Cette page a été traduite par l'API Cloud Translation.
Switch to English

Déployer des agents logiciels de sécurité

Vous pouvez déployer des agents logiciels de sécurité depuis Cloud Marketplace sur les instances de VM de votre projet. Si vous devez désinstaller un agent logiciel de sécurité, passez à la section Désinstaller une solution de sécurité.

Les agents logiciels de sécurité font généralement partie de solutions de sécurité plus étendues. Par exemple, si vous êtes abonné à une solution de sécurité, celle-ci peut inclure un agent de sécurité que vous pouvez installer sur vos instances de VM. Les agents collectent des données concernant les failles et les comportements suspects sur les instances de VM, puis renvoient ces données au fournisseur du logiciel. Vous pouvez consulter les rapports de sécurité dans un tableau de bord fourni par le fournisseur du logiciel.

Lorsque vous installez un agent de sécurité à partir de Cloud Marketplace, vous devez vous inscrire indépendamment auprès du fournisseur de logiciel. Le fournisseur vous facture des frais séparément.

Avant de commencer

Par exemple, si vous souhaitez créer un rôle IAM personnalisé nommé "Déployeur d'agent de sécurité", vous devez d'abord créer un fichier SecurityAgentDeployer.yaml :

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

Après avoir créé votre fichier YAML, pour créer le rôle personnalisé {iam_name}, exécutez la commande suivante :

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

Une fois que vous avez créé le rôle personnalisé {iam_name} Déployeur d'agent de sécurité, attribuez-le à vos utilisateurs susceptibles de déployer des agents de sécurité :

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:my-user@example.com   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

Configurer les métadonnées du projet

Vous pouvez utiliser Cloud Console ou l'outil de ligne de commande gcloud pour configurer les métadonnées du projet pour l'agent de configuration du système d'exploitation installé dans les instances de machine virtuelle.

Console

  1. Ouvrez la page Métadonnées du projet.
  2. Cliquez sur Modifier.
  3. Cliquez sur Ajouter un élément et ajoutez la propriété suivante :

    Clé Value
    enable-osconfig vrai
  4. De plus, bien que ce ne soit pas obligatoire, vous pouