Sie können Sicherheitssoftware-Agents aus Cloud Marketplace heraus auf den VM-Instanzen in Ihrem Projekt bereitstellen. Wenn Sie einen Sicherheitssoftware-Agenten deinstallieren müssen, fahren Sie mit Sicherheitsagent deinstallieren fort.
Sicherheitssoftware-Agenten sind normalerweise Bestandteil größerer Sicherheitsprodukte. Wenn Sie beispielsweise ein Abo für ein Sicherheitsprodukt haben, enthält die Lösung möglicherweise einen Sicherheitsagenten, den Sie auf Ihren VM-Instanzen installieren können. Die Agenten erfassen Daten zu Schwachstellen und verdächtigem Verhalten auf den VM-Instanzen und senden diese Daten an den Softwareanbieter zurück. Sie können die Sicherheitsberichte in einem Dashboard anzeigen, das der Softwareanbieter bereitstellt.
Wenn Sie einen Sicherheits-Agent aus Cloud Marketplace installieren, müssen Sie sich unabhängig davon auch beim Softwareanbieter registrieren. Der Verkäufer berechnet Ihnen eine Gebühr separat.
Hinweis
Aktivieren Sie OS Configuration Management:
Sie müssen folgende Berechtigungen haben:
osconfig.guestPolicies.create
osconfig.guestPolicies.delete
osconfig.guestPolicies.get
osconfig.guestPolicies.list
storage.buckets.create
storage.buckets.get
storage.objects.create
storage.objects.delete
Wir empfehlen, mit diesen Berechtigungen eine benutzerdefinierte IAM-Rolle (Identity and Access Management) zu erstellen und diese Nutzern zuzuweisen, die Sicherheitssoftware-Agents über Cloud Marketplace bereitstellen können.
Wenn Sie z. B. eine benutzerdefinierte Rolle für die Identitäts- und Zugriffsverwaltung (Security Agent Deployer) erstellen möchten, erstellen Sie zuerst eine SecurityAgentDeployer.yaml
-Datei:
title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Nachdem Sie die YAML-Datei erstellt haben, führen Sie den folgenden Befehl aus, um die benutzerdefinierte {iam_name}-Rolle zu erstellen:
gcloud iam roles create role-id --project=project-id \
--file=SecurityAgentDeployer.yaml
Nachdem Sie die benutzerdefinierte {iam_name}-Rolle Security Agent Deployer erstellt haben, weisen Sie diese Ihren Nutzern zu, von denen Sie ausgehen, dass sie Sicherheitsagenten bereitstellen.
gcloud projects add-iam-policy-binding <project-id> \
--member=user:my-user@example.com \
--role=projects/<project-id>/roles/SecurityAgentDeployer
Konfigurieren Sie die Projektmetadaten
Sie können die Projektmetadaten mit der Google Cloud Console oder der Google Cloud CLI konfigurieren für den in den VM-Instanzen installierten OS Configuration-Agent.
Console
- Öffnen Sie die Seite Projektmetadaten.
- Klicken Sie auf Bearbeiten.
Klicken Sie auf Element hinzufügen und fügen Sie die folgende Eigenschaft hinzu:
Key Wert enable-osconfig wahr Obwohl nicht erforderlich, kann das folgende Metadatenelement hinzugefügt werden, um Debugging-Meldungen in die Logs für Cloud-Logging aufzunehmen. Dies erleichtert die Fehlerbehebung bei zukünftigen Bereitstellungen.
Key Wert osconfig-log-level debug
gcloud
Verwenden Sie diesen Befehl, um die Projektmetadaten für den OS Config-Agenten einzurichten:
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
Obwohl nicht erforderlich, kann das folgende Metadatenelement hinzugefügt werden, um Debugging-Meldungen in die Logs für Cloud-Logging aufzunehmen. Dies erleichtert die Fehlerbehebung bei zukünftigen Bereitstellungen.
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
Verwenden Sie den folgenden Befehl, um zu prüfen, ob die Metadaten ordnungsgemäß eingerichtet wurden:
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
Sicherheitsagenten bereitstellen
Verwenden Sie den Filter Security, um die auf dem Cloud Marketplace verfügbaren Sicherheitsagenten anzuzeigen.
So stellen Sie den Sicherheitsagenten bereit:
Wählen Sie den Agenten aus Cloud Marketplace aus.
Melden Sie sich auf der Website des Anbieters für den Sicherheitsagenten an.
Im Rahmen der Anmeldung stellt Ihnen der Anbieter normalerweise Kennungen und Anmeldedaten zur Verfügung, z. B. ein Kennwort, eine Aktivierungs-ID oder eine Lizenz-ID. Mit diesen Kennungen verknüpfen Sie Ihre Google Cloud-Projekte mit Ihrem Abo beim Anbieter.
Öffnen Sie nach der Registrierung den Cloud Marketplace-Eintrag für den Sicherheits-Agent und folgen Sie der Anleitung zum Konfigurieren des Agents.
Geben Sie auf der Konfigurationsseite die Kennungen ein, die Sie bei der Anmeldung für das Produkt erhalten haben. Wählen Sie dann unter VM-Zuweisung die VM-Instanzen aus, für die der Sicherheitsagent bereitgestellt werden soll.
Sie können Ihre VMs nach folgenden Feldern filtern:
- Namenspräfixe
- Gruppierungen:
Die Bereitstellung erstellt einen Cloud-Speicher-Bucket in Ihren Projekten und kopiert die Installationsdateien in den Bucket. Wählen Sie unter Details zum Storage-Bucket eine Region aus, um den Cloud Storage-Bucket für die Bereitstellung zu erstellen.
Nachdem Sie die VM-Zuweisungen ausgewählt und eine Region für den Cloud Storage-Bucket ausgewählt haben, klicken Sie auf Bereitstellen. Die Bereitstellung kann mehrere Minuten dauern.
Verwenden Sie eine der folgenden Methoden, um die Installation zu verfolgen und zu prüfen:
Listen Sie die Gastrichtlinien für ein Projekt auf und prüfen Sie, ob neue Gastrichtlinien für den Sicherheitsagenten erstellt wurden. In der Regel erstellt die Bereitstellung eine Gastrichtlinie pro Betriebssystem.
Öffnen Sie den Logging-Viewer und prüfen Sie die Logs auf den Ressourcentyp VM-Instanz und den Logtyp OSConfigAgent.
Sicherheitsagenten deinstallieren
Auf hoher Ebene müssen Sie Folgendes tun, um einen Sicherheitsagenten zu deinstallieren:
Löschen Sie alle Gastrichtlinien für den Agenten. Dadurch wird sichergestellt, dass OS Configuration die Installation des Agenten auf allen von Ihnen erstellten neuen VM-Instanzen beendet. Wenn der Agent beim Löschen der Gastrichtlinien auf einigen VMs installiert wird, werden die Installationen fortgesetzt, bis sie abgeschlossen sind.
Erstellen Sie eine neue Gastrichtlinie für den Sicherheitsagenten, mit der der Agent aus VM-Instanzen entfernt wird, auf denen der Agent installiert ist.
Es kann einige Minuten dauern, bis der Sicherheitsagent von Ihren VMs deinstalliert ist.
Löschen Sie die Gastrichtlinien
Sie können die Gastrichtlinien für den Sicherheitsagenten mit der Google Cloud Console oder der Google Cloud CLI löschen.
Console
- Öffnen Sie die Seite Gastrichtlinien.
- Wählen Sie die Gastrichtlinien für den Sicherheitsagenten aus und klicken Sie dann auf Löschen.
gcloud
Verwenden Sie diesen Befehl, um alle Gastrichtlinien aufzulisten:
gcloud beta compute os-config guest-policies list
Kopieren Sie aus der Liste der Gastrichtlinien die IDs der Gastrichtlinien für die Sicherheitsprodukt und führen Sie diesen Befehl aus, um alle Gastrichtlinien zu löschen:
gcloud beta compute os-config guest-policies delete POLICY_ID
Erstellen Sie eine Gastrichtlinie, um den Agenten zu entfernen
Nachdem Sie die Gastrichtlinien für den Sicherheitsagenten gelöscht haben, müssen Sie mithilfe der Eigenschaft desiredState: REMOVED
eine neue Richtlinie erstellen, mit der der Sicherheitsagent von Ihren VMs entfernt wird.
Die folgende YAML-Datei für Gastrichtlinien entfernt beispielsweise cloud-agent-package
aus allen Debian-basierten VM-Instanzen in der Zone us-central1-f
:
assignment:
groupLabels:
- labels:
agent: enabled # apply to VMs with the "agent" label set to "enabled"
zones:
- us-central1-f # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
manager: APT # indicates Debian-based OS
name: cloud-agent-package # indicates the security agent's package name
Sie müssen Ihren Abschnitt assignment
so konfigurieren, dass er mit denselben Filtern übereinstimmt, die Sie festgelegt haben, als Sie den Agenten bereitgestellt haben.
Weitere Informationen zum Erstellen von YAML-Dateien für Gastrichtlinien.
Wenden Sie die YAML-Datei der Gastrichtlinie nach dem Erstellen mit dem folgenden Befehl an:
gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE
Fehlerbehebung
Fehler in Gastrichtlinien beheben
Allgemeine Anleitungen zum Debuggen von Gastrichtlinien finden Sie unter Debuggen einer Gastrichtlinie.
Insbesondere Folgendes:
- Listen Sie bestehende Gastrichtlinien auf
- Prüfen Sie bestimmte Gastrichtlinien
- Finden Sie heraus, welche Richtlinien für eine bestimmte VM-Instanz gelten
- Prüfen Sie die Logs für Cloud-Logging auf mögliche Fehlermeldungen im Zusammenhang mit der Bereitstellung.
Wenn eine Bereitstellung in einer bestimmten VM-Instanz nicht erfolgreich ist, können Sie versuchen, das Problem mithilfe der folgenden Schritte zu diagnostizieren:
Finden Sie heraus, ob die Bereitstellung eine Gastrichtlinie erstellt hat.
Wenn ja, prüfen Sie die erstellte Gastrichtlinie:
- Bezieht sich auf den erwarteten Sicherheitsagenten.
- Zielt auf den erwarteten Satz von VM-Instanzen in seiner Zuweisung ab.
Prüfen Sie, ob die VM-Instanz
lookup
die neue erwartete Gastrichtlinie enthält.Prüfen Sie, ob in den Logs für Cloud-Logging Fehlermeldungen im Zusammenhang mit OS Config für diese bestimmte VM-Instanz vorhanden sind.