Sicherheitssoftware-Agents bereitstellen

Sie können Sicherheitssoftware-Agents aus Cloud Marketplace heraus auf den VM-Instanzen in Ihrem Projekt bereitstellen. Wenn Sie einen Sicherheitssoftware-Agenten deinstallieren müssen, fahren Sie mit Sicherheitsagent deinstallieren fort.

Sicherheitssoftware-Agenten sind normalerweise Bestandteil größerer Sicherheitsprodukte. Wenn Sie beispielsweise ein Abo für ein Sicherheitsprodukt haben, enthält die Lösung möglicherweise einen Sicherheitsagenten, den Sie auf Ihren VM-Instanzen installieren können. Die Agenten erfassen Daten zu Schwachstellen und verdächtigem Verhalten auf den VM-Instanzen und senden diese Daten an den Softwareanbieter zurück. Sie können die Sicherheitsberichte in einem Dashboard anzeigen, das der Softwareanbieter bereitstellt.

Wenn Sie einen Sicherheits-Agent aus Cloud Marketplace installieren, müssen Sie sich unabhängig davon auch beim Softwareanbieter registrieren. Der Verkäufer berechnet Ihnen eine Gebühr separat.

Hinweis

Wenn Sie z. B. eine benutzerdefinierte Rolle für die Identitäts- und Zugriffsverwaltung (Security Agent Deployer) erstellen möchten, erstellen Sie zuerst eine SecurityAgentDeployer.yaml-Datei:

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

Nachdem Sie die YAML-Datei erstellt haben, führen Sie den folgenden Befehl aus, um die benutzerdefinierte {iam_name}-Rolle zu erstellen:

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

Nachdem Sie die benutzerdefinierte {iam_name}-Rolle Security Agent Deployer erstellt haben, weisen Sie diese Ihren Nutzern zu, von denen Sie ausgehen, dass sie Sicherheitsagenten bereitstellen.

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:my-user@example.com   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

Konfigurieren Sie die Projektmetadaten

Sie können die Google Cloud Console oder die Google Cloud CLI verwenden, um die Projektmetadaten für den in den VM-Instanzen installierten OS Configuration-Agenten zu konfigurieren.

Console

  1. Öffnen Sie die Seite Projektmetadaten.
  2. Klicken Sie auf Bearbeiten.
  3. Klicken Sie auf Element hinzufügen und fügen Sie die folgende Eigenschaft hinzu:

    Key Wert
    enable-osconfig wahr
  4. Obwohl nicht erforderlich, kann das folgende Metadatenelement hinzugefügt werden, um Debugging-Meldungen in die Logs für Cloud-Logging aufzunehmen. Dies erleichtert die Fehlerbehebung bei zukünftigen Bereitstellungen.

    Key Wert
    osconfig-log-level debug

gcloud

  1. Verwenden Sie diesen Befehl, um die Projektmetadaten für den OS Config-Agenten einzurichten:

    gcloud compute project-info add-metadata --metadata=enable-osconfig=true
    
  2. Obwohl nicht erforderlich, kann das folgende Metadatenelement hinzugefügt werden, um Debugging-Meldungen in die Logs für Cloud-Logging aufzunehmen. Dies erleichtert die Fehlerbehebung bei zukünftigen Bereitstellungen.

    gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
    
  3. Verwenden Sie den folgenden Befehl, um zu prüfen, ob die Metadaten ordnungsgemäß eingerichtet wurden:

    gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
    

Sicherheitsagenten bereitstellen

Verwenden Sie den Filter Security, um die auf dem Cloud Marketplace verfügbaren Sicherheitsagenten anzuzeigen.

Zu den Sicherheitsprodukten

So stellen Sie den Sicherheitsagenten bereit:

  1. Wählen Sie den Agenten aus Cloud Marketplace aus.

  2. Melden Sie sich auf der Website des Anbieters für den Sicherheitsagenten an.

    Im Rahmen der Anmeldung stellt Ihnen der Anbieter normalerweise Kennungen und Anmeldedaten zur Verfügung, z. B. ein Kennwort, eine Aktivierungs-ID oder eine Lizenz-ID. Mit diesen Kennungen verknüpfen Sie Ihre Google Cloud-Projekte mit Ihrem Abo beim Anbieter.

  3. Öffnen Sie nach der Registrierung den Cloud Marketplace-Eintrag für den Sicherheits-Agent und folgen Sie der Anleitung zum Konfigurieren des Agents.

  4. Geben Sie auf der Konfigurationsseite die Kennungen ein, die Sie bei der Anmeldung für das Produkt erhalten haben. Wählen Sie dann unter VM-Zuweisung die VM-Instanzen aus, für die der Sicherheitsagent bereitgestellt werden soll.

    Sie können Ihre VMs nach folgenden Feldern filtern:

    • Namenspräfixe
    • Gruppierungen:
  5. Die Bereitstellung erstellt einen Cloud-Speicher-Bucket in Ihren Projekten und kopiert die Installationsdateien in den Bucket. Wählen Sie unter Details zum Storage-Bucket eine Region aus, um den Cloud Storage-Bucket für die Bereitstellung zu erstellen.

  6. Nachdem Sie die VM-Zuweisungen ausgewählt und eine Region für den Cloud Storage-Bucket ausgewählt haben, klicken Sie auf Bereitstellen. Die Bereitstellung kann mehrere Minuten dauern.

  7. Verwenden Sie eine der folgenden Methoden, um die Installation zu verfolgen und zu prüfen:

Sicherheitsagenten deinstallieren

Auf hoher Ebene müssen Sie Folgendes tun, um einen Sicherheitsagenten zu deinstallieren:

  1. Löschen Sie alle Gastrichtlinien für den Agenten. Dadurch wird sichergestellt, dass OS Configuration die Installation des Agenten auf allen von Ihnen erstellten neuen VM-Instanzen beendet. Wenn der Agent beim Löschen der Gastrichtlinien auf einigen VMs installiert wird, werden die Installationen fortgesetzt, bis sie abgeschlossen sind.

  2. Erstellen Sie eine neue Gastrichtlinie für den Sicherheitsagenten, mit der der Agent aus VM-Instanzen entfernt wird, auf denen der Agent installiert ist.

Es kann einige Minuten dauern, bis der Sicherheitsagent von Ihren VMs deinstalliert ist.

Löschen Sie die Gastrichtlinien

Sie können die Gastrichtlinien für den Sicherheitsagenten mit der Google Cloud Console oder der Google Cloud CLI löschen.

Console

  1. Öffnen Sie die Seite Gastrichtlinien.
  2. Wählen Sie die Gastrichtlinien für den Sicherheitsagenten aus und klicken Sie dann auf Löschen.

gcloud

  1. Verwenden Sie diesen Befehl, um alle Gastrichtlinien aufzulisten:

    gcloud beta compute os-config guest-policies list
    
  2. Kopieren Sie aus der Liste der Gastrichtlinien die IDs der Gastrichtlinien für die Sicherheitsprodukt und führen Sie diesen Befehl aus, um alle Gastrichtlinien zu löschen:

    gcloud beta compute os-config guest-policies delete POLICY_ID
    

Erstellen Sie eine Gastrichtlinie, um den Agenten zu entfernen

Nachdem Sie die Gastrichtlinien für den Sicherheitsagenten gelöscht haben, müssen Sie mithilfe der Eigenschaft desiredState: REMOVED eine neue Richtlinie erstellen, mit der der Sicherheitsagent von Ihren VMs entfernt wird.

Die folgende YAML-Datei für Gastrichtlinien entfernt beispielsweise cloud-agent-package aus allen Debian-basierten VM-Instanzen in der Zone us-central1-f:

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Sie müssen Ihren Abschnitt assignment so konfigurieren, dass er mit denselben Filtern übereinstimmt, die Sie festgelegt haben, als Sie den Agenten bereitgestellt haben.

Weitere Informationen zum Erstellen von YAML-Dateien für Gastrichtlinien.

Wenden Sie die YAML-Datei der Gastrichtlinie nach dem Erstellen mit dem folgenden Befehl an:

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Fehlerbehebung

Fehler in Gastrichtlinien beheben

Allgemeine Anleitungen zum Debuggen von Gastrichtlinien finden Sie unter Debuggen einer Gastrichtlinie.

Insbesondere Folgendes:

  • Listen Sie bestehende Gastrichtlinien auf
  • Prüfen Sie bestimmte Gastrichtlinien
  • Finden Sie heraus, welche Richtlinien für eine bestimmte VM-Instanz gelten
  • Prüfen Sie die Logs für Cloud-Logging auf mögliche Fehlermeldungen im Zusammenhang mit der Bereitstellung.

Wenn eine Bereitstellung in einer bestimmten VM-Instanz nicht erfolgreich ist, können Sie versuchen, das Problem mithilfe der folgenden Schritte zu diagnostizieren:

  1. Finden Sie heraus, ob die Bereitstellung eine Gastrichtlinie erstellt hat.

  2. Wenn ja, prüfen Sie die erstellte Gastrichtlinie:

    1. Bezieht sich auf den erwarteten Sicherheitsagenten.
    2. Zielt auf den erwarteten Satz von VM-Instanzen in seiner Zuweisung ab.
  3. Prüfen Sie, ob die VM-Instanz lookup die neue erwartete Gastrichtlinie enthält.

  4. Prüfen Sie, ob in den Logs für Cloud-Logging Fehlermeldungen im Zusammenhang mit OS Config für diese bestimmte VM-Instanz vorhanden sind.