IDS 엔드포인트가 작동하는지 확인
IDS 엔드포인트가 작동하는지 확인하려면 다음을 수행합니다.
- Cloud IDS Google Cloud 콘솔에 IDS 엔드포인트가 표시되고
Attached Policies
열에 패킷 미러링 정책이 있는지 확인합니다. - 정책 이름을 클릭하여 연결된 정책이 사용 설정되어 있는지 확인하고
Policy Enforcement
가 사용으로 설정되어 있는지 확인합니다. - 트래픽이 미러링되는지 확인하려면 미러링된 VPC에서 VM 인스턴스를 선택하고, 관측 가능성 탭으로 이동하고,
Mirrored Bytes
대시보드에 IDS 엔드포인트로 미러링 중인 트래픽이 표시되는지 확인합니다. - 각각의 패킷을 대상 하나에만 미러링할 수 있으므로 동일한 트래픽(또는 VM)이 여러 패킷 미러링 정책의 영향을 받지 않도록 합니다.
Attached Policies
열을 확인하고 VM당 정책이 하나만 있는지 확인합니다. 모니터링되는 네트워크에서 VM에 연결하기 위해 SSH를 사용해서 테스트 알림을 생성한 후 다음 명령어를 실행합니다.
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
플랫폼에서 curl을 사용할 수 없으면 비슷한 도구를 사용하여 HTTP 요청을 수행할 수 있습니다.
몇 초 후 Cloud IDS UI 및 Cloud Logging(위협 로그)에 모두 알림이 표시됩니다.
검사를 위해 트래픽 복호화
Cloud IDS는 복호화된 트래픽을 확인해야 합니다. L7 부하 분산기에서 트래픽을 복호화하거나 타사 어플라이언스를 배포할 수 있습니다. 부하 분산 수준에서 트래픽을 복호화하려면 다음 섹션을 참조하세요.
외부 애플리케이션 부하 분산기에는 SSL 인증서가 필요하므로 부하 분산기와 클라이언트 간의 SSL 트래픽이 암호화됩니다. GFE에서 백엔드로의 트래픽은 Cloud IDS가 검사할 수 있는 표준 HTTP 트래픽입니다. 복호화를 설정하려면 다음 리소스를 참조하세요.
소량의 트래픽만 검사됩니다.
Cloud IDS는 VM 또는 GKE 포드에 대한 트래픽만 검사할 수 있습니다. 서브넷 또는 VPC에 VM 또는 GKE 포드가 포함되지 않은 경우 Cloud IDS는 다른 리소스에 연결되는 트래픽을 검사할 수 없습니다.
Cloud Next Generation Firewall을 사용할 때 엔드포인트 정책이 무시됨
Cloud Next Generation Firewall L7 검사 정책 및 Cloud IDS 엔드포인트 정책을 사용할 때는 정책이 동일한 트래픽에 적용되지 않도록 해야 합니다. 만약 정책이 겹치면 L7 검사 정책이 우선하며 트래픽이 미러링되지 않습니다.