Puedes implementar agentes de software de seguridad desde Cloud Marketplace en las instancias de VM de tu proyecto. Si necesitas desinstalar un agente de software de seguridad, ve a Desinstala un agente de seguridad.
Los agentes de software de seguridad suelen ser un componente de productos de seguridad de mayor tamaño. Por ejemplo, si tienes una suscripción a un producto de seguridad, la solución podría incluir un agente de seguridad que puedas instalar en tus instancias de VM. Los agentes recopilan datos sobre las vulnerabilidades y el comportamiento sospechoso en las instancias de VM y los envían al proveedor de software. Puedes ver los informes de seguridad en un panel que proporciona el proveedor de software.
Cuando instalas un agente de seguridad desde Cloud Marketplace, debes registrarte de forma independiente con el proveedor de software. El proveedor te cobrará una tarifa por separado.
Antes de comenzar
Habilita la Administración de configuración del SO:
Debes contar con los siguientes permisos:
osconfig.guestPolicies.createosconfig.guestPolicies.deleteosconfig.guestPolicies.getosconfig.guestPolicies.liststorage.buckets.createstorage.buckets.getstorage.objects.createstorage.objects.delete
Recomendamos crear una función personalizada de Identity and Access Management con estos permisos y asignarla a los usuarios que pueden implementar agentes de software de seguridad desde Cloud Marketplace.
Por ejemplo, si deseas crear una función personalizada de Identity and Access Management llamada Implementador de agente de seguridad, primero debes crear un archivo SecurityAgentDeployer.yaml:
title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Después de crear su archivo YAML, ejecuta el siguiente comando para crear la función personalizada {iam_name}:
gcloud iam roles create role-id --project=project-id \
--file=SecurityAgentDeployer.yaml
Después de crear el implementador de agente de seguridad para la función personalizada {iam_name}, asignalo a tus usuarios con quienes esperas implementar agentes de seguridad:
gcloud projects add-iam-policy-binding <project-id> \
--member=user:my-user@example.com \
--role=projects/<project-id>/roles/SecurityAgentDeployer
Configura los metadatos del proyecto.
Puedes usar la consola de Google Cloud o Google Cloud CLI a fin de configurar los metadatos del proyecto para el agente de configuración del SO instalado en las instancias de VM.
Consola
- Abre la página de metadatos del proyecto.
- Haz clic en Editar.
Haz clic en Agregar elemento y agrega la siguiente propiedad:
Clave Valor enable-osconfig true Además, aunque no es obligatorio, se puede agregar el siguiente elemento de metadatos para incluir mensajes de depuración en los registros de Cloud Logging. Esto facilitará la tarea de solucionar los problemas de futuras implementaciones.
Key Valor osconfig-log-level debug
gcloud
Usa este comando a fin de configurar los metadatos del proyecto para el agente de configuración del SO:
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
Además, aunque no es obligatorio, se usará el siguiente comando para incluir mensajes de depuración en los registros de Cloud Logging. Esto facilitará la tarea de solucionar los problemas de futuras implementaciones.
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
Usa el siguiente comando para verificar que los metadatos se hayan configurado de forma correcta:
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
Implementa un agente de seguridad
Para ver los agentes de seguridad disponibles en Cloud Marketplace, usa el filtro de Seguridad.
Para implementar el agente de seguridad, haz lo siguiente:
Elige el agente de Cloud Marketplace.
Regístrate para el agente de seguridad en el sitio web del proveedor.
Como parte del registro, por lo general, el proveedor te proporciona identificadores y credenciales, como una contraseña, un ID de activación o un ID de licencia. Usa estos identificadores para vincular tus proyectos de Google Cloud con tu suscripción con el proveedor.
Después de registrarte, abre la lista de Cloud Marketplace del agente de seguridad y sigue los pasos para configurar el agente.
En la página de configuración, ingresa los identificadores que obtuviste cuando te registraste para el producto. Luego, en Tarea de VM, selecciona las instancias de VM en las que quieres implementar el agente de seguridad.
