Résoudre les problèmes liés aux points de terminaison et à l'inspection

Vérifier qu'un point de terminaison IDS fonctionne

Pour vérifier qu'un point de terminaison IDS fonctionne, procédez comme suit:

  1. Vérifiez que le point de terminaison IDS apparaît dans la console Google Cloud de Cloud IDS et que la colonne Attached Policies contient une règle de mise en miroir de paquets.
  2. Assurez-vous que la stratégie associée est activée en cliquant sur son nom et assurez-vous que Policy Enforcement est défini sur Enabled (Activé).
  3. Pour vérifier que le trafic est mis en miroir, choisissez une instance de VM dans le VPC surveillé, accédez à l'onglet Observabilité et assurez-vous que le tableau de bord Mirrored Bytes affiche le trafic mis en miroir sur le point de terminaison IDS.
  4. Assurez-vous que le même trafic (ou VM) n'est pas affecté par plusieurs règles de mise en miroir de paquets, car chaque paquet ne peut être mis en miroir que sur une seule destination. Vérifiez la colonne Attached Policies et assurez-vous qu'il n'y a qu'une seule règle par VM.

  5. Générez une alerte de test en utilisant SSH pour vous connecter à une VM dans le réseau surveillé, puis exécutez la commande suivante:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd

    Si curl n'est pas disponible sur la plate-forme, vous pouvez utiliser un outil similaire pour effectuer des requêtes HTTP.

    Après quelques secondes, une alerte doit s'afficher à la fois dans l'interface utilisateur de Cloud IDS et dans Cloud Logging (journal des menaces).

Déchiffrer le trafic pour inspection

Cloud IDS doit accéder au trafic déchiffré. Vous pouvez déchiffrer le trafic au niveau de l'équilibreur de charge L7 ou déployer un dispositif tiers. Si vous souhaitez déchiffrer le trafic au niveau de l'équilibrage de charge, lisez la section suivante.

Étant donné que les équilibreurs de charge d'application externes nécessitent des certificats SSL, le trafic SSL entre l'équilibreur de charge et le client est chiffré. Le trafic du GFE vers les backends correspond au trafic HTTP standard que Cloud IDS peut inspecter. Consultez les ressources suivantes pour configurer le déchiffrement:

Seul un faible volume de trafic est inspecté

Cloud IDS ne peut inspecter le trafic vers des VM ou des pods GKE que. Si votre sous-réseau ou VPC ne contient pas de VM ni de pods GKE, Cloud IDS ne peut pas inspecter le trafic dirigé vers vos autres ressources.