確認 IDS 端點是否正常運作
如要確認 IDS 端點是否正常運作,請按照下列步驟操作:
- 確認 Cloud IDS Google Cloud 主控台中顯示 IDS 端點,且
Attached Policies欄中顯示封包鏡像政策。 - 按一下政策名稱,確認已啟用所附政策,並確認
Policy Enforcement已設為「已啟用」。 - 如要確認流量是否已鏡像,請在受監控的 VPC 中選擇 VM 執行個體,前往「Observability」分頁,並確認「
Mirrored Bytes」資訊主頁顯示流量是否已鏡像至 IDS 端點。 - 請確認相同流量 (或 VM) 不會受到多個封包鏡像政策的影響,因為每個封包只能鏡像至一個目的地。請查看
Attached Policies欄,確認每個 VM 只有一個政策。 使用 SSH 連線至受監控網路中的 VM,產生測試警示,然後執行下列指令:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
如果平台上無法使用 curl,您可以使用類似的工具執行 HTTP 要求。
幾秒後,Cloud IDS UI 和 Cloud Logging (Threat Log) 都會顯示快訊。
解密待檢查的流量
為了檢查流量,Cloud IDS 會使用封包鏡像功能,將已設定流量的封包層級副本傳送至 IDS VM。即使收集器目的地會接收所有鏡像封包,但任何載有使用 TLS、HTTPS 或 HTTP2 等安全通訊協定加密的資料的封包,都無法由 Cloud IDS 解密。
舉例來說,如果您使用 HTTPS 或 HTTP2 做為外部應用程式負載平衡器的後端服務通訊協定,則傳送至負載平衡器後端的封包可鏡像至 Cloud IDS;不過,由於封包含有加密資料,Cloud IDS 無法檢查要求。如要啟用 Cloud IDS 檢查,您必須將後端服務通訊協定變更為 HTTP。或者,您可以使用 Google Cloud Armor 防範入侵,並啟用應用程式負載平衡器記錄,以便檢查要求。如要進一步瞭解應用程式負載平衡器要求記錄,請參閱「全域外部應用程式負載平衡器的記錄與監控」和「區域性外部應用程式負載平衡器的記錄與監控」。
只檢查少量流量
Cloud IDS 會檢查鏡像子網路中資源傳送或接收的流量,包括 Google Cloud VM、GKE 節點和 Pod。
如果鏡像子網路中沒有 VM,Cloud IDS 就沒有可檢查的流量。
使用 Cloud NGFW L7 檢查政策時,系統會忽略端點政策
當您同時使用 Cloud Next Generation Firewall L7 檢查政策 (含 apply_security_profile_group 動作的規則) 和 Cloud IDS 時,系統會評估防火牆政策規則,且不會將流量鏡像化,以便 Cloud IDS 進行檢查。如要避免這種情況,請確認 Cloud NGFW L7 檢查政策不會套用至您需要透過 Cloud IDS 檢查的封包。