Verifica que un extremo de IDS funcione
Para confirmar que un extremo de IDS funcione, sigue los siguientes pasos:
- Verifica que el extremo del IDS aparezca en la consola de Google Cloud de IDS de Cloud y que haya una política de Duplicación de paquetes en la columna
Attached Policies. - Para asegurarte de que la política adjunta esté habilitada, haz clic en el nombre de la política y
verifica que
Policy Enforcementesté configurado como Habilitado. - Para verificar que se esté duplicando el tráfico, elige una instancia de VM en la
VPC supervisada, ve a la pestaña Observabilidad y asegúrate de que el panel
Mirrored Bytesmuestre que el tráfico se está duplicando en el extremo del IDS. - Asegúrate de que el mismo tráfico (o VM) no se vea afectado por más de una
política de Duplicación de paquetes, ya que cada paquete solo se puede duplicar en un
destino. Verifica la columna
Attached Policiesy asegúrate de que haya solo una política por VM. Para generar una alerta de prueba, usa SSH y conéctate a una VM en la red supervisada y, luego, ejecuta el siguiente comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Si curl no está disponible en la plataforma, puedes usar una herramienta similar para hacer solicitudes HTTP.
Después de unos segundos, debería aparecer una alerta en la IU de IDS de Cloud y en Cloud Logging (registro de amenazas).
Desencripta el tráfico para la inspección
Para inspeccionar el tráfico, IDS de Cloud usa la Duplicación de paquetes y envía copias a nivel de paquetes del tráfico configurado a la VM del IDS. Aunque el destino del recopilador recibe todos los paquetes duplicados, IDS de Cloud no puede desencriptar los paquetes que contienen datos encriptados con un protocolo seguro, como TLS, HTTPS o HTTP2.
Por ejemplo, si usas HTTPS o HTTP2 como protocolo de servicio de backend para un balanceador de cargas de aplicaciones externo, los paquetes enviados a los backends del balanceador de cargas se pueden duplicar en IDS de Cloud. Sin embargo, IDS de Cloud no puede inspeccionar las solicitudes porque los paquetes contienen datos encriptados. Para habilitar la inspección de IDS de Cloud, debes cambiar el protocolo del servicio de backend por HTTP. Como alternativa, puedes usar Google Cloud Armor para prevenir intrusiones y habilitar los registros del balanceador de cargas de aplicaciones con el objetivo de inspeccionar las solicitudes. Para obtener más información sobre el registro de solicitudes del balanceador de cargas de aplicaciones, consulta Registro y supervisión del balanceador de cargas de aplicaciones externo global y Registro y supervisión del balanceador de cargas de aplicaciones externo regional.
Solo se inspecciona un volumen pequeño de tráfico
IDS de Cloud inspecciona el tráfico que se envía a los recursos en subredes duplicadas o que estos reciben, incluidas las VMs de Google Cloud y los nodos y Pods de GKE.
Si una subred duplicada no contiene VMs, IDS de Cloud no tendrá tráfico para inspeccionar.
Se ignoran las políticas de extremos cuando se usan políticas de inspección de L7 de Cloud NGFW
Cuando usas IDS de Cloud y las políticas de inspección de L7 de Cloud Next Generation Firewall (reglas con la
acción apply_security_profile_group) juntos, se evalúan las reglas de la política
de firewall y no se duplica el tráfico para la inspección de
IDS de Cloud. Para evitar esta situación, asegúrate de que
las políticas de inspección de L7 de Cloud NGFW no se apliquen a los paquetes que
necesitas inspeccionar con IDS de Cloud.