paquets pour envoyer des copies au niveau des paquets du trafic configuré à la VM IDS. Même si la destination du collecteur reçoit tous les paquets mis en miroir, les paquets qui transportent des données chiffrées à l'aide d'un protocole sécurisé tel que TLS, HTTPS ou HTTP2 ne peuvent pas être déchiffrés par Cloud IDS.
Par exemple, si vous utilisez HTTPS ou HTTP2 comme protocole de service de backend pour un équilibreur de charge d'application externe, les paquets envoyés aux backends de l'équilibreur de charge peuvent être mis en miroir dans Cloud IDS. Toutefois, les requêtes ne peuvent pas être inspectées par Cloud IDS, car les paquets contiennent des données chiffrées. Pour activer l'inspection Cloud IDS, vous devez définir le protocole de service de backend sur HTTP. Vous pouvez également utiliser Google Cloud Armor pour la prévention des intrusions et activer les journaux de l'équilibreur de charge d'application pour l'inspection des requêtes. Pour en savoir plus sur la journalisation des requêtes de l'équilibreur de charge d'application, consultez les pages Journalisation et surveillance de l'équilibreur de charge d'application externe global et Journalisation et surveillance de l'équilibreur de charge d'application externe régional.
Seul un petit volume de trafic est inspecté.
Cloud IDS inspecte le trafic envoyé ou reçu par les ressources dans les sous-réseaux mis en miroir, y compris les VM Google Cloud, les nœuds et les pods GKE.
Si un sous-réseau mis en miroir ne contient aucune VM, Cloud IDS n'a aucun trafic à inspecter.
Les règles de point de terminaison sont ignorées lorsque vous utilisez des règles d'inspection de niveau L7 Cloud NGFW
Lorsque vous utilisez des stratégies d'inspection de couche 7 Cloud Next Generation Firewall (règles avec l'action apply_security_profile_group) et Cloud IDS ensemble, les règles de stratégie de pare-feu sont évaluées et le trafic n'est pas mis en miroir pour l'inspection Cloud IDS. Pour éviter cette situation, assurez-vous que les règles d'inspection de couche 7 de Cloud NGFW ne s'appliquent pas aux paquets que vous devez inspecter avec Cloud IDS.