IDS 엔드포인트가 작동하는지 확인
IDS 엔드포인트가 작동하는지 확인하려면 다음을 수행합니다.
- Cloud IDS Google Cloud 콘솔에 IDS 엔드포인트가 표시되고
Attached Policies열에 패킷 미러링 정책이 있는지 확인합니다. - 정책 이름을 클릭하여 연결된 정책이 사용 설정되어 있는지 확인하고
Policy Enforcement가 사용으로 설정되어 있는지 확인합니다. - 트래픽이 미러링되는지 확인하려면 미러링된 VPC에서 VM 인스턴스를 선택하고, 관측 가능성 탭으로 이동하고,
Mirrored Bytes대시보드에 IDS 엔드포인트로 미러링 중인 트래픽이 표시되는지 확인합니다. - 각각의 패킷을 대상 하나에만 미러링할 수 있으므로 동일한 트래픽(또는 VM)이 여러 패킷 미러링 정책의 영향을 받지 않도록 합니다.
Attached Policies열을 확인하고 VM당 정책이 하나만 있는지 확인합니다. 모니터링되는 네트워크에서 VM에 연결하기 위해 SSH를 사용해서 테스트 알림을 생성한 후 다음 명령어를 실행합니다.
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
플랫폼에서 curl을 사용할 수 없으면 비슷한 도구를 사용하여 HTTP 요청을 수행할 수 있습니다.
몇 초 후 Cloud IDS UI 및 Cloud Logging(위협 로그)에 모두 알림이 표시됩니다.
검사를 위해 트래픽 복호화
Cloud IDS는 트래픽을 검사하기 위해 패킷 미러링을 사용하여 구성된 트래픽의 패킷 수준 사본을 IDS VM으로 전송합니다. 수집기 대상은 미러링된 모든 패킷을 수신하지만 TLS, HTTPS, HTTP2와 같은 보안 프로토콜을 사용하여 암호화된 데이터를 전송하는 패킷은 Cloud IDS에서 복호화할 수 없습니다.
예를 들어 외부 애플리케이션 부하 분산기의 백엔드 서비스 프로토콜로 HTTPS 또는 HTTP2를 사용하는 경우 부하 분산기의 백엔드로 전송된 패킷을 Cloud IDS에 미러링할 수 있습니다. 하지만 패킷이 암호화된 데이터를 전송하므로 Cloud IDS에서 요청을 검사할 수 없습니다. Cloud IDS 검사를 사용 설정하려면 백엔드 서비스 프로토콜을 HTTP로 변경해야 합니다. 또는 침입 방지를 위해 Google Cloud Armor를 사용하고 요청 검사를 위해 애플리케이션 부하 분산기 로그를 사용 설정할 수 있습니다. 애플리케이션 부하 분산기 요청 로깅에 관한 자세한 내용은 전역 외부 애플리케이션 부하 분산기 로깅 및 모니터링 및 리전 외부 애플리케이션 부하 분산기 로깅 및 모니터링을 참고하세요.
소량의 트래픽만 검사됩니다.
Cloud IDS는 Google Cloud VM 및 GKE 노드와 포드를 비롯하여 미러링된 서브넷의 리소스로 전송되거나 리소스에서 수신되는 트래픽을 검사합니다.
미러링된 서브넷에 VM이 포함되어 있지 않으면 Cloud IDS에 검사할 트래픽이 없습니다.
Cloud NGFW L7 검사 정책을 사용할 때 엔드포인트 정책이 무시됨
Cloud Next Generation Firewall L7 검사 정책 (apply_security_profile_group 작업이 포함된 규칙)과 Cloud IDS를 함께 사용하면 방화벽 정책 규칙이 평가되고 Cloud IDS 검사를 위해 트래픽이 미러링되지 않습니다. Cloud IDS로 검사해야 하는 패킷에 Cloud NGFW L7 검사 정책이 적용되지 않도록 하면 이러한 상황을 방지할 수 있습니다.