Verifique se um ponto final do IDS está funcional
Para confirmar que um ponto final do IDS está funcional, faça o seguinte:
- Verifique se o ponto final do IDS aparece na consola do Cloud IDS e se existe uma política de replicação de pacotes na coluna
Attached Policies. Google Cloud - Certifique-se de que a política anexada está ativada clicando no nome da política e
certifique-se de que
Policy Enforcementestá definido como Ativado. - Para verificar se o tráfego está a ser duplicado, escolha uma instância de VM na VPC monitorizada, aceda ao separador Observabilidade e certifique-se de que o painel de controlo
Mirrored Bytesmostra o tráfego a ser duplicado para o ponto final do IDS. - Certifique-se de que o mesmo tráfego (ou VM) não é afetado por mais do que uma política de espelhamento de pacotes, uma vez que cada pacote só pode ser espelhado para um destino. Verifique a coluna
Attached Policiese certifique-se de que existe apenas uma política por VM. Gere um alerta de teste através do SSH para se ligar a uma VM na rede monitorizada e, em seguida, execute o seguinte comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se o curl não estiver disponível na plataforma, pode usar uma ferramenta semelhante para fazer pedidos HTTP.
Após alguns segundos, deve ser apresentado um alerta na IU do Cloud IDS e no Cloud Logging (Registo de ameaças).
Desencriptar tráfego para inspeção
Para inspecionar o tráfego, o Cloud IDS usa a replicação de pacotes para enviar cópias ao nível do pacote do tráfego configurado para a VM do IDS. Embora o destino do coletor receba todos os pacotes espelhados, o Cloud IDS não consegue desencriptar os pacotes que transportam dados encriptados através de um protocolo seguro, como TLS, HTTPS ou HTTP2.
Por exemplo, se usar HTTPS ou HTTP2 como o protocolo de serviço de back-end para um balanceador de carga de aplicações externo, os pacotes enviados para os back-ends do balanceador de carga podem ser duplicados para o Cloud IDS. No entanto, os pedidos não podem ser inspecionados pelo Cloud IDS porque os pacotes transportam dados encriptados. Para ativar a inspeção do IDS na nuvem, tem de alterar o protocolo do serviço de back-end para HTTP. Em alternativa, pode usar o Google Cloud Armor para a prevenção de intrusões e ativar os registos do equilibrador de carga da aplicação para a inspeção de pedidos. Para mais informações sobre o registo de pedidos do balanceador de carga de aplicações, consulte os artigos Registo e monitorização do balanceador de carga de aplicações externo global e Registo e monitorização do balanceador de carga de aplicações externo regional.
Apenas é inspecionado um pequeno volume de tráfego
O Cloud IDS inspeciona o tráfego enviado ou recebido por recursos em sub-redes espelhadas, incluindo VMs, nós do GKE e pods. Google Cloud
Se uma sub-rede espelhada não contiver VMs, o Cloud IDS não tem tráfego para inspecionar.
As políticas de pontos finais são ignoradas quando usa políticas de inspeção L7 do NGFW na nuvem
Quando usa as políticas de inspeção da camada 7 (regras com a ação apply_security_profile_group) da firewall de nova geração da nuvem e o Cloud IDS em conjunto, as regras da política de firewall são avaliadas e o tráfego não é espelhado para inspeção do Cloud IDS. Pode evitar esta situação garantindo que as políticas de inspeção da camada 7 do Cloud NGFW não se aplicam a pacotes que precisa de inspecionar com o Cloud IDS.