IDS エンドポイントが機能していることを確認する
IDS エンドポイントが機能していることを確認するには、次の操作を行います。
- Cloud IDS Google Cloud コンソールに IDS エンドポイントが表示され、
Attached Policies列に Packet Mirroring ポリシーがあることを確認します。 - ポリシー名をクリックして接続されたポリシーが有効になっており、
Policy Enforcementが Enabled に設定されていることを確認します。 - トラフィックがミラーリングされていることを確認するには、モニタリング対象の VPC で VM インスタンスを選択し、[オブザーバビリティ] タブに移動して、
Mirrored Bytesダッシュボードに IDS エンドポイントにミラーリングされるトラフィックが表示されていることを確認します。 - 各パケットを 1 つの宛先にのみミラーリングできるため、同じトラフィック(または VM)が複数のパケット ミラーリング ポリシーの影響を受けていないことを確認します。
Attached Policies列を確認し、VM ごとに 1 つのポリシーのみがあることを確認します。 SSH を使用してモニタリング対象ネットワーク内の VM に接続し、次のコマンドを実行してテスト アラートを生成します。
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
プラットフォームで curl を使用できない場合は、同様のツールを使用して HTTP リクエストを実行できます。
数秒後、Cloud IDS UI と Cloud Logging(脅威ログ)の両方にアラートが表示されます。
検査のためにトラフィックを復号する
トラフィックを検査するために、Cloud IDS は Packet Mirroring を使用して、構成されたトラフィックのパケットレベルのコピーを IDS VM に送信します。コレクタの宛先はミラーリングされたすべてのパケットを受信しますが、TLS、HTTPS、HTTP2 などの安全なプロトコルを使用して暗号化されたデータを伝送するパケットは、Cloud IDS によって復号できません。
たとえば、外部アプリケーション ロードバランサのバックエンド サービス プロトコルとして HTTPS または HTTP2 を使用する場合、ロードバランサのバックエンドに送信されるパケットは Cloud IDS にミラーリングできます。ただし、パケットは暗号化されたデータを伝送するため、リクエストは Cloud IDS で検査できません。Cloud IDS インスペクションを有効にするには、バックエンド サービス プロトコルを HTTP に変更する必要があります。または、侵入防止に Google Cloud Armor を使用し、リクエスト検査用にアプリケーション ロードバランサのログを有効にすることもできます。アプリケーション ロードバランサのリクエストのロギングの詳細については、グローバル外部アプリケーション ロードバランサのロギングとモニタリングとリージョン外部アプリケーション ロードバランサのロギングとモニタリングをご覧ください。
少量のトラフィックのみが検査される
Cloud IDS は、Google Cloud VM、GKE ノード、Pod など、ミラーリングされたサブネット内のリソースとの間で送受信されるトラフィックを検査します。
ミラーリングされたサブネットに VM が含まれていない場合、Cloud IDS には検査するトラフィックが存在しません。
Cloud NGFW L7 インスペクション ポリシーを使用する場合、エンドポイント ポリシーは無視される
Cloud Next Generation Firewall の L7 インスペクション ポリシー(apply_security_profile_group アクションを含むルール)と Cloud IDS を併用すると、ファイアウォール ポリシー ルールが評価され、Cloud IDS インスペクション用にトラフィックがミラーリングされません。この状況を回避するには、Cloud IDS で検査する必要があるパケットに Cloud NGFW L7 検査ポリシーが適用されないようにします。