Verificare che un endpoint IDS sia funzionale
Per verificare che un endpoint IDS sia funzionale, procedi nel seguente modo:
- Verifica che l'endpoint IDS venga visualizzato nella console Google Cloud di Cloud IDS.
e che nella colonna
Attached Policiessia presente un criterio di mirroring pacchetto. - Assicurati che il criterio allegato sia attivato facendo clic sul nome del criterio e assicurati che
Policy Enforcementsia impostato su Attivato. - Per verificare che il traffico venga sottoposto a mirroring, scegli un'istanza VM nella
VPC monitorato, vai alla scheda Osservabilità e assicurati che la dashboard
Mirrored Bytesmostri il traffico sottoposto a mirroring all'endpoint IDS. - Assicurati che lo stesso traffico (o la stessa VM) non sia interessato da più di un criterio di mirroring dei pacchetti, poiché ogni pacchetto può essere sottoposto a mirroring in una sola destinazione. Controlla la colonna
Attached Policiese assicurati che sia presente un solo criterio per VM. Genera un avviso di prova utilizzando SSH per connetterti a una VM nella rete monitorata, quindi esegui il seguente comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se curl non è disponibile sulla piattaforma, puoi utilizzare uno strumento simile per eseguire richieste HTTP.
Dopo alcuni secondi, dovrebbe essere visualizzato un avviso sia nell'interfaccia utente di Cloud IDS sia in Cloud Logging (log delle minacce).
Decrittografia del traffico per l'ispezione
Cloud IDS deve vedere il traffico decriptato. Puoi decriptare il traffico al carico L7 di un bilanciatore del carico o di un'appliance di terze parti. Se vuoi decriptare il traffico a livello di bilanciamento del carico, leggi la sezione seguente.
Poiché i bilanciatori del carico delle applicazioni esterni richiedono certificati SSL, il traffico SSL tra il bilanciatore del carico e il client è criptato. Il traffico dal GFE ai backend è per il traffico HTTP standard, che Cloud IDS può esaminare. Consulta quanto segue: risorse per configurare la decrittografia:
Viene ispezionato solo un volume ridotto di traffico
Cloud IDS può ispezionare solo il traffico verso VM o pod GKE. Se la tua sottorete o la tua VPC non contiene VM o pod GKE, Cloud IDS non può ispezionare il traffico diretto verso le altre risorse.
I criteri endpoint vengono ignorati quando utilizzi Cloud Next Generation Firewall
Quando utilizzi i criteri di ispezione L7 di Cloud Next Generation Firewall e i criteri di endpoint di Cloud IDS, assicurati che i criteri non si applichino allo stesso traffico. Se i criteri si sovrappongono, il criterio di ispezione L7 ha la priorità e il traffico non viene sottoposto a mirroring.