Solução de problemas em endpoints e inspeção

Verificar se um endpoint SDI está funcionando

Para confirmar se um endpoint SDI está funcionando, faça o seguinte:

  1. Verifique se o endpoint do SDI aparece no console do Google Cloud do Cloud IDS. e que há uma política de espelhamento de pacotes na coluna Attached Policies.
  2. Clique no nome da política anexada para verificar se ela foi ativada. Confira se Policy Enforcement está definido como Ativado.
  3. Para verificar se o tráfego está sendo espelhado, escolha uma instância de VM no VPC monitorada, acesse a guia Observabilidade e confirme se o painel Mirrored Bytes mostra o tráfego sendo espelhado no endpoint do SDI.
  4. Verifique se o mesmo tráfego (ou VM) não é afetado por mais de um política de espelhamento de pacotes, já que cada pacote só pode ser espelhado em um destino. Verifique a coluna Attached Policies e verifique se há apenas uma política por VM.

  5. Gere um alerta de teste usando SSH para se conectar a uma VM no e execute o seguinte comando:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd

    Se o curl não estiver disponível na plataforma, use uma ferramenta semelhante para e realizar solicitações HTTP.

    Após alguns segundos, um alerta deve aparecer na interface do Cloud IDS e no Cloud Logging (registro de ameaças).

Descriptografando o tráfego para inspeção

O Cloud IDS precisa ter acesso ao tráfego descriptografado. É possível descriptografar o tráfego na carga L7 balanceador de carga ou implantar um dispositivo de terceiros. Se você quiser descriptografar o tráfego no de balanceamento de carga, leia a seção a seguir.

Como os balanceadores de carga de aplicativo externos exigem certificados SSL, o tráfego SSL entre a carga balanceador de carga e o cliente é criptografado. O tráfego do GFE para os back-ends é tráfego HTTP padrão, que pode ser inspecionado pelo Cloud IDS. Consulte o seguinte: recursos para configurar a descriptografia:

Apenas um pequeno volume de tráfego é inspecionado

O Cloud IDS só pode inspecionar o tráfego para VMs ou pods do GKE. Se a sub-rede ou VPC não tiver VMs ou pods do GKE, o Cloud IDS não vai poder inspecionar o tráfego direcionado para outros recursos.

As políticas de endpoint são ignoradas ao usar o Firewall de última geração do Cloud.

Quando você usa as políticas de inspeção do Cloud Next Generation Firewall L7 e o Cloud IDS de endpoint, garanta que elas não se apliquem ao mesmo tráfego. Se se sobrepõem, a política de inspeção L7 tem prioridade e o tráfego não é espelhado.