Solução de problemas de endpoints e inspeção

Verificar se um endpoint SDI está funcionando

Para confirmar se um endpoint SDI está funcionando, faça o seguinte:

1. Verifique se o endpoint do IDS aparece no console do Google Cloud do Cloud IDS e se há uma política de espelhamento de pacotes na coluna Attached Policies.
2. Verifique se a política anexada foi ativada clicando no nome dela. Confira se Policy Enforcement está definido como Ativado.
3. Para verificar se o tráfego está sendo espelhado, escolha uma instância de VM no VPC monitorada, acesse a guia Observabilidade e confirme se o painel Mirrored Bytes mostra o tráfego sendo espelhado no endpoint do SDI.
4. Verifique se o mesmo tráfego (ou VM) não é afetado por mais de um política de espelhamento de pacotes, já que cada pacote só pode ser espelhado em um destino. Verifique a coluna Attached Policies e verifique se há apenas uma política por VM.

5. Gere um alerta de teste usando o SSH para se conectar a uma VM na rede monitorada e execute o seguinte comando:

   curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
   

   Se o curl não estiver disponível na plataforma, use uma ferramenta semelhante para e realizar solicitações HTTP.

   Após alguns segundos, um alerta deve aparecer na interface do Cloud IDS e no Cloud Logging (registro de ameaças).

Descriptografando o tráfego para inspeção

O Cloud IDS precisa ter acesso ao tráfego descriptografado. É possível descriptografar o tráfego na carga L7 balanceador de carga ou implantar um dispositivo de terceiros. Se você quiser descriptografar o tráfego no de balanceamento de carga, leia a seção a seguir.

Como os balanceadores de carga de aplicativo externos exigem certificados SSL, o tráfego SSL entre a carga balanceador de carga e o cliente é criptografado. O tráfego do GFE para os back-ends é tráfego HTTP padrão, que pode ser inspecionado pelo Cloud IDS. Consulte o seguinte: recursos para configurar a descriptografia:

• Certificados autogerenciados
• Certificados gerenciados pelo Google

Apenas um pequeno volume de tráfego é inspecionado

O Cloud IDS só pode inspecionar o tráfego para VMs ou pods do GKE. Se a sub-rede ou VPC não tiver VMs ou pods do GKE, o Cloud IDS não vai poder inspecionar o tráfego direcionado para outros recursos.

As políticas de endpoint são ignoradas ao usar o Firewall de última geração do Cloud.

Quando você usa as políticas de inspeção do Cloud Next Generation Firewall L7 e o Cloud IDS de endpoint do Google Cloud, verifique se elas não se aplicam ao mesmo tráfego. Se se sobrepõem, a política de inspeção L7 tem prioridade e o tráfego não é espelhado.