Vérifier qu'un point de terminaison IDS fonctionne
Pour confirmer qu'un point de terminaison IDS fonctionne, procédez comme suit:
- Vérifiez que le point de terminaison IDS apparaît dans la console Google Cloud de Cloud IDS et qu'il existe une règle de mise en miroir de paquets dans la colonne
Attached Policies
. - Cliquez sur le nom de la règle associée pour vérifier que celle-ci est activée, et assurez-vous que
Policy Enforcement
est défini sur Enabled (Activé). - Pour vérifier que le trafic est bien mis en miroir, choisissez une instance de VM dans le VPC surveillé, accédez à l'onglet Observabilité et assurez-vous que le tableau de bord
Mirrored Bytes
affiche le trafic mis en miroir vers le point de terminaison IDS. - Assurez-vous que le même trafic (ou VM) n'est pas affecté par plusieurs règles de mise en miroir de paquets, car chaque paquet ne peut être mis en miroir que vers une seule destination. Vérifiez la colonne
Attached Policies
et assurez-vous qu'il n'y a qu'une seule règle par VM. Générez une alerte de test en vous connectant via SSH à une VM dans le réseau surveillé, puis exécutez la commande suivante:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Si curl n'est pas disponible sur la plate-forme, vous pouvez utiliser un outil similaire pour effectuer des requêtes HTTP.
Après quelques secondes, une alerte doit s'afficher à la fois dans l'interface utilisateur de Cloud IDS et dans Cloud Logging (journal des menaces).
Déchiffrer le trafic pour inspection
Cloud IDS doit voir le trafic déchiffré. Vous pouvez déchiffrer le trafic au niveau de l'équilibreur de charge L7 ou déployer un dispositif tiers. Si vous souhaitez déchiffrer le trafic au niveau de l'équilibrage de charge, lisez la section suivante.
Étant donné que les équilibreurs de charge d'application externes nécessitent des certificats SSL, le trafic SSL entre l'équilibreur de charge et le client est chiffré. Le trafic du GFE vers les backends est un trafic HTTP standard que Cloud IDS peut inspecter. Consultez les ressources suivantes pour configurer le déchiffrement:
Seul un faible volume de trafic est inspecté
Cloud IDS ne peut inspecter le trafic que vers les VM ou les pods GKE. Si votre sous-réseau ou votre VPC ne contient aucune VM ni aucun pod GKE, Cloud IDS ne peut pas inspecter le trafic dirigé vers vos autres ressources.
Les règles des points de terminaison sont ignorées lors de l'utilisation du pare-feu Cloud nouvelle génération
Lorsque vous utilisez des stratégies d'inspection Cloud nouvelle génération de pare-feu L7 et des stratégies de point de terminaison Cloud IDS, assurez-vous que ces règles ne s'appliquent pas au même trafic. Si les règles se chevauchent, la règle d'inspection L7 est prioritaire et le trafic n'est pas mis en miroir.