Implementa agentes de software de seguridad

Puedes implementar agentes de software de seguridad desde Cloud Marketplace en las instancias de VM de tu proyecto. Si necesitas desinstalar un agente de software de seguridad, ve a Desinstala una solución de seguridad.

Los agentes de software de seguridad suelen ser un componente de soluciones de seguridad de mayor tamaño. Por ejemplo, si tienes una suscripción a una solución de seguridad, la solución podría incluir un agente de seguridad que puedas instalar en tus instancias de VM. Los agentes recopilan datos sobre las vulnerabilidades y el comportamiento sospechoso en las instancias de VM y los envían al proveedor de software. Puedes ver los informes de seguridad en un panel que proporciona el proveedor de software.

Cuando instalas un agente de seguridad desde Cloud Marketplace, debes registrarte de forma independiente con el proveedor de software. El proveedor te cobrará una tarifa por separado.

Antes de comenzar

Configura los metadatos del proyecto.

Puedes usar Cloud Console o la herramienta de línea de comandos de gcloud a fin de configurar los metadatos del proyecto para el agente de configuración del SO instalado en las instancias de VM.

Console

  1. Abre la página de metadatos del proyecto.
  2. Haz clic en Editar.
  3. Haz clic en Agregar elemento y agrega la siguiente propiedad:

    Key Valor
    enable-osconfig true
  4. Además, aunque no es obligatorio, se puede agregar el siguiente elemento de metadatos para incluir mensajes de depuración en los registros de Cloud Logging. Esto facilitará la tarea de solucionar los problemas de futuras implementaciones.

    Key Valor
    osconfig-log-level debug

gcloud

  1. Usa este comando a fin de configurar los metadatos del proyecto para el agente de configuración del SO:

    gcloud compute project-info add-metadata --metadata=enable-osconfig=true
    
  2. Además, aunque no es obligatorio, se usará el siguiente comando para incluir mensajes de depuración en los registros de Cloud Logging. Esto facilitará la tarea de solucionar los problemas de futuras implementaciones.

    gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
    
  3. Usa el siguiente comando para verificar que los metadatos se hayan configurado de forma correcta:

    gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
    

Implementa un agente de seguridad

Para ver los agentes de seguridad disponibles en Cloud Marketplace, usa el filtro de Seguridad.

Ir a las soluciones de seguridad

Para implementar el agente de seguridad, haz lo siguiente:

  1. Elige el agente de Cloud Marketplace.

  2. Regístrate para el agente de seguridad en el sitio web del proveedor.

    Como parte del registro, por lo general, el proveedor te proporciona identificadores y credenciales, como una contraseña, un ID de activación o un ID de licencia. Usa estos identificadores para vincular tus proyectos de Google Cloud con tu suscripción con el proveedor.

  3. Después de registrarte, abre la lista de Cloud Marketplace del agente de seguridad y sigue los pasos para configurar el agente.

  4. En la página de configuración, ingresa los identificadores que obtuviste cuando te registraste para la solución. Luego, en Tarea de VM, selecciona las instancias de VM en las que quieres implementar el agente de seguridad.

    Puedes filtrar tus VM mediante por los campos siguientes:

    • Prefijos de nombres
    • Etiquetas de grupos
  5. La implementación crea un depósito de Cloud Storage en tus proyectos y copia los archivos de instalación en el depósito. En Detalles del depósito de almacenamiento, selecciona una región en la cual crear el depósito de Cloud Storage para la implementación.

  6. Después de seleccionar las tareas de VM y elegir una región para el depósito de Cloud Storage, haz clic en Implementar. La implementación puede tardar varios minutos en completarse.

  7. Para realizar un seguimiento y verificar la instalación, usa uno de los siguientes métodos:

    • Enumera las políticas de invitados de un proyecto y, luego, verifica que se hayan creado nuevas políticas de invitado para el agente de seguridad. Por lo general, la implementación crea una política de invitado por sistema operativo.

    • Abre el visor de Logging y, luego, verifica los registros del tipo de recurso de Instancia de VM y el tipo de registro OSConfigAgent.

Desinstala un agente de seguridad

En un nivel alto, debes realizar lo siguiente para desinstalar un agente de seguridad:

  1. Borra todas las políticas de invitado del agente. Esto garantiza que la configuración del SO deje de instalar el agente en cualquier instancia de VM nueva que crees. Si el agente se está instalando en algunas VM cuando borras las políticas de invitados, las instalaciones continúan hasta que se completen.

  2. Crea una política de invitado nueva para el agente de seguridad, lo cual quita el agente de las instancias de VM que tienen el agente instalado.

El agente de seguridad puede tardar varios minutos en desinstalarse de tus VM.

Borra las políticas de invitados

Puedes usar Cloud Console o la herramienta de línea de comandos de gcloud para borrar las políticas de invitado del agente de seguridad.

Console

  1. Abre la página de políticas de invitado.
  2. Selecciona las políticas de invitado para el agente de seguridad y, luego, haz clic en Borrar.

gcloud

  1. Usa este comando para enumerar todas tus políticas de invitado:

    gcloud beta compute os-config guest-policies list
    
  2. En la lista de políticas de invitado, copia los ID de las políticas de invitado para la solución de seguridad y, luego, ejecuta este comando a fin de borrar cada una de las políticas de invitado:

    gcloud beta compute os-config guest-policies delete POLICY_ID
    

Crea una política de invitado para borrar el agente

Después de borrar las políticas de invitado del agente de seguridad, debes crear una nueva política que quite el agente de seguridad de tus VM mediante la propiedad desiredState: REMOVED.

Por ejemplo, el siguiente archivo YAML de políticas de invitado quita cloud-agent-package de todas las instancias de VM basadas en Debian que se encuentran en la zona us-central1-f:

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Debes configurar tu sección assignment para que coincida con los mismos filtros que configuraste cuando implementaste el agente.

Obtén más información sobre cómo crear archivos YAML de políticas de invitado.

Después de crear el archivo YAML de políticas de invitado, aplícalo mediante el siguiente comando:

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Soluciona problemas

Depura de una política de invitado

Puedes encontrar una guía general para la depuración de las políticas de invitado en Depura una política de invitado.

En particular, sobre cómo hacer lo siguiente:

  • Enumerar las políticas de invitado existentes
  • Inspeccionar políticas de invitado específicas
  • Descubrir qué políticas se aplican a una instancia de VM en particular
  • Inspeccionar los registros de Cloud Logging en busca de posibles mensajes de error relacionados con la implementación

Si una implementación no tiene éxito en una instancia de VM específica, puedes intentar diagnosticar el problema si sigues estos pasos:

  1. Averigua si la implementación creó una política de invitado.

  2. De ser así, verifica que la política de invitado que creaste cumpla con lo siguiente:

    1. Se refiere al agente de seguridad esperado.
    2. Se orienta el conjunto esperado de instancias de VM en su asignación.
  3. Verifica que la instancia de VM lookup incluya la nueva política de invitado esperada.

  4. Verifica si hay mensajes de error relacionados con la configuración del SO en esa instancia de VM específica en los registros de Cloud Logging.