Puedes filtrar tus VM mediante por los campos siguientes:
- Prefijos de nombres
- Etiquetas de grupos
La implementación crea un bucket de Cloud Storage en tus proyectos y copia los archivos de instalación en el bucket. En Detalles del bucket de almacenamiento, selecciona una región en la cual crear el bucket de Cloud Storage para la implementación.
Después de seleccionar las tareas de VM y elegir una región para el depósito de Cloud Storage, haz clic en Implementar. La implementación puede tardar varios minutos en completarse.
Para realizar un seguimiento y verificar la instalación, usa uno de los siguientes métodos:
Enumera las políticas de invitados de un proyecto y, luego, verifica que se hayan creado nuevas políticas de invitado para el agente de seguridad. Por lo general, la implementación crea una política de invitado por sistema operativo.
Abre el visor de Logging y, luego, verifica los registros del tipo de recurso de Instancia de VM y el tipo de registro OSConfigAgent.
Desinstala un agente de seguridad
En un nivel alto, debes realizar lo siguiente para desinstalar un agente de seguridad:
Borra todas las políticas de invitado del agente. Esto garantiza que la configuración del SO deje de instalar el agente en cualquier instancia de VM nueva que crees. Si el agente se está instalando en algunas VM cuando borras las políticas de invitados, las instalaciones continúan hasta que se completen.
Crea una política de invitado nueva para el agente de seguridad, lo cual quita el agente de las instancias de VM que tienen el agente instalado.
El agente de seguridad puede tardar varios minutos en desinstalarse de tus VM.
Borra las políticas de invitados
Puedes usar la consola de Google Cloud o Google Cloud CLI para borrar las políticas de invitado del agente de seguridad.
Consola
- Abre la página de políticas de invitado.
- Selecciona las políticas de invitado para el agente de seguridad y, luego, haz clic en Borrar.
gcloud
Usa este comando para enumerar todas tus políticas de invitado:
gcloud beta compute os-config guest-policies list
En la lista de políticas de invitado, copia los ID de las políticas de invitado para el producto de seguridad y, luego, ejecuta este comando a fin de borrar cada una de las políticas de invitado:
gcloud beta compute os-config guest-policies delete POLICY_ID
Crea una política de invitado para borrar el agente
Después de borrar las políticas de invitado del agente de seguridad, debes crear una nueva política que quite el agente de seguridad de tus VM mediante la propiedad desiredState: REMOVED.
Por ejemplo, el siguiente archivo YAML de políticas de invitado quita cloud-agent-package de todas las instancias de VM basadas en Debian que se encuentran en la zona us-central1-f:
assignment:
groupLabels:
- labels:
agent: enabled # apply to VMs with the "agent" label set to "enabled"
zones:
- us-central1-f # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
manager: APT # indicates Debian-based OS
name: cloud-agent-package # indicates the security agent's package name
Debes configurar tu sección assignment para que coincida con los mismos filtros que configuraste cuando implementaste el agente.
Obtén más información sobre cómo crear archivos YAML de políticas de invitado.
Después de crear el archivo YAML de políticas de invitado, aplícalo mediante el siguiente comando:
gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE
Soluciona problemas
Depura de una política de invitado
Puedes encontrar una guía general para la depuración de las políticas de invitado en Depura una política de invitado.
En particular, sobre cómo hacer lo siguiente:
- Enumerar las políticas de invitado existentes
- Inspeccionar políticas de invitado específicas
- Descubrir qué políticas se aplican a una instancia de VM en particular
- Inspeccionar los registros de Cloud Logging en busca de posibles mensajes de error relacionados con la implementación
Si una implementación no tiene éxito en una instancia de VM específica, puedes intentar diagnosticar el problema si sigues estos pasos:
Averigua si la implementación creó una política de invitado.
De ser así, verifica que la política de invitado que creaste cumpla con lo siguiente:
- Se refiere al agente de seguridad esperado.
- Se orienta el conjunto esperado de instancias de VM en su asignación.
Verifica que la instancia de VM
lookupincluya la nueva política de invitado esperada.Verifica si hay mensajes de error relacionados con la configuración del SO en esa instancia de VM específica en los registros de Cloud Logging.