確認 IDS 端點是否正常運作
如要確認 IDS 端點是否正常運作,請按照下列步驟操作:
- 確認 IDS 端點已出現在 Cloud IDS Google Cloud 控制台中,且「
Attached Policies」(已附加政策) 欄中顯示封包鏡像政策。 - 點選政策名稱,確認附加的政策已啟用,且「
Policy Enforcement」(政策強制執行) 設為「Enabled」(已啟用)。 - 為確認系統是否成功鏡像流量,請選擇受監控虛擬私有雲中的 VM 執行個體,然後前往「Observability」(觀測能力) 分頁,確認「
Mirrored Bytes」(鏡像位元組數) 資訊主頁顯示流量已鏡像至 IDS 端點。 - 確保同一個流量 (或 VM) 不會受到多個封包鏡像政策影響,因為每個封包只能鏡像至一個目的地。請查看「
Attached Policies」(已附加政策) 欄,確認每個 VM 只有一項政策。 透過 SSH 連線至受監控網路中的 VM,然後執行下列指令,產生測試警告:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
如果平台無法使用 curl,可以改用類似的工具執行 HTTP 要求。
幾秒後,Cloud IDS 使用者介面和 Cloud Logging (威脅記錄) 中都會顯示警告。
解密並檢查流量
為檢查流量,Cloud IDS 會使用 Packet Mirroring,將設定的流量封包層級副本傳送至 IDS VM。雖然收集器目的地會收到所有鏡像封包,但封包若含有透過 TLS、HTTPS 或 HTTP2 等安全通訊協定加密的資料,Cloud IDS 便無法解密。
舉例來說,如果使用 HTTPS 或 HTTP2 做為外部應用程式負載平衡器的後端服務通訊協定,傳送至負載平衡器後端的封包就能鏡像至 Cloud IDS,但封包含有加密資料,因此 Cloud IDS 無法檢查要求。此時必須將後端服務通訊協定變更為 HTTP,Cloud IDS 才能執行檢查。您也可以使用 Google Cloud Armor 來防範入侵活動,並啟用應用程式負載平衡器記錄,以便檢查要求。如要進一步瞭解應用程式負載平衡器要求記錄功能,請參閱以下文章:「全域外部應用程式負載平衡器記錄與監控」和「區域性外部應用程式負載平衡器記錄與監控」。
只會檢查少量流量
Cloud IDS 會檢查傳送至鏡像子網路中資源的流量,或該資源收到的流量,包括 Google Cloud VM、GKE 節點和 Pod。
如果鏡像子網路中沒有任何 VM,Cloud IDS 就沒有流量可檢查。
使用 Cloud NGFW L7 檢查政策時,系統會忽略端點政策
同時使用 Cloud Next Generation Firewall L7 檢查政策 (採用 apply_security_profile_group 動作的規則) 和 Cloud IDS 時,系統會評估防火牆政策規則,但不會將流量鏡像至 Cloud IDS 檢查。如要避免這種情況發生,請確保需透過 Cloud IDS 檢查的封包未套用 Cloud NGFW L7 檢查政策。