IDS エンドポイントが機能していることを確認する
IDS エンドポイントが機能していることを確認するには、次の手順を行います。
- IDS エンドポイントが Cloud IDS Google Cloud コンソールに表示され、
Attached Policies列にパケット ミラーリング ポリシーがあることを確認します。 - ポリシー名をクリックして接続されたポリシーが有効になっており、
Policy Enforcementが Enabled に設定されていることを確認します。 - トラフィックがミラーリングされていることを確認するには、モニタリング対象の VPC で VM インスタンスを選択し、[オブザーバビリティ] タブに移動して、
Mirrored Bytesダッシュボードに IDS エンドポイントにミラーリングされるトラフィックが表示されていることを確認します。 - 各パケットを 1 つの宛先にのみミラーリングできるため、同じトラフィック(または VM)が複数のパケット ミラーリング ポリシーの影響を受けていないことを確認します。
Attached Policies列を確認し、VM ごとに 1 つのポリシーのみが存在することを確認します。 SSH を使用してモニタリング対象ネットワーク内の VM に接続し、テストアラートを生成してから、次のコマンドを実行します。
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
プラットフォームで curl を使用できない場合は、同様のツールを使用して HTTP リクエストを実行できます。
数秒後、Cloud IDS UI と Cloud Logging(脅威ログ)の両方にアラートが表示されます。
検査のためのトラフィックの復号
Cloud IDS は復号されたトラフィックを確認する必要があります。L7 ロードバランサでトラフィックを復号するか、サードパーティ アプライアンスをデプロイできます。ロード バランシング レベルでトラフィックを復号する場合は、次のセクションをご覧ください。
外部アプリケーション ロードバランサには SSL 証明書が必要であるため、ロードバランサとクライアント間の SSL トラフィックは暗号化されます。GFE からバックエンドへのトラフィックは標準の HTTP トラフィックであり、Cloud IDS で検査できます。復号の設定については、以下のリソースをご覧ください。
少量のトラフィックのみが検査される
Cloud IDS が検査できるのは、VM または GKE Pod へのトラフィックのみです。サブネットまたは VPC に VM または GKE Pod が含まれていない場合、Cloud IDS は他のリソースに向けられたトラフィックを検査できません。
Cloud 次世代ファイアウォールを使用する場合、エンドポイント ポリシーは無視される
Cloud 次世代ファイアウォール L7 の検査ポリシーと Cloud IDS エンドポイント ポリシーを使用する場合は、それらのポリシーが同じトラフィックに適用されないようにしてください。ポリシーが重複している場合、L7 検査ポリシーが優先され、トラフィックはミラーリングされません。