Puedes desplegar agentes de software de seguridad desde Cloud Marketplace en las instancias de VM de tu proyecto. Si necesitas desinstalar un agente de software de seguridad, ve a la sección Desinstalar un agente de seguridad.
Los agentes de software de seguridad suelen ser un componente de productos de seguridad más grandes. Por ejemplo, si tienes una suscripción a un producto de seguridad, el producto puede incluir un agente de seguridad que puedes instalar en tus instancias de VM. Los agentes recogen datos sobre vulnerabilidades y comportamientos sospechosos en las instancias de VM y envían estos datos al proveedor del software. Puedes ver los informes de seguridad en un panel de control que proporciona el proveedor del software.
Cuando instales un agente de seguridad desde Cloud Marketplace, debes registrarte con el proveedor de software de forma independiente. El proveedor te cobra una comisión por separado.
Antes de empezar
Habilita Gestión de configuración del SO:
Debes tener los siguientes permisos:
osconfig.guestPolicies.createosconfig.guestPolicies.deleteosconfig.guestPolicies.getosconfig.guestPolicies.liststorage.buckets.createstorage.buckets.getstorage.objects.createstorage.objects.delete
Te recomendamos que crees un rol personalizado de gestión de identidades y accesos con estos permisos y que lo asignes a los usuarios que puedan implementar agentes de software de seguridad desde Cloud Marketplace.
Por ejemplo, si quieres crear un rol personalizado de gestión de identidades y accesos llamado "Security Agent Deployer", primero debes crear un archivo SecurityAgentDeployer.yaml:
title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Una vez que hayas creado el archivo YAML, ejecuta el siguiente comando para crear el rol personalizado {iam_name}:
gcloud iam roles create role-id --project=project-id \
--file=SecurityAgentDeployer.yaml
Después de crear el rol personalizado {iam_name} Security Agent Deployer, concédelo a los usuarios que vayan a implementar agentes de seguridad:
gcloud projects add-iam-policy-binding <project-id> \
--member=user:my-user@example.com \
--role=projects/<project-id>/roles/SecurityAgentDeployer
Configurar los metadatos del proyecto
Puedes usar la Google Cloud consola o la CLI de Google Cloud para configurar los metadatos del proyecto del agente de configuración del SO instalado en las instancias de VM.
Consola
- Abre la página Metadatos del proyecto.
- Haz clic en Editar.
Haga clic en Añadir elemento y añada la siguiente propiedad:
Clave Valor enable-osconfig true Además, aunque no es obligatorio, se puede añadir el siguiente elemento de metadatos para incluir mensajes de depuración en los registros de Cloud Logging. De esta forma, te resultará más fácil solucionar problemas en futuros despliegues.
Clave Valor osconfig-log-level debug
gcloud
Usa este comando para configurar los metadatos del proyecto del agente de configuración del SO:
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
Además, aunque no es obligatorio, se puede usar el siguiente comando para incluir mensajes de depuración en los registros de Cloud Logging. De esta forma, te resultará más fácil solucionar problemas en futuros despliegues.
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
Para comprobar que los metadatos se han configurado correctamente, usa este comando:
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
Desplegar un agente de seguridad
Para ver los agentes de seguridad disponibles en Cloud Marketplace, usa el filtro Seguridad.
Para desplegar el agente de seguridad, sigue estos pasos:
Elige el agente de Cloud Marketplace.
Regístrate en el agente de seguridad en el sitio web del proveedor.
Como parte del proceso de registro, el proveedor suele proporcionarle identificadores y credenciales, como una contraseña, un ID de activación o un ID de licencia. Usa estos identificadores para vincular tus Google Cloud proyectos a tu suscripción con el proveedor.
Después de registrarte, abre la ficha de Cloud Marketplace del agente de seguridad y sigue los pasos para configurarlo.
En la página de configuración, introduce los identificadores que obtuviste al registrarte en el producto. A continuación, en Asignación de VM, selecciona las instancias de VM en las que quieras implementar el agente de seguridad.
Puedes filtrar tus máquinas virtuales por los siguientes campos:
- Prefijos de nombres
- Etiquetas de grupo
La implementación crea un segmento de Cloud Storage en tus proyectos y copia los archivos de instalación en el segmento. En Detalles del segmento de almacenamiento, selecciona una región para crear el segmento de Cloud Storage de la implementación.
Después de seleccionar las asignaciones de VM y elegir una región para el segmento de Cloud Storage, haz clic en Implementar. El despliegue puede tardar varios minutos en completarse.
Para monitorizar y verificar la instalación, utilice uno de los siguientes métodos:
Enumera las políticas de invitados de un proyecto y, a continuación, comprueba que se hayan creado nuevas políticas de invitados para el agente de seguridad. Normalmente, la implementación crea una política de invitado por sistema operativo.
Abre el visor de registros y, a continuación, consulta los registros del tipo de recurso Instancia de VM y del tipo de registro OSConfigAgent.
Desinstalar un agente de seguridad
A grandes rasgos, debes hacer lo siguiente para desinstalar un agente de seguridad:
Elimina todas las políticas de invitado del agente. De esta forma, se asegura de que la configuración del SO deje de instalar el agente en las nuevas instancias de VM que cree. Si el agente se está instalando en algunas VMs cuando eliminas las políticas de invitado, las instalaciones continuarán hasta que se completen.
Crea una política de invitado para el agente de seguridad, que elimina el agente de las instancias de VM en las que está instalado.
El agente de seguridad puede tardar varios minutos en desinstalarse de tus máquinas virtuales.
Eliminar las políticas de invitado
Puedes usar la Google Cloud consola o la CLI de Google Cloud para eliminar las políticas de invitado del agente de seguridad.
Consola
- Abre la página Políticas de invitado.
- Seleccione las políticas de invitado del agente de seguridad y, a continuación, haga clic en Eliminar.
gcloud
Usa este comando para enumerar todas tus políticas de invitado:
gcloud beta compute os-config guest-policies list
En la lista de políticas de invitado, copia los IDs de las políticas de invitado del producto de seguridad y, a continuación, ejecuta este comando para eliminar cada una de las políticas de invitado:
gcloud beta compute os-config guest-policies delete POLICY_ID
Crear una política de invitado para quitar el agente
Después de eliminar las políticas de invitado del agente de seguridad, debes crear una nueva política que elimine el agente de seguridad de tus VMs mediante la propiedad desiredState: REMOVED.
Por ejemplo, el siguiente archivo YAML de la política de invitado elimina cloud-agent-package
de todas las instancias de VM basadas en Debian de la zona us-central1-f:
assignment:
groupLabels:
- labels:
agent: enabled # apply to VMs with the "agent" label set to "enabled"
zones:
- us-central1-f # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
manager: APT # indicates Debian-based OS
name: cloud-agent-package # indicates the security agent's package name
Debe configurar la sección assignment para que coincida con los filtros que haya definido al implementar el agente.
Más información sobre cómo crear archivos YAML de políticas de invitados
Después de crear el archivo YAML de la política de invitado, aplícalo con el siguiente comando:
gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE
Solución de problemas
Depurar una política de invitado
Puedes consultar directrices generales para depurar políticas de invitados en el artículo Depurar una política de invitados.
En concreto, sobre cómo
- Mostrar las políticas de invitado existentes
- Inspeccionar políticas de invitados específicas
- Consultar qué políticas se aplican a una instancia de VM concreta
- Busca en los registros de Cloud Logging posibles mensajes de error relacionados con la implementación.
Si una implementación no se realiza correctamente en una instancia de VM específica, puedes intentar diagnosticar el problema siguiendo estos pasos:
Comprueba si la implementación ha creado una política de invitado.
Si es así, comprueba que la política de invitado creada:
- Hace referencia al agente de seguridad esperado.
- Se dirige al conjunto esperado de instancias de VM en su Assignment.
Verifica que la instancia de VM
lookupincluya la nueva política de invitado esperada.Comprueba si hay mensajes de error relacionados con la configuración del SO de esa instancia de VM específica en los registros de Cloud Logging.