Risolvere i problemi relativi agli endpoint e all'ispezione

Verificare che un endpoint IDS sia funzionale

Per verificare che un endpoint IDS sia funzionale, procedi nel seguente modo:

1. Verifica che l'endpoint IDS sia visualizzato nella Google Cloud console Cloud IDS e che nella colonna Attached Policies sia presente un criterio di mirroring dei pacchetti.
2. Assicurati che il criterio allegato sia attivato facendo clic sul nome del criterio e assicurati che Policy Enforcement sia impostato su Attivato.
3. Per verificare che il traffico venga sottoposto a mirroring, scegli un'istanza VM nel VPC monitorato, vai alla scheda Osservabilità e assicurati che la dashboard Mirrored Bytes mostri il traffico sottoposto a mirroring all'endpoint IDS.
4. Assicurati che lo stesso traffico (o la stessa VM) non sia interessato da più di un policy di mirroring dei pacchetti, poiché ogni pacchetto può essere sottoposto a mirroring solo in una destinazione. Controlla la colonna Attached Policies e assicurati che sia presente un solo criterio per VM.

5. Genera un avviso di prova utilizzando SSH per connetterti a una VM nella rete monitorata, quindi esegui il seguente comando:

   curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
   

   Se curl non è disponibile sulla piattaforma, puoi utilizzare uno strumento simile per eseguire richieste HTTP.

   Dopo alcuni secondi, dovrebbe essere visualizzato un avviso sia nell'interfaccia utente di Cloud IDS sia in Cloud Logging (log delle minacce).

Decrittografia del traffico per l'ispezione

Per ispezionare il traffico, Cloud IDS utilizza il mirroring dei pacchetti per inviare alla VM IDS copie a livello di pacchetto del traffico configurato. Anche se la destinazione del collector riceve tutti i pacchetti sottoposti a mirroring, i pacchetti che trasportano dati criptati utilizzando un protocollo sicuro come TLS, HTTPS o HTTP2 non possono essere decriptati da Cloud IDS.

Ad esempio, se utilizzi HTTPS o HTTP2 come protocollo del servizio di backend per un bilanciatore del carico delle applicazioni esterno, i pacchetti inviati ai backend del bilanciatore del carico possono essere sottoposti a mirroring in Cloud IDS. Tuttavia, le richieste non possono essere ispezionate da Cloud IDS perché i pacchetti contengono dati criptati. Per attivare l'ispezione di Cloud IDS, devi impostare il protocollo del servizio di backend su HTTP. In alternativa, puoi utilizzare Google Cloud Armor per la prevenzione delle intrusioni e attivare i log del bilanciatore del carico delle applicazioni per l'ispezione delle richieste. Per maggiori informazioni sul logging delle richieste del bilanciatore del carico delle applicazioni, consulta Logging e monitoraggio del bilanciatore del carico delle applicazioni esterno globale e Logging e monitoraggio del bilanciatore del carico delle applicazioni esterno regionale.

Viene ispezionato solo un volume ridotto di traffico

Cloud IDS controlla il traffico inviato a o ricevuto dalle risorse nelle sottoreti sottoposte a mirroring, tra cui Google Cloud VM, nodi e pod GKE.

Se una subnet sdoppiata non contiene VM, Cloud IDS non ha traffico da ispezionare.

I criteri endpoint vengono ignorati quando si utilizzano i criteri di ispezione L7 di Cloud NGFW

Quando utilizzi insieme le norme di ispezione L7 di Cloud Next Generation Firewall (regole con l'azione apply_security_profile_group) e Cloud IDS, le regole delle policy del firewall vengono valutate e il traffico non viene sottoposto a mirroring per l'ispezione di Cloud IDS. Per evitare questa situazione, assicurati che le norme di ispezione L7 di Cloud NGFW non si applichino ai pacchetti che devi ispezionare con Cloud IDS.