Funktionsfähigkeit eines IDS-Endpunkts prüfen
So prüfen Sie, ob ein IDS-Endpunkt funktioniert:
- Prüfen Sie, ob der IDS-Endpunkt in der Google Cloud Console für Cloud IDS angezeigt wird und ob in der Spalte
Attached Policieseine Richtlinie für das Paketspiegeln vorhanden ist. - Prüfen Sie, ob die angehängte Richtlinie aktiviert ist, indem Sie auf den Richtliniennamen klicken. Außerdem muss
Policy Enforcementauf Aktiviert gesetzt sein. - Um zu prüfen, ob der Traffic gespiegelt wird, wählen Sie eine VM-Instanz im überwachten VPC aus, rufen Sie den Tab Observability (Sichtbarkeit) auf und prüfen Sie, ob im Dashboard
Mirrored BytesTraffic angezeigt wird, der an den IDS-Endpunkt gespiegelt wird. - Achten Sie darauf, dass derselbe Traffic (oder die selbe VM) nicht von mehreren Paketspiegelungsrichtlinien betroffen ist, da jedes Paket nur an ein Ziel gespiegelt werden kann. Prüfen Sie die Spalte
Attached Policiesund achten Sie darauf, dass nur eine Richtlinie pro VM vorhanden ist. Erstellen Sie eine Testbenachrichtigung, indem Sie über SSH eine Verbindung zu einer VM im überwachten Netzwerk herstellen und dann den folgenden Befehl ausführen:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Wenn curl auf der Plattform nicht verfügbar ist, können Sie ein ähnliches Tool zum Ausführen von HTTP-Anfragen verwenden.
Nach einigen Sekunden sollte sowohl in der Cloud IDS-Benutzeroberfläche als auch in Cloud Logging (Threat Log) eine Benachrichtigung angezeigt werden.
Traffic für die Prüfung entschlüsseln
Zur Prüfung des Traffics verwendet Cloud IDS die Paketspiegelung, um Kopien des konfigurierten Traffics auf Paketebene an die IDS-VM zu senden. Auch wenn das Ziel des Collectors alle gespiegelten Pakete empfängt, können Pakete, die Daten enthalten, die mit einem sicheren Protokoll wie TLS, HTTPS oder HTTP2 verschlüsselt wurden, nicht von Cloud IDS entschlüsselt werden.
Wenn Sie beispielsweise HTTPS oder HTTP2 als Back-End-Dienstprotokoll für einen externen Anwendungs-Load Balancer verwenden, können Pakete, die an die Back-Ends des Load Balancers gesendet werden, an Cloud IDS gespiegelt werden. Die Anfragen können jedoch nicht von Cloud IDS geprüft werden, da die Pakete verschlüsselte Daten enthalten. Wenn Sie die Cloud IDS-Prüfung aktivieren möchten, müssen Sie das Protokoll des Back-End-Dienstes in HTTP ändern. Alternativ können Sie Google Cloud Armor zur Intrusionsprävention verwenden und Application Load Balancer-Logs für die Anfrageprüfung aktivieren. Weitere Informationen zum Logging von Application Load Balancer-Anfragen finden Sie unter Logging und Monitoring für globale externe Application Load Balancer und Logging und Monitoring für regionale externe Application Load Balancer.
Es wird nur ein geringer Traffic geprüft.
Cloud IDS prüft Traffic, der an Ressourcen in gespiegelten Subnetzen gesendet oder von diesen empfangen wird, einschließlich Google Cloud-VMs und GKE-Knoten und ‑Pods.
Wenn ein gespiegeltes Subnetz keine VMs enthält, hat Cloud IDS keinen Traffic zu prüfen.
Endpunktrichtlinien werden bei Verwendung von Cloud NGFW-L7-Prüfungsrichtlinien ignoriert
Wenn Sie L7-Prüfungsrichtlinien der Cloud Next Generation Firewall (Regeln mit der Aktion apply_security_profile_group) und Cloud IDS zusammen verwenden, werden Firewallrichtlinien bewertet und der Traffic wird nicht für die Cloud IDS-Prüfung gespiegelt. Sie können diese Situation vermeiden, indem Sie dafür sorgen, dass die L7-Prüfungsrichtlinien von Cloud NGFW nicht auf Pakete angewendet werden, die Sie mit Cloud IDS prüfen müssen.