Résoudre les problèmes liés aux points de terminaison et à l'inspection

Vérifier qu'un point de terminaison IDS est fonctionnel

Pour vérifier qu'un point de terminaison IDS est fonctionnel, procédez comme suit :

  1. Vérifiez que le point de terminaison de l'IDS apparaît dans la console Google Cloud de Cloud IDS et qu'une règle de mise en miroir de paquets est définie dans la colonne Attached Policies.
  2. Assurez-vous que la stratégie associée est activée en cliquant sur son nom. assurez-vous que Policy Enforcement est défini sur Enabled (Activé).
  3. Pour vérifier que le trafic est mis en miroir, choisissez une instance de VM dans le VPC surveillé, accédez à l'onglet Observabilité et assurez-vous que le tableau de bord Mirrored Bytes indique que le trafic est mis en miroir sur le point de terminaison de l'IDS.
  4. Assurez-vous que le même trafic (ou VM) n'est pas affecté par plusieurs des règles de mise en miroir de paquets, car chaque paquet ne peut être mis en miroir vers votre destination. Vérifiez la colonne Attached Policies et assurez-vous qu'il existe une seule règle par VM.
  5. Générez une alerte de test en vous connectant à une VM du réseau surveillé à l'aide de SSH, puis exécutez la commande suivante :

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
    

    Si curl n'est pas disponible sur la plate-forme, vous pouvez utiliser un outil similaire pour des requêtes HTTP.

    Après quelques secondes, une alerte doit s'afficher à la fois dans l'interface utilisateur de Cloud IDS et dans Cloud Logging (journal des menaces).

Déchiffrer le trafic pour inspection

Cloud IDS doit voir le trafic déchiffré. Vous pouvez déchiffrer le trafic au niveau de l'équilibreur de charge L7 ou déployer un appareil tiers. Si vous souhaitez déchiffrer le trafic au niveau d'équilibrage de charge, lisez la section suivante.

Étant donné que les équilibreurs de charge d'application externes nécessitent des certificats SSL, le trafic SSL entre l'équilibreur de charge et le client est chiffré. Le trafic du GFE vers les backends le trafic HTTP standard, que Cloud IDS peut inspecter. Consultez les ressources suivantes : ressources pour la configuration du déchiffrement:

Seul un faible volume de trafic est inspecté

Cloud IDS ne peut inspecter le trafic que vers les VM ou les pods GKE. Si votre sous-réseau ou votre VPC ne contient aucune VM ni aucun pod GKE, Cloud IDS ne peut pas inspecter le trafic dirigé vers vos autres ressources.

Les règles des points de terminaison sont ignorées lors de l'utilisation du pare-feu Cloud nouvelle génération

Lorsque vous utilisez les règles d'inspection Cloud nouvelle génération de pare-feu L7 et Cloud IDS des stratégies de point de terminaison, assurez-vous qu'elles ne s'appliquent pas au même trafic. Si les règles se chevauchent, la règle d'inspection de niveau L7 est prioritaire et le trafic n'est pas mis en miroir.