Resolver problemas de inspeção da camada do aplicativo

Confira nesta página como solucionar problemas comuns que podem ser encontrados ao configurar a inspeção da camada do aplicativo (camada 7) na sua rede. Esses problemas podem estar relacionados a perfis de segurança, grupos de perfis de segurança, endpoints de firewall ou políticas de firewall.

Etapas de solução de problemas comuns

Para resolver erros de configuração comuns relacionados à inspeção da camada 7 na sua rede, conclua as tarefas mencionadas nas seções a seguir.

Ativar a geração de registros de regras da política de firewall

Para ativar a geração de registros nas regras de firewall de inspeção da camada 7 nas suas políticas de firewall, realize as seguintes ações:

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Clique no nome da política de firewall que tem as regras de firewall de inspeção da camada 7.

  3. Na coluna Prioridade, clique na prioridade da regra da política de firewall em que você quer ativar os registros.

  4. Clique em Editar.

  5. Em Registros, selecione Ativado.

  6. Clique em Salvar.

Repita as etapas anteriores para todas as políticas de firewall de rede e hierárquicas que contêm regras de firewall de inspeção da camada 7.

Verificar a configuração das regras da política de firewall

  1. Verifique se as políticas de firewall com as regras de firewall de inspeção da camada 7 estão associadas à rede de nuvem privada virtual (VPC) em que as cargas de trabalho da máquina virtual (VM) estão localizadas. Para mais informações, consulte Associar uma política à rede.
  2. Verifique se os endpoints do firewall estão associados à rede VPC onde as cargas de trabalho da VM estão localizadas.
  3. Verifique a ordem de aplicação das regras para garantir que as regras aplicadas ao tráfego estejam na sequência correta. Para mais informações, consulte Ordem de avaliação de políticas e regras.
  4. Verifique as regras de firewall eficazes no nível da rede e da instância de VM. Verifique se as ocorrências regras da política de firewall para as regras de firewall de inspeção da camada 7 estão sendo contadas para o tráfego de rede.

Todas as conexões são permitidas ou negadas, mas não são interceptadas

Esse cenário é encontrado quando todos os componentes são configurados para as regras de firewall de inspeção da camada 7, mas o tráfego não é interceptado e inspecionado em busca de ameaças ou atividades maliciosas.

Para resolver o problema, siga estas etapas:

  1. Verifique se o endpoint do firewall e as cargas de trabalho da VM que serão inspecionadas estão na mesma zona.
  2. Verifique se a geração de registros está ativada para a regra da política de firewall. Para mais informações, consulte a seção Ativar geração de registros de regras da política de firewall deste documento.

  3. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  4. Clique na política de firewall que contém a regra para a inspeção da camada 7.

  5. Na coluna Contagem de ocorrências, veja o número de conexões exclusivas usadas para a regra de firewall.

  6. Se a contagem de ocorrências for zero, a regra não será aplicada ao tráfego. Para verificar se a configuração está correta, consulte a seção Etapas de solução de problemas comuns deste documento.

  7. Se a contagem de ocorrências não for zero, clique nela para acessar a página Análise de registros e siga estas etapas:

    1. Expanda os registros individuais para ver os detalhes de connection, disposition e remote location.
    2. Se o disposition não estiver definido como intercepted e o fallback_action = ALLOW, consulte a seção Etapas de solução de problemas comuns deste documento para verificar se a configuração está correta.

A regra da política de firewall de entrada não intercepta o tráfego de entrada

Esse cenário é encontrado quando as regras de firewall de inspeção da camada 7 não são aplicadas ao tráfego de entrada. Isso acontece quando o tráfego de entrada corresponde às outras regras de firewall antes de atingir as regras da política de firewall de inspeção da camada 7.

Para resolver o problema, siga estas etapas:

  1. Verifique se a geração de registros está ativada para a regra da política de firewall com inspeção da camada 7. Para mais informações, consulte a seção Ativar a geração de registros de regras da política de firewall deste documento.
  2. Verifique se a política de firewall com a regra de firewall de inspeção da camada 7 está associada à rede VPC em que as cargas de trabalho da VM estão localizadas. Para mais informações, consulte Associar uma política à rede.
  3. Verifique se os endpoints do firewall estão associados à rede VPC onde as cargas de trabalho da VM estão localizadas.
  4. Para verificar se a regra de firewall de inspeção da camada 7 está aplicada, execute os testes de conectividade com base na origem e no destino definidos na regra. Para aprender como executar Testes de conectividade, consulte Criar e executar Testes de conectividade.
  5. Verifique a sequência em que as regras são aplicadas ao tráfego de entrada. Para alterar essa sequência, consulte Alterar política e ordem de avaliação de regras.

Uma ameaça não é detectada em algumas ou todas as conexões

Esse cenário pode ser encontrado quando o tráfego é criptografado ou quando a política de prevenção de ameaças não está definida para detectar a ameaça.

Se o tráfego estiver criptografado, verifique se você ativou a inspeção Transport Layer Security (TLS) na sua rede. Para saber mais sobre como ativar a inspeção TLS, consulte Configurar a inspeção TLS.

Se a inspeção TLS estiver ativada, diferencie as mensagens vistas do cliente das mensagens de erro quando o Cloud Next Generation Firewall bloqueia uma ameaça. Para mais informações, consulte Mensagens de erro.

Certifique-se de que a política de prevenção de ameaças esteja definida para detectar essa ameaça:

  1. Verifique seu perfil de segurança para identificar se as ações de substituição dessa ameaça estão definidas como esperado.
  2. Adicione ações de substituição aos seus perfis de segurança para garantir que a ameaça seja capturada.

Regras de firewall do serviço de prevenção de invasões configuradas incorretamente

Esse cenário ocorre quando não há um endpoint de firewall válido ou o endpoint não está associado à rede VPC em que as cargas de trabalho da VM estão localizadas. Como uma ação de fallback padrão, o Cloud NGFW permite o tráfego e adiciona apply_security_profile_fallback_action = ALLOW aos registros de firewall. Para ver os registros de firewall, consulte Ver registros.

Para resolver o problema, siga estas etapas:

  1. Para ativar a geração de registros para as regras da política de firewall de inspeção da camada 7 na rede, consulte a seção Ativar a geração de registros de regras da política de firewall deste documento.

  2. Crie as métricas com base em registros, os alertas com base em registros ou ambas usando os filtros a seguir.

      jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
  jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"

O filtro gera detalhes do incidente, o que ajuda a entender a condição de correspondência do registro, o limite de taxa de notificação, a duração do fechamento automático do incidente, os rótulos e a gravidade do registro com o resumo.

Mensagens de erro

Nesta seção, descrevemos as mensagens de erro comuns que você recebe quando a confiança do TLS é inadequada ou quando o Cloud NGFW bloqueia uma ameaça. Saiba como configurar a inspeção TLS em Configurar a inspeção TLS.

A regra da política de firewall está bloqueada

Você recebeu uma mensagem de erro semelhante à seguinte de um cliente durante uma sessão SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Para resolver esse erro, visualize e valide o registro. Para mais informações, consulte Usar regras de firewall.

Confiança configurada incorretamente

Você recebeu uma mensagem de erro semelhante à seguinte de um cliente durante uma sessão SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Esse erro indica um problema de confiança configurado incorretamente. Esse problema é causado por uma configuração incorreta ou pela ausência de uma autoridade certificadora (CA). Para resolver esse erro, ative o Certificate Authority Service.

A seguir