Memverifikasi bahwa endpoint IDS berfungsi
Untuk mengonfirmasi bahwa endpoint IDS berfungsi, lakukan hal berikut:
- Pastikan endpoint IDS muncul di konsol Cloud IDS Google Cloud ,
dan ada kebijakan duplikasi paket di kolom
Attached Policies. - Pastikan kebijakan terlampir diaktifkan dengan mengklik nama kebijakan, dan
pastikan
Policy Enforcementdisetel ke Diaktifkan. - Untuk memverifikasi bahwa traffic sedang diduplikasi, pilih Instance VM di VPC yang dipantau, buka tab Observability, dan pastikan dasbor
Mirrored Bytesmenampilkan traffic yang diduplikasi ke endpoint IDS. - Pastikan traffic (atau VM) yang sama tidak terpengaruh oleh lebih dari satu kebijakan duplikasi paket, karena setiap paket hanya dapat diduplikasi ke satu tujuan. Periksa kolom
Attached Policies, dan pastikan hanya ada satu kebijakan per VM. Buat pemberitahuan pengujian dengan menggunakan SSH untuk terhubung ke VM di jaringan yang dipantau, lalu jalankan perintah berikut:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Jika curl tidak tersedia di platform, Anda dapat menggunakan alat serupa untuk melakukan permintaan HTTP.
Setelah beberapa detik, pemberitahuan akan muncul di UI Cloud IDS dan di Cloud Logging (Log Ancaman).
Mendekripsi traffic untuk pemeriksaan
Untuk memeriksa traffic, Cloud IDS menggunakan Duplikasi Paket untuk mengirim salinan tingkat paket dari traffic yang dikonfigurasi ke VM IDS. Meskipun tujuan collector menerima semua paket yang diduplikasi, setiap paket yang membawa data yang dienkripsi menggunakan protokol aman, seperti TLS, HTTPS, atau HTTP2, tidak dapat didekripsi oleh Cloud IDS.
Misalnya, jika Anda menggunakan HTTPS atau HTTP2 sebagai protokol layanan backend untuk load balancer aplikasi eksternal, paket yang dikirim ke backend load balancer dapat diduplikasi ke Cloud IDS; namun, permintaan tidak dapat diperiksa oleh Cloud IDS karena paket membawa data terenkripsi. Untuk mengaktifkan pemeriksaan Cloud IDS, Anda harus mengubah protokol layanan backend menjadi HTTP. Atau, Anda dapat menggunakan Google Cloud Armor untuk pencegahan penyusupan, dan mengaktifkan log load balancer aplikasi untuk pemeriksaan permintaan. Untuk mengetahui informasi selengkapnya tentang logging permintaan load balancer aplikasi, lihat Logging dan pemantauan Load Balancer Aplikasi eksternal global dan Logging dan pemantauan Load Balancer Aplikasi eksternal regional.
Hanya sebagian kecil traffic yang diperiksa
Cloud IDS memeriksa traffic yang dikirim ke atau diterima oleh resource di subnet yang diduplikasi, termasuk VM dan node GKE serta Pod. Google Cloud
Jika subnet yang diduplikasi tidak berisi VM, Cloud IDS tidak memiliki traffic untuk diperiksa.
Kebijakan endpoint diabaikan saat menggunakan kebijakan pemeriksaan L7 Cloud NGFW
Saat Anda menggunakan kebijakan pemeriksaan L7 Cloud Next Generation Firewall (aturan dengan tindakan apply_security_profile_group) dan Cloud IDS secara bersamaan, aturan kebijakan firewall akan dievaluasi dan traffic tidak diduplikasi untuk pemeriksaan Cloud IDS. Anda dapat menghindari situasi ini dengan memastikan bahwa kebijakan pemeriksaan L7 Cloud NGFW tidak berlaku untuk paket yang perlu Anda periksa dengan Cloud IDS.