验证 IDS 端点是否正常运行
如需确认 IDS 端点是否正常运行,请执行以下操作:
- 验证 Cloud IDS Google Cloud 控制台中是否显示了相应 IDS 端点,以及
Attached Policies列中是否显示了数据包镜像政策。 - 点击政策名称,确保
Policy Enforcement已设置为已启用,进而确保已启用关联的政策。 - 如需验证是否正在镜像流量,请在受监控的 VPC 中选择一个虚拟机实例,前往可观测性标签页,并确保
Mirrored Bytes信息中心显示流量正在镜像到 IDS 端点。 - 确保同一流量(或虚拟机)不会受到多项数据包镜像政策的影响,因为每个数据包只能镜像到一个目的地。检查
Attached Policies列,确保每个虚拟机只有一项政策。 使用 SSH 连接到受监控网络中的虚拟机,然后运行以下命令,以生成测试提醒:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
如果平台不支持 curl,您可以使用类似的工具来执行 HTTP 请求。
几秒钟后,Cloud IDS 界面和 Cloud Logging(威胁日志)中都应显示一条提醒。
解密流量以进行检查
为了检查流量,Cloud IDS 使用数据包镜像将配置的流量的数据包级副本发送到 IDS 虚拟机。即使收集器目标接收所有镜像数据包,Cloud IDS 也无法解密使用安全协议(如 TLS、HTTPS 或 HTTP2)加密的任何数据包。
例如,如果您使用 HTTPS 或 HTTP2 作为外部应用负载均衡器的后端服务协议,则发送到负载均衡器后端的数据包可以镜像到 Cloud IDS;不过,Cloud IDS 无法检查这些请求,因为数据包携带的是加密数据。如需启用 Cloud IDS 检查,您必须将后端服务协议更改为 HTTP。或者,您也可以使用 Google Cloud Armor 防范入侵行为,并启用应用负载均衡器日志以检查请求。如需详细了解应用负载均衡器请求日志记录,请参阅全球外部应用负载均衡器日志记录和监控,以及区域级外部应用负载均衡器日志记录和监控。
仅检查少量流量
Cloud IDS 会检查镜像子网中资源(包括 Google Cloud 虚拟机、GKE 节点和 Pod)发送或接收的流量。
如果所镜像的子网不包含任何虚拟机,Cloud IDS 就没有流量可供检查。
使用 Cloud NGFW L7 检查政策时,系统会忽略端点政策
当您将 Cloud Next Generation Firewall L7 检查政策(包含 apply_security_profile_group 操作的规则)与 Cloud IDS 结合使用时,系统会评估防火墙政策规则,并且不会镜像流量来进行 Cloud IDS 检查。要避免出现这种情况,请确保 Cloud NGFW L7 检查政策不会应用于您需要使用 Cloud IDS 检查的数据包。