Verificar se um endpoint SDI está funcionando
Para confirmar se um endpoint SDI está funcionando, faça o seguinte:
- Verifique se o endpoint do SDI aparece no console do Google Cloud do Cloud IDS e se há uma política de espelhamento de pacotes na coluna
Attached Policies
. - Verifique se a política anexada foi ativada clicando no nome dela e confira se
Policy Enforcement
está definido como Ativada. - Para verificar se o tráfego está sendo espelhado, escolha uma instância de VM na VPC monitorada, acesse a guia Observabilidade e confira se o painel
Mirrored Bytes
mostra o tráfego sendo espelhado no endpoint do SDI. - Verifique se o mesmo tráfego (ou VM) não é afetado por mais de uma política de espelhamento de pacotes, já que cada pacote pode ser espelhado em apenas um destino. Verifique a coluna
Attached Policies
e certifique-se de que haja apenas uma política por VM. Gere um alerta de teste usando SSH para se conectar a uma VM na rede monitorada e execute o seguinte comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se o curl não estiver disponível na plataforma, use uma ferramenta semelhante para executar solicitações HTTP.
Após alguns segundos, um alerta será exibido na interface do Cloud IDS e no Cloud Logging (registro de ameaças).
Descriptografando o tráfego para inspeção
O Cloud IDS precisa ter acesso ao tráfego descriptografado. É possível descriptografar o tráfego no balanceador de carga L7 ou implantar um dispositivo de terceiros. Se você quiser descriptografar o tráfego no nível do balanceamento de carga, leia a seção a seguir.
Como os balanceadores de carga de aplicativo externos exigem certificados SSL, o tráfego SSL entre o balanceador de carga e o cliente é criptografado. O tráfego do GFE para os back-ends é o tráfego HTTP padrão, que o Cloud IDS pode inspecionar. Consulte os recursos abaixo para configurar a descriptografia:
Apenas um pequeno volume de tráfego é inspecionado
O Cloud IDS só pode inspecionar o tráfego para VMs ou pods do GKE. Se a sub-rede ou VPC não tiver VMs ou pods do GKE, o Cloud IDS não vai poder inspecionar o tráfego direcionado para outros recursos.
As políticas de endpoint são ignoradas ao usar o Firewall de última geração do Cloud.
Ao usar as políticas de inspeção do Cloud Next Generation Firewall L7 e as políticas de endpoint do Cloud IDS, verifique se as políticas não se aplicam ao mesmo tráfego. Se as políticas se sobrepuserem, a política de inspeção L7 terá prioridade e o tráfego não será espelhado.