Verifica se un endpoint IDS funziona
Per verificare se un endpoint IDS funziona, segui questi passaggi:
- Verifica che l'endpoint IDS sia visualizzato nella console Cloud IDS Google Cloud e che esista una policy di Mirroring pacchetto nella colonna
Attached Policies. - Assicurati che la policy associata sia attivata facendo clic sul suo nome e
verifica che
Policy Enforcementsia impostato su Abilitato. - Per verificare se il traffico è sottoposto a mirroring, scegli un'istanza VM nel VPC monitorato, vai alla scheda Osservabilità e assicurati che la dashboard
Mirrored Bytesmostri il traffico sottoposto a mirroring nell'endpoint IDS. - Assicurati che lo stesso traffico (o la stessa VM) non sia interessato da più di una policy di Mirroring pacchetto, poiché ogni pacchetto può essere sottoposto a mirroring in una sola destinazione. Controlla la colonna
Attached Policiese assicurati che ci sia una sola policy per VM. Genera un avviso di test utilizzando SSH per connetterti a una VM nella rete monitorata, quindi esegui questo comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se curl non è disponibile sulla piattaforma, puoi utilizzare uno strumento simile per eseguire le richieste HTTP.
Dopo alcuni secondi dovrebbe essere visualizzato un avviso sia nell'interfaccia utente di Cloud IDS, sia in Cloud Logging (log delle minacce).
Decrittografia del traffico per l'ispezione
Per ispezionare il traffico, Cloud IDS utilizza Mirroring pacchetto per inviare copie a livello di pacchetto del traffico configurato alla VM IDS. Anche se la destinazione dell'agente di raccolta riceve tutti i pacchetti sottoposti a mirroring, quelli che contengono dati criptati utilizzando un protocollo sicuro come TLS, HTTPS o HTTP2 non possono essere decriptati da Cloud IDS.
Ad esempio, se utilizzi HTTPS o HTTP2 come protocollo del servizio di backend per un bilanciatore del carico delle applicazioni esterno, i pacchetti inviati ai backend del bilanciatore del carico possono essere sottoposti a mirroring in Cloud IDS. Tuttavia, le richieste non possono essere ispezionate da Cloud IDS perché i pacchetti contengono dati criptati. Per attivare l'ispezione di Cloud IDS, devi modificare il protocollo del servizio di backend in HTTP. In alternativa, puoi utilizzare Google Cloud Armor per la prevenzione delle intrusioni e abilitare i log del bilanciatore del carico delle applicazioni per ispezionare le richieste. Per maggiori informazioni sul logging delle richieste del bilanciatore del carico delle applicazioni, consulta Logging e monitoraggio del bilanciatore del carico delle applicazioni esterno globale e Logging e monitoraggio del bilanciatore del carico delle applicazioni esterno regionale.
Viene ispezionata solo un piccola parte del traffico
Cloud IDS ispeziona il traffico inviato o ricevuto dalle risorse nelle subnet sottoposte a mirroring, incluse le Google Cloud VM e i nodi e i pod GKE.
Se una subnet sottoposta a mirroring non contiene VM, Cloud IDS non ha dati sul traffico da ispezionare.
Le policy degli endpoint vengono ignorate quando si utilizzano le policy di ispezione L7 di Cloud NGFW
Se utilizzi insieme le policy di ispezione L7 di Cloud Next Generation Firewall (regole con l'azione apply_security_profile_group) e Cloud IDS, le regole delle policy del firewall vengono valutate e il traffico non viene sottoposto a mirroring per l'ispezione di Cloud IDS. Puoi evitare questa situazione assicurandoti che
le policy di ispezione L7 di Cloud NGFW non si applichino ai pacchetti che
devi ispezionare con Cloud IDS.