Verificare che un endpoint IDS sia funzionale
Per verificare che un endpoint IDS sia funzionale, procedi nel seguente modo:
- Verifica che l'endpoint IDS venga visualizzato nella console Google Cloud di Cloud IDS e che nella colonna
Attached Policies
sia presente un criterio di mirroring dei pacchetti. - Assicurati che il criterio allegato sia attivato facendo clic sul nome del criterio e assicurati che
Policy Enforcement
sia impostato su Attivato. - Per verificare che il traffico venga sottoposto a mirroring, scegli un'istanza VM nel VPC monitorato, vai alla scheda Osservabilità e assicurati che la dashboard
Mirrored Bytes
mostri il traffico sottoposto a mirroring all'endpoint IDS. - Assicurati che lo stesso traffico (o la stessa VM) non sia interessato da più di un criterio di mirroring dei pacchetti, poiché ogni pacchetto può essere sottoposto a mirroring in una sola destinazione. Controlla la colonna
Attached Policies
e assicurati che sia presente un solo criterio per VM. Genera un avviso di prova utilizzando SSH per connetterti a una VM nella rete monitorata, quindi esegui il seguente comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se curl non è disponibile sulla piattaforma, puoi utilizzare uno strumento simile per eseguire richieste HTTP.
Dopo alcuni secondi, dovrebbe essere visualizzato un avviso sia nell'interfaccia utente di Cloud IDS sia in Cloud Logging (log delle minacce).
Decrittografia del traffico per l'ispezione
Per ispezionare il traffico, Cloud IDS utilizza Mirroring pacchetto per inviare alla VM IDS copie a livello di pacchetto del traffico configurato. Anche se la destinazione del collector riceve tutti i pacchetti sottoposti a mirroring, i pacchetti che trasportano dati criptati utilizzando un protocollo sicuro come TLS, HTTPS o HTTP2 non possono essere decriptati da Cloud IDS.
Ad esempio, se utilizzi HTTPS o HTTP2 come protocollo del servizio di backend per un bilanciatore del carico delle applicazioni esterno, i pacchetti inviati ai backend del bilanciatore del carico possono essere sottoposti a mirroring in Cloud IDS. Tuttavia, le richieste non possono essere ispezionate da Cloud IDS perché i pacchetti contengono dati criptati. Per attivare l'ispezione Cloud IDS, devi impostare il protocollo del servizio di backend su HTTP. In alternativa, puoi utilizzare Google Cloud Armor per la prevenzione delle intrusioni e attivare i log del bilanciatore del carico delle applicazioni per l'ispezione delle richieste. Per maggiori informazioni sul logging delle richieste del bilanciatore del carico delle applicazioni, consulta Logging e monitoraggio del bilanciatore del carico delle applicazioni esterno globale e Logging e monitoraggio del bilanciatore del carico delle applicazioni esterno regionale.
Viene ispezionato solo un volume ridotto di traffico
Cloud IDS controlla il traffico inviato a o ricevuto dalle risorse nelle sottoreti con mirroring, incluse le VM Google Cloud e i nodi e i pod GKE.
Se una subnet sdoppiata non contiene VM, Cloud IDS non ha traffico da ispezionare.
I criteri endpoint vengono ignorati quando si utilizzano i criteri di ispezione L7 di Cloud NGFW
Quando utilizzi contemporaneamente le norme di ispezione L7 di Cloud Next Generation Firewall (regole con l'azione apply_security_profile_group
) e Cloud IDS, le regole delle policy del firewall vengono valutate e il traffico non viene sottoposto a mirroring per l'ispezione di Cloud IDS. Per evitare questa situazione, assicurati che i criteri di ispezione L7 di Cloud NGFW non si applichino ai pacchetti che devi ispezionare con Cloud IDS.