Déployer des agents logiciels de sécurité

Vous pouvez déployer des agents logiciels de sécurité depuis Cloud Marketplace sur les instances de VM de votre projet. Si vous devez désinstaller un agent logiciel de sécurité, passez à la section Désinstaller une solution de sécurité.

Les agents logiciels de sécurité font généralement partie de solutions de sécurité plus importantes. Par exemple, si vous disposez d'un abonnement à une solution de sécurité, cette solution peut inclure un agent de sécurité que vous pouvez installer sur vos instances de VM. Les agents collectent des données sur les failles et les comportements suspects sur les instances de VM, et les renvoient au fournisseur du logiciel. Vous pouvez consulter les rapports de sécurité dans un tableau de bord fourni par le fournisseur de logiciels.

Lorsque vous installez un agent de sécurité à partir de Cloud Marketplace, vous devez vous inscrire auprès du fournisseur logiciel. Le fournisseur vous facture des frais séparément.

Avant de commencer

Configurer les métadonnées du projet

Vous pouvez utiliser Cloud Console ou l'outil de ligne de commande gcloud pour configurer les métadonnées du projet pour l'agent de configuration du système d'exploitation installé dans les instances de machine virtuelle.

Console

  1. Ouvrez la page Project Metadata (Métadonnées du projet).
  2. Cliquez sur Modifier.
  3. Cliquez sur Ajouter un élément et ajoutez la propriété suivante :

    Clé Value
    enable-osconfig vrai
  4. De plus, l'élément de métadonnées suivant peut être ajouté pour inclure des messages de débogage dans les journaux Cloud Logging, bien que cela ne soit pas obligatoire. Cela facilitera la tâche de dépannage des problèmes de déploiements ultérieurs.

    Clé Value
    osconfig-log-level debug

gcloud

  1. Utilisez cette commande pour configurer les métadonnées du projet pour l'agent OS Config :

    gcloud compute project-info add-metadata --metadata=enable-osconfig=true
    
  2. En plus, la commande suivante peut être utilisée pour inclure des messages de débogage dans les journaux Cloud Logging. Cela facilitera la tâche de dépannage des problèmes de déploiements ultérieurs.

    gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
    
  3. Pour vérifier que les métadonnées ont été correctement configurées, utilisez cette commande :

    gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
    

Déployer un agent de sécurité

Pour afficher les agents de sécurité disponibles sur Cloud Marketplace, utilisez le filtre Sécurité.

Accéder aux solutions de sécurité

Pour déployer l'agent de sécurité :

  1. Choisissez l'agent dans Cloud Marketplace.

  2. Inscrivez-vous à l'agent de sécurité sur le site Web du fournisseur.

    Dans le cadre de l'inscription, le fournisseur vous fournit généralement des identifiants, tels qu'un mot de passe, un ID d'activation ou un ID de licence. Vous utilisez ces identifiants pour associer vos projets Google Cloud à votre abonnement avec le fournisseur.

  3. Une fois inscrit, ouvrez la fiche Cloud Marketplace de l'agent de sécurité et suivez les étapes pour configurer l'agent.

  4. Sur la page de configuration, saisissez les identifiants que vous avez obtenus lors de votre inscription à la solution. Ensuite, sous Attribution de VM, sélectionnez les instances de VM sur lesquelles déployer l'agent de sécurité.

    Vous pouvez filtrer vos machines virtuelles par les champs suivants :

    • Préfixes de nom
    • Libellés du groupe
  5. Le déploiement crée un bucket Cloud Storage dans vos projets et copie les fichiers d'installation dans celui-ci. Sous Détails du bucket de stockage, sélectionnez une région pour créer le bucket Cloud Storage pour le déploiement.

  6. Après avoir sélectionné les attributions de VM et choisi une région pour le bucket Cloud Storage, cliquez sur Deploy (Déployer). Le déploiement peut prendre plusieurs minutes.

  7. Pour suivre et vérifier l'installation, utilisez l'une des méthodes suivantes :

Désinstaller un agent de sécurité

À un niveau élevé, vous devez procéder comme suit pour désinstaller un agent de sécurité :

  1. Supprimez toutes les règles d'invité pour l'agent. Ainsi, la configuration du système d'exploitation cesse d'installer l'agent sur les nouvelles instances de VM que vous créez. Si l'agent est en cours d'installation sur certaines VM lorsque vous supprimez les règles d'invité, les installations se poursuivent jusqu'à ce qu'elles soient terminées.

  2. Créez une règle d'invité pour l'agent de sécurité afin de le supprimer l'agent des instances de VM sur lesquelles il est installé.

La désinstallation de l'agent de sécurité de vos VM peut prendre plusieurs minutes.

Supprimer les stratégies d'invité

Vous pouvez utiliser Cloud Console ou l'outil de ligne de commande gcloud pour supprimer les stratégies d'invité pour l'agent de sécurité.

Console

  1. Ouvrez la page Stratégies d'invité.
  2. Sélectionnez les règles d'invité de l'agent de sécurité, puis cliquez sur Supprimer.

gcloud

  1. Utilisez cette commande pour répertorier toutes vos stratégies d'invité :

    gcloud beta compute os-config guest-policies list
    
  2. Dans la liste des stratégies d'invité, copiez les ID des stratégies d'invité pour la solution de sécurité, puis exécutez cette commande pour supprimer chacune des stratégies d'invité :

    gcloud beta compute os-config guest-policies delete POLICY_ID
    

Créer une règle d'invité pour supprimer l'agent

Après avoir supprimé les règles d'invité de l'agent de sécurité, vous devez créer une règle qui supprime l'agent de sécurité de vos VM à l'aide de la propriété desiredState: REMOVED.

Par exemple, le fichier YAML de stratégie d'invité suivant supprime cloud-agent-package de toutes les instances de machine virtuelle Debian dans la zone us-central1-f :

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Vous devez configurer votre section assignment pour qu'elle corresponde aux mêmes filtres que vous avez définis lors du déploiement de l'agent.

En savoir plus sur la création de fichiers YAML de règle d'invité

Après avoir créé le fichier YAML de stratégie d'invité, appliquez-le à l'aide de la commande suivante :

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Dépannage

Déboguer une stratégie d'invité

Vous trouverez des conseils généraux pour le débogage des stratégies d'invité dans Débogage d'une stratégie d'invité

En particulier, sur les actions suivantes :

  • Répertorier les politiques d'invité existantes
  • Inspecter des politiques d'invité spécifiques
  • Identifier les règles qui s'appliquent à une instance de VM particulière
  • Recherchez dans les journaux Cloud Logging des messages d'erreur potentiels liés au déploiement.

Si un déploiement échoue dans une instance de machine virtuelle spécifique, vous pouvez essayer de diagnostiquer le problème en procédant comme suit :

  1. Vérifiez si le déploiement a créé une règle relative aux invités.

  2. Si tel est le cas, vérifiez que la stratégie d'invité créée :

    1. Fait référence à l'agent de sécurité attendu.
    2. Cible l'ensemble d'instances de VM attendu dans son affectation.
  3. Vérifiez que l'instance de VM lookup inclut la nouvelle règle d'invité attendue.

  4. Vérifiez s'il existe des messages d'erreur liés à la configuration du système d'exploitation pour cette instance de machine virtuelle spécifique dans les journaux Cloud Logging.