Risolvere i problemi relativi a endpoint e ispezione

Verificare il funzionamento di un endpoint IDS

Per confermare che un endpoint IDS è funzionale:

  1. Verifica che l'endpoint IDS venga visualizzato nella console Google Cloud di Cloud IDS e che esista un criterio di mirroring pacchetto nella colonna Attached Policies.
  2. Assicurati che il criterio associato sia abilitato facendo clic sul nome del criterio e assicurati che Policy Enforcement sia impostato su Enabled.
  3. Per verificare che il traffico venga sottoposto a mirroring, scegli un'istanza VM nel VPC monitorato, vai alla scheda Osservabilità e assicurati che la dashboard Mirrored Bytes mostri il traffico di cui viene eseguito il mirroring all'endpoint IDS.
  4. Assicurati che lo stesso traffico (o VM) non sia interessato da più di un criterio di mirroring pacchetto, in quanto ogni pacchetto può essere sottoposto a mirroring su una sola destinazione. Controlla la colonna Attached Policies e assicurati che sia presente un solo criterio per VM.

  5. Genera un avviso di test utilizzando SSH per connetterti a una VM nella rete monitorata, quindi esegui questo comando:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd

    Se curl non è disponibile sulla piattaforma, puoi utilizzare uno strumento simile per eseguire le richieste HTTP.

    Dopo qualche secondo, dovrebbe essere visualizzato un avviso sia nell'interfaccia utente di Cloud IDS sia in Cloud Logging (log delle minacce).

Decriptazione del traffico per l'ispezione

Cloud IDS deve visualizzare il traffico decriptato. Puoi decriptare il traffico nel bilanciatore del carico L7 o eseguire il deployment di un'appliance di terze parti. Se vuoi decriptare il traffico a livello di bilanciamento del carico, leggi la sezione seguente.

Poiché gli Application Load Balancer esterni richiedono certificati SSL, il traffico SSL tra il bilanciatore del carico e il client è criptato. Il traffico dai GFE ai backend è HTTP standard, che Cloud IDS può esaminare. Consulta le seguenti risorse per la configurazione della decrittografia:

Viene controllato solo un volume ridotto di traffico

Cloud IDS può ispezionare solo il traffico verso le VM o i pod GKE. Se la subnet o il VPC non contiene VM o pod GKE, Cloud IDS non può analizzare il traffico diretto verso le altre risorse.