IDS エンドポイントが機能していることを確認する
IDS エンドポイントが機能していることを確認するには、次の手順を行います。
- IDS エンドポイントが Cloud IDS Google Cloud コンソールに表示され、
Attached Policies列にパケット ミラーリング ポリシーがあることを確認します。 - ポリシー名をクリックして接続されたポリシーが有効になっており、
Policy Enforcementが Enabled に設定されていることを確認します。 - トラフィックがミラーリングされていることを確認するには、モニタリング対象の VPC で VM インスタンスを選択し、[オブザーバビリティ] タブに移動して、
Mirrored Bytesダッシュボードに IDS エンドポイントにミラーリングされるトラフィックが表示されていることを確認します。 - 各パケットを 1 つの宛先にのみミラーリングできるため、同じトラフィック(または VM)が複数のパケット ミラーリング ポリシーの影響を受けていないことを確認します。
Attached Policies列を調べて、VM ごとに 1 つのポリシーのみがあることを確認します。 SSH を使用してモニタリング対象ネットワーク内の VM に接続し、次のコマンドを実行してテストアラートを生成します。
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
curl がプラットフォームで利用できない場合は、同様のツールを使用して HTTP リクエストを実行できます。
数秒後、Cloud IDS UI と Cloud Logging(脅威ログ)の両方にアラートが表示されます。
検査のためのトラフィックの復号
Cloud IDS は復号されたトラフィックを認識する必要があります。L7 ロードバランサでトラフィックを復号するか、サードパーティ アプライアンスをデプロイできます。ロード バランシング レベルでトラフィックを復号する場合は、次のセクションをご覧ください。
外部アプリケーション ロードバランサには SSL 証明書が必要なため、ロードバランサとクライアントの間の SSL トラフィックは暗号化されます。GFE からバックエンドへのトラフィックは標準の HTTP トラフィックであり、Cloud IDS で検査できます。復号の設定については、次のリソースをご覧ください。
少量のトラフィックのみが検査される
Cloud IDS が検査できるのは、VM または GKE Pod へのトラフィックのみです。サブネットまたは VPC に VM または GKE Pod が含まれていない場合、Cloud IDS は他のリソースに転送されるトラフィックを検査できません。