Verificare che un endpoint IDS funzioni
Per confermare che un endpoint IDS sia funzionante, effettua le seguenti operazioni:
- Verifica che l'endpoint IDS venga visualizzato nella console Google Cloud di Cloud IDS.
e che nella colonna
Attached Policies
sia presente un criterio di mirroring pacchetto. - Assicurati che il criterio collegato sia abilitato facendo clic sul nome del criterio e
assicurati che
Policy Enforcement
sia impostato su Attivato. - Per verificare che il traffico venga sottoposto a mirroring, scegli un'istanza VM nella
VPC monitorato, vai alla scheda Osservabilità e assicurati che la dashboard
Mirrored Bytes
mostri il traffico sottoposto a mirroring all'endpoint IDS. - Assicurati che lo stesso traffico (o VM) non sia interessato da più di una
criterio di mirroring pacchetto, poiché ogni pacchetto può essere sottoposto a mirroring
destinazione. Controlla la colonna
Attached Policies
e assicurati che sia presente con un solo criterio per VM. Genera un avviso di test utilizzando SSH per connetterti a una VM nella quindi esegui questo comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se curl non è disponibile sulla piattaforma, puoi usare uno strumento simile per richieste HTTP.
Dopo alcuni secondi, dovrebbe apparire un avviso sia nella UI di Cloud IDS che in Cloud Logging (log delle minacce).
Decrittografia del traffico per l'ispezione
Cloud IDS deve vedere il traffico decriptato. Puoi decriptare il traffico al carico L7 di un bilanciatore del carico o di un'appliance di terze parti. Se vuoi decriptare il traffico a livello di bilanciamento del carico, leggi la sezione seguente.
Poiché i bilanciatori del carico delle applicazioni esterni richiedono certificati SSL, il traffico SSL tra il carico e il client è criptato. Il traffico dal GFE ai backend è per il traffico HTTP standard, che Cloud IDS può esaminare. Consulta quanto segue: risorse per configurare la decrittografia:
Viene ispezionato solo un volume di traffico ridotto
Cloud IDS può ispezionare solo il traffico verso VM o pod GKE. Se la subnet o il VPC non contiene VM o pod GKE, Cloud IDS non può ispezionare il traffico diretto alle altre risorse.
I criteri degli endpoint vengono ignorati quando si utilizza Cloud Next Generation Firewall
Quando utilizzi i criteri di ispezione di Cloud Next Generation Firewall L7 e Cloud IDS dei tuoi endpoint, assicurati che i criteri non si applichino allo stesso traffico. Se i criteri si sovrappongono, il criterio di ispezione L7 ha la priorità e il traffico non viene sottoposto a mirroring.