IDS 엔드포인트가 작동하는지 확인
IDS 엔드포인트가 작동하는지 확인하려면 다음을 수행합니다.
- Cloud IDS Google Cloud 콘솔에 IDS 엔드포인트가 표시되고
Attached Policies열에 패킷 미러링 정책이 있는지 확인합니다. - 정책 이름을 클릭하여 연결된 정책이 사용 설정되어 있는지 확인하고
Policy Enforcement가 사용으로 설정되어 있는지 확인합니다. - 트래픽이 미러링되는지 확인하려면 미러링된 VPC에서 VM 인스턴스를 선택하고, 관측 가능성 탭으로 이동하고,
Mirrored Bytes대시보드에 IDS 엔드포인트로 미러링 중인 트래픽이 표시되는지 확인합니다. - 각각의 패킷을 대상 하나에만 미러링할 수 있으므로 동일한 트래픽(또는 VM)이 여러 패킷 미러링 정책의 영향을 받지 않도록 합니다.
Attached Policies열을 확인하고 VM당 정책이 하나만 있는지 확인합니다. 모니터링되는 네트워크에서 VM에 연결하기 위해 SSH를 사용해서 테스트 알림을 생성한 후 다음 명령어를 실행합니다.
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
플랫폼에서 curl을 사용할 수 없으면 비슷한 도구를 사용하여 HTTP 요청을 수행할 수 있습니다.
몇 초 후 Cloud IDS UI 및 Cloud Logging(위협 로그)에 모두 알림이 표시됩니다.
검사를 위해 트래픽 복호화
Cloud IDS는 복호화된 트래픽을 확인해야 합니다. L7 부하 분산기에서 트래픽을 복호화하거나 타사 어플라이언스를 배포할 수 있습니다. 부하 분산 수준에서 트래픽을 복호화하려면 다음 섹션을 참조하세요.
외부 애플리케이션 부하 분산기에는 SSL 인증서가 필요하므로 부하 분산기와 클라이언트 간의 SSL 트래픽이 암호화됩니다. GFE에서 백엔드로의 트래픽은 Cloud IDS가 검사할 수 있는 표준 HTTP 트래픽입니다. 복호화를 설정하려면 다음 리소스를 참조하세요.
소량의 트래픽만 검사됩니다.
Cloud IDS는 VM 또는 GKE 포드에 대한 트래픽만 검사할 수 있습니다. 서브넷 또는 VPC에 VM 또는 GKE 포드가 포함되지 않은 경우 Cloud IDS는 다른 리소스에 연결되는 트래픽을 검사할 수 없습니다.