Verificar se um endpoint do IDS está funcionando
Para confirmar se um endpoint do IDS está funcionando, faça o seguinte:
- Verifique se o endpoint do IDS aparece no console do Cloud IDS do Google Cloud
e se há uma política de espelhamento de pacotes na coluna
Attached Policies. - Para verificar se a política anexada está ativada, clique no nome dela e
confira se
Policy Enforcementestá definido como Ativado. - Para verificar se o tráfego está sendo espelhado, escolha uma instância de VM na
VPC monitorada, acesse a guia Observabilidade e confira se o painel
Mirrored Bytesmostra o tráfego sendo espelhado para o endpoint do IDS. - Verifique se o mesmo tráfego (ou VM) não é afetado por mais de uma
política de espelhamento de pacotes, já que cada pacote pode ser espelhado para apenas um
destino. Verifique a coluna
Attached Policiese confira se há apenas uma política por VM. Gere um alerta de teste usando SSH para se conectar a uma VM na rede monitorada e execute o seguinte comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se o curl não estiver disponível na plataforma, use uma ferramenta semelhante para fazer solicitações HTTP.
Depois de alguns segundos, um alerta vai aparecer na interface do Cloud IDS e no Cloud Logging (registro de ameaças).
Como descriptografar o tráfego para inspeção
Para inspecionar o tráfego, o Cloud IDS usa o espelhamento de pacotes para enviar cópias no nível do pacote do tráfego configurado para a VM do IDS. Embora o destino do coletor receba todos os pacotes espelhados, os pacotes que transportam dados criptografados usando um protocolo seguro, como TLS, HTTPS ou HTTP2, não podem ser descriptografados pelo Cloud IDS.
Por exemplo, se você usar HTTPS ou HTTP2 como o protocolo de serviço de back-end para um balanceador de carga de aplicativo externo, os pacotes enviados aos back-ends do balanceador de carga poderão ser espelhados para o Cloud IDS. No entanto, as solicitações não poderão ser inspecionadas pelo Cloud IDS porque os pacotes transportam dados criptografados. Para ativar a inspeção do Cloud IDS, mude o protocolo do serviço de back-end para HTTP. Como alternativa, use o Google Cloud Armor para prevenção de intrusão e ative os registros do balanceador de carga de aplicativo para inspeção de solicitações. Para mais informações sobre a geração de registros de solicitações do balanceador de carga de aplicativo, consulte Geração de registros e monitoramento do balanceador de carga de aplicativo externo global e Geração de registros e monitoramento de balanceador de carga de aplicativo externo e regional.
Apenas um pequeno volume de tráfego é inspecionado
O Cloud IDS inspeciona o tráfego enviado ou recebido por recursos em sub-redes espelhadas, incluindo VMs do Google Cloud e pods e nós do GKE.
Se uma sub-rede espelhada não tiver VMs, o Cloud IDS não terá tráfego para inspecionar.
Políticas de endpoint são ignoradas ao usar políticas de inspeção da camada 7 do Cloud NGFW
Quando você usa as políticas de inspeção da camada 7 do Cloud Next Generation Firewall (regras com a ação
apply_security_profile_group) e o Cloud IDS juntos, as regras da política de firewall
são avaliadas e o tráfego não é espelhado para inspeção do
Cloud IDS. Para evitar essa situação, verifique se as
políticas de inspeção da camada 7 do Cloud NGFW não se aplicam a pacotes que você
precisa inspecionar com o Cloud IDS.