Verificar se um endpoint do SDI está funcional
Para confirmar se um endpoint do SDI está funcional, faça o seguinte:
- Verifique se o endpoint do SDI aparece no console do Google Cloud do Cloud IDS
e se há uma política de espelhamento de pacotes na coluna
Attached Policies. - Clique no nome da política anexada para verificar se ela está ativada e
verifique se
Policy Enforcementestá definido como Ativado. - Para verificar se o tráfego está sendo espelhado, escolha uma instância de VM na VPC monitorada, acesse a guia Observability e verifique se o painel
Mirrored Bytesmostra o tráfego sendo espelhado para o endpoint do SDI. - Verifique se o mesmo tráfego (ou VM) não é afetado por mais de uma
política de espelhamento de pacotes, já que cada pacote pode ser espelhado para apenas um
destino. Verifique a coluna
Attached Policiese verifique se há apenas uma política por VM. Gere um alerta de teste usando o SSH para se conectar a uma VM na rede monitorada e execute o seguinte comando:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
Se o curl não estiver disponível na plataforma, use uma ferramenta semelhante para realizar solicitações HTTP.
Após alguns segundos, um alerta vai aparecer na interface do Cloud IDS e no Cloud Logging (registro de ameaças).
Como descriptografar o tráfego para inspeção
Para inspecionar o tráfego, o Cloud IDS usa o espelhamento de pacotes para enviar cópias de pacotes do tráfego configurado para a VM do IDS. Embora o destino do coletor receba todos os pacotes espelhados, os pacotes que contêm dados criptografados usando um protocolo seguro, como TLS, HTTPS ou HTTP2, não podem ser descriptografados pelo Cloud IDS.
Por exemplo, se você usar HTTPS ou HTTP2 como o protocolo de serviço de back-end para um balanceador de carga de aplicativo externo, os pacotes enviados aos back-ends do balanceador de carga poderão ser espelhados no Cloud IDS. No entanto, as solicitações não podem ser inspecionadas pelo Cloud IDS porque os pacotes contêm dados criptografados. Para ativar a inspeção do Cloud IDS, você precisa mudar o protocolo de serviço de back-end para HTTP. Como alternativa, use o Google Cloud Armor para prevenção de invasão e ative os registros do balanceador de carga de aplicativo para inspeção de solicitações. Para mais informações sobre o registro de solicitações do balanceador de carga de aplicativo, consulte Geração de registros e monitoramento do balanceador de carga de aplicativo externo global e Geração de registros e monitoramento do balanceador de carga de aplicativo externo regional.
Apenas um pequeno volume de tráfego é inspecionado
O Cloud IDS inspeciona o tráfego enviado ou recebido por recursos em sub-redes espelhadas, incluindo Google Cloud VMs e nós e pods do GKE.
Se uma sub-rede espelhada não tiver VMs, o Cloud IDS não terá tráfego para inspecionar.
As políticas de endpoint são ignoradas ao usar políticas de inspeção L7 do Cloud NGFW
Quando você usa políticas de inspeção L7 do Cloud Next Generation Firewall (regras com a
ação apply_security_profile_group) e o Cloud IDS juntos, as regras de política de
firewall são avaliadas e o tráfego não é espelhado para a inspeção do
Cloud IDS. Para evitar essa situação, verifique se as políticas de inspeção de nível 7 do Cloud NGFW não se aplicam a pacotes que precisam ser inspecionados com o Cloud IDS.