Questa pagina è stata tradotta dall'API Cloud Translation.

Risolvi i problemi relativi a endpoint e ispezione

Verificare che un endpoint IDS funzioni

Per confermare che un endpoint IDS sia funzionante, effettua le seguenti operazioni:

Verifica che l'endpoint IDS venga visualizzato nella console Google Cloud di Cloud IDS e che nella colonna Attached Policies sia presente un criterio di mirroring pacchetto.
Assicurati che il criterio collegato sia abilitato facendo clic sul nome del criterio e assicurati che Policy Enforcement sia impostato su Attivato.
Per verificare che il traffico venga sottoposto a mirroring, scegli un'istanza VM nel VPC monitorato, vai alla scheda Osservabilità e assicurati che la dashboard Mirrored Bytes mostri il traffico sottoposto a mirroring all'endpoint IDS.
Assicurati che lo stesso traffico (o VM) non sia interessato da più di un criterio di mirroring del pacchetto, poiché è possibile eseguire il mirroring di ogni pacchetto a una sola destinazione. Controlla la colonna Attached Policies e assicurati che sia presente un solo criterio per VM.
Genera un avviso di test utilizzando SSH per connetterti a una VM nella rete monitorata, quindi esegui questo comando:
```
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
```
Se curl non è disponibile sulla piattaforma, puoi utilizzare uno strumento simile per eseguire le richieste HTTP.

Dopo alcuni secondi, dovrebbe essere visualizzato un avviso sia nella UI di Cloud IDS che in Cloud Logging (Threat Log).

Decrittografia del traffico per l'ispezione

Cloud IDS deve vedere il traffico decriptato. Puoi decriptare il traffico sul bilanciatore del carico L7 o eseguire il deployment di un'appliance di terze parti. Se vuoi decriptare il traffico a livello di bilanciamento del carico, leggi la sezione seguente.

Poiché i bilanciatori del carico delle applicazioni esterni richiedono certificati SSL, il traffico SSL tra il bilanciatore del carico e il client è criptato. Il traffico dal GFE ai backend è traffico HTTP standard, che Cloud IDS può esaminare. Consulta le seguenti risorse per configurare la decrittografia:

Viene ispezionato solo un volume di traffico ridotto

Cloud IDS può ispezionare solo il traffico verso VM o pod GKE. Se la subnet o il VPC non contiene VM o pod GKE, Cloud IDS non può ispezionare il traffico diretto alle altre risorse.

I criteri degli endpoint vengono ignorati quando si utilizza Cloud Next Generation Firewall

Quando utilizzi i criteri di ispezione di Cloud Next Generation Firewall L7 e i criteri degli endpoint Cloud IDS, assicurati che i criteri non si applichino allo stesso traffico. Se i criteri si sovrappongono, il criterio di ispezione L7 ha la priorità e il traffico non viene sottoposto a mirroring.