פתרון בעיות בנקודות הקצה ובחקירה

איך בודקים אם נקודת הקצה של IDS פועלת

כדי לוודא שנקודת הקצה של IDS פועלת:

  1. מוודאים שהיא מופיעה במסוף Google Cloud של Cloud IDS, ושבעמודה Attached Policies יש מדיניות רפליקציה של חבילות נתונים.
  2. כדי לוודא שהמדיניות פועלת, לוחצים על השם שלה ומוודאים שההגדרה Policy Enforcement מופעלת.
  3. כדי לוודא שהרפליקציה פועלת, בוחרים מכונה וירטואלית שנמצאת במעקב ב-VPC, נכנסים לכרטיסייה Observability ומוודאים שבלוח הבקרה של Mirrored Bytes מופיע שהנתונים משוכפלים לנקודת הקצה של IDS.
  4. חשוב לזכור שאפשר לשכפל כל חבילת נתונים רק ליעד אחד. לכן, צריך לוודא שבעמודה Attached Policies יש רק מדיניות רפליקציה אחת לכל מכונה וירטואלית.

  5. כדי ליצור התראה בשביל לבדוק שנקודת הקצה פועלת, מתחברים למכונה הווירטואלית ברשת באמצעות SSH ומריצים את הפקודה הבאה:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd

    אם אי אפשר להשתמש ב-curl, אפשר לנסות כלי אחר לבקשות HTTP.

    אחרי כמה שניות אמורה להופיע התראה בממשק של Cloud IDS וב-Cloud Logging (יומן האיומים).

פענוח תעבורת הנתונים בבדיקה

בדיקת התעבורה נעשית ב-Cloud IDS באמצעות רפליקציה של חבילות הנתונים – שכפול הנתונים שהוגדרו ושליחת העותקים למכונות וירטואליות ב-IDS. למרות שכל החבילות משוכפלות ומועברות ליעד, Cloud IDS לא יכול לפענח נתונים שהוצפנו באמצעות פרוטוקולי אבטחה כמו TLS, ‏HTTPS או HTTP2.

לדוגמה, אם משתמשים ב-HTTPS או ב-HTTP2 כפרוטוקול של שירות הבק-אנד למאזן עומסים חיצוני של אפליקציות, החבילות שנשלחות לבק-אנד ישוכפלו ויישלחו ל-Cloud IDS, אבל אי אפשר יהיה לבדוק אותן כי הנתונים שבהן מוצפנים. כדי לבדוק אותן ב-Cloud IDS צריך לשנות את הפרוטוקול של שירות הבק-אנד ל-HTTP. אפשר גם להשתמש ב-Google Cloud Armor כדי למנוע פריצות, ולהפעיל את בקשות הבדיקה באמצעות היומנים של מאזן העומסים של האפליקציות. אתם יכולים לקרוא מידע נוסף על רישום ביומן ומעקב אחרי מאזן עומסים חיצוני של אפליקציות ברמה הגלובלית וברמה המקומית.

רק נפח קטן של תעבורת הנתונים נבדק

‫Cloud IDS בודק את הנתונים שנשלחים או מתקבלים על ידי המשאבים ברשתות המשנה שמשוכפלות, כולל מכונות וירטואליות של Google Cloud , צמתים של GKE ו-Pods.

אם ברשת משנה שמשוכפלת אין מכונות וירטואליות, ל-Cloud IDS אין נתונים שאפשר לבדוק.

התעלמות מהמדיניות של נקודות קצה כשמשתמשים במדיניות הבדיקה Cloud NGFW L7

כשאתם משתמשים במדיניות הבדיקה Cloud Next Generation Firewall L7 (כללים עם הפעולה apply_security_profile_group) יחד עם Cloud IDS, כללי המדיניות של חומת האש נבדקים ותעבורת הנתונים לא משוכפלת לבדיקה ב-Cloud IDS. כדי שזה לא יקרה, ודאו שהכללים של מדיניות הבדיקה Cloud NGFW L7 לא מופעלים על החבילות שאתם רוצים לבדוק באמצעות Cloud IDS.