Memecahkan masalah endpoint dan inspeksi

Memverifikasi bahwa endpoint IDS berfungsi

Untuk mengonfirmasi bahwa endpoint IDS berfungsi, lakukan tindakan berikut:

  1. Pastikan endpoint IDS muncul di konsol Google Cloud Cloud IDS, dan ada kebijakan duplikasi paket di kolom Attached Policies.
  2. Pastikan kebijakan yang dilampirkan diaktifkan dengan mengklik nama kebijakan, dan pastikan Policy Enforcement ditetapkan ke Enabled.
  3. Untuk memverifikasi bahwa traffic sedang dicerminkan, pilih Instance VM di VPC yang dipantau, buka tab Observability, dan pastikan dasbor Mirrored Bytes menampilkan traffic yang dicerminkan ke endpoint IDS.
  4. Pastikan traffic (atau VM) yang sama tidak terpengaruh oleh lebih dari satu kebijakan duplikasi paket, karena setiap paket hanya dapat diduplikasi ke satu tujuan. Periksa kolom Attached Policies, dan pastikan hanya ada satu kebijakan per VM.

  5. Buat pemberitahuan pengujian menggunakan SSH untuk terhubung ke VM di jaringan yang dipantau, lalu jalankan perintah berikut:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd

    Jika curl tidak tersedia di platform, Anda dapat menggunakan alat serupa untuk melakukan permintaan HTTP.

    Setelah beberapa detik, pemberitahuan akan muncul di UI Cloud IDS dan di Cloud Logging (Threat Log).

Mendekripsi traffic untuk pemeriksaan

Untuk memeriksa traffic, Cloud IDS menggunakan Duplikasi Paket untuk mengirim salinan traffic yang dikonfigurasi di tingkat paket ke VM IDS. Meskipun tujuan kolektor menerima semua paket yang dicerminkan, setiap paket yang membawa data yang dienkripsi menggunakan protokol aman seperti TLS, HTTPS, atau HTTP2 tidak dapat didekripsi oleh Cloud IDS.

Misalnya, jika Anda menggunakan HTTPS atau HTTP2 sebagai protokol layanan backend untuk load balancer aplikasi eksternal, paket yang dikirim ke backend load balancer dapat dicerminkan ke Cloud IDS. Namun, permintaan tidak dapat diperiksa oleh Cloud IDS karena paket tersebut membawa data terenkripsi. Untuk mengaktifkan pemeriksaan Cloud IDS, Anda harus mengubah protokol layanan backend ke HTTP. Atau, Anda dapat menggunakan Google Cloud Armor untuk pencegahan intrusi, dan mengaktifkan log load balancer aplikasi untuk pemeriksaan permintaan. Untuk mengetahui informasi selengkapnya tentang logging permintaan load balancer aplikasi, lihat Logging dan monitoring Load Balancer Aplikasi eksternal global dan Logging dan monitoring Load Balancer Aplikasi eksternal regional.

Hanya volume traffic kecil yang diperiksa

Cloud IDS memeriksa traffic yang dikirim ke atau diterima oleh resource di subnet yang dicerminkan, termasuk VM, node, dan Pod GKE. Google Cloud

Jika subnet yang dicerminkan tidak berisi VM, Cloud IDS tidak memiliki traffic untuk diperiksa.

Kebijakan endpoint diabaikan saat menggunakan kebijakan pemeriksaan L7 Cloud NGFW

Saat Anda menggunakan kebijakan pemeriksaan L7 Cloud Next Generation Firewall (aturan dengan tindakan apply_security_profile_group) dan Cloud IDS secara bersamaan, aturan kebijakan firewall dievaluasi dan traffic tidak dicerminkan untuk pemeriksaan Cloud IDS. Anda dapat menghindari situasi ini dengan memastikan bahwa kebijakan inspeksi L7 Cloud NGFW tidak berlaku untuk paket yang perlu Anda periksa dengan Cloud IDS.