Vérifier qu'un point de terminaison IDS fonctionne
Pour confirmer qu'un point de terminaison IDS fonctionne, procédez comme suit:
- Vérifiez que le point de terminaison IDS apparaît dans la console Google Cloud de Cloud IDS.
et qu'il existe une règle de mise en miroir de paquets dans la colonne
Attached Policies. - Assurez-vous que la stratégie associée est activée en cliquant sur son nom.
assurez-vous que
Policy Enforcementest défini sur Enabled (Activé). - Pour vérifier que le trafic est bien mis en miroir, choisissez une instance de VM dans le
accédez à l'onglet Observabilité et assurez-vous que le tableau de bord
Mirrored Bytesaffiche le trafic mis en miroir sur le point de terminaison IDS. - Assurez-vous que le même trafic (ou VM) n'est pas affecté par plusieurs
des règles de mise en miroir de paquets, car chaque paquet ne peut être mis en miroir
vers votre destination. Vérifiez la colonne
Attached Policieset assurez-vous qu'il existe une seule règle par VM. Générer une alerte de test en utilisant SSH pour se connecter à une VM dans l'environnement puis exécutez la commande suivante:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Si curl n'est pas disponible sur la plate-forme, vous pouvez utiliser un outil similaire pour des requêtes HTTP.
Après quelques secondes, une alerte devrait s'afficher à la fois dans l'UI Cloud IDS et dans Cloud Logging (journal des menaces).
Déchiffrer le trafic pour inspection
Cloud IDS doit voir le trafic déchiffré. Vous pouvez déchiffrer le trafic au niveau de la charge L7 ni déployer un dispositif tiers. Si vous souhaitez déchiffrer le trafic au niveau d'équilibrage de charge, lisez la section suivante.
Étant donné que les équilibreurs de charge d'application externes requièrent des certificats SSL, le trafic SSL entre les instances l'équilibreur de charge et le client est chiffré. Le trafic du GFE vers les backends le trafic HTTP standard, que Cloud IDS peut inspecter. Consultez les ressources suivantes : ressources pour la configuration du déchiffrement:
Seul un faible volume de trafic est inspecté
Cloud IDS ne peut inspecter le trafic que vers les VM ou les pods GKE. Si votre sous-réseau ou votre VPC ne contient aucune VM ni aucun pod GKE, Cloud IDS ne peut pas inspecter le trafic dirigé vers vos autres ressources.
Les règles des points de terminaison sont ignorées lors de l'utilisation du pare-feu Cloud nouvelle génération
Lorsque vous utilisez les règles d'inspection Cloud nouvelle génération de pare-feu L7 et Cloud IDS des stratégies de point de terminaison, assurez-vous qu'elles ne s'appliquent pas au même trafic. Si les règles se chevauchent, la règle d'inspection L7 est prioritaire, et le trafic n'est pas dupliquée.