Memverifikasi bahwa endpoint IDS berfungsi
Untuk mengonfirmasi bahwa endpoint IDS berfungsi, lakukan tindakan berikut:
- Pastikan endpoint IDS muncul di konsol Cloud IDS Google Cloud ,
dan bahwa ada kebijakan pencerminan paket di kolom
Attached Policies. - Pastikan kebijakan yang dilampirkan diaktifkan dengan mengklik nama kebijakan, dan
pastikan
Policy Enforcementditetapkan ke Enabled. - Untuk memverifikasi bahwa traffic sedang dicerminkan, pilih Instance VM di VPC yang dipantau, buka tab Observability, dan pastikan dasbor
Mirrored Bytesmenampilkan traffic yang dicerminkan ke endpoint IDS. - Pastikan traffic (atau VM) yang sama tidak terpengaruh oleh lebih dari satu
kebijakan duplikasi paket, karena setiap paket hanya dapat diduplikasi ke satu
tujuan. Periksa kolom
Attached Policies, dan pastikan hanya ada satu kebijakan per VM. Buat pemberitahuan pengujian menggunakan SSH untuk terhubung ke VM di jaringan yang dipantau, lalu jalankan perintah berikut:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Jika curl tidak tersedia di platform, Anda dapat menggunakan alat serupa untuk melakukan permintaan HTTP.
Setelah beberapa detik, pemberitahuan akan muncul di UI Cloud IDS dan di Cloud Logging (Threat Log).
Mendekripsi traffic untuk pemeriksaan
Untuk memeriksa traffic, Cloud IDS menggunakan Duplikasi Paket untuk mengirim salinan traffic yang dikonfigurasi di tingkat paket ke VM IDS. Meskipun tujuan kolektor menerima semua paket yang dicerminkan, setiap paket yang membawa data yang dienkripsi menggunakan protokol aman seperti TLS, HTTPS, atau HTTP2 tidak dapat didekripsi oleh Cloud IDS.
Misalnya, jika Anda menggunakan HTTPS atau HTTP2 sebagai protokol layanan backend untuk load balancer aplikasi eksternal, paket yang dikirim ke backend load balancer dapat dicerminkan ke Cloud IDS. Namun, permintaan tidak dapat diperiksa oleh Cloud IDS karena paket tersebut membawa data terenkripsi. Untuk mengaktifkan pemeriksaan Cloud IDS, Anda harus mengubah protokol layanan backend ke HTTP. Atau, Anda dapat menggunakan Google Cloud Armor untuk mencegah intrusi, dan mengaktifkan log load balancer aplikasi untuk pemeriksaan permintaan. Untuk mengetahui informasi selengkapnya tentang logging permintaan load balancer aplikasi, lihat Logging dan monitoring Load Balancer Aplikasi eksternal global dan Logging dan monitoring Load Balancer Aplikasi eksternal regional.
Hanya volume traffic kecil yang diperiksa
Cloud IDS memeriksa traffic yang dikirim ke atau diterima oleh resource di subnet yang dicerminkan, termasuk VM Google Cloud dan node serta Pod GKE.
Jika subnet yang dicerminkan tidak berisi VM, Cloud IDS tidak memiliki traffic untuk diperiksa.
Kebijakan endpoint diabaikan saat menggunakan kebijakan pemeriksaan L7 Cloud NGFW
Saat Anda menggunakan kebijakan pemeriksaan L7 Cloud Next Generation Firewall (aturan dengan tindakan apply_security_profile_group) dan Cloud IDS secara bersamaan, aturan kebijakan firewall dievaluasi dan traffic tidak dicerminkan untuk pemeriksaan Cloud IDS. Anda dapat menghindari situasi ini dengan memastikan bahwa
kebijakan inspeksi L7 Cloud NGFW tidak berlaku untuk paket yang
perlu Anda periksa dengan Cloud IDS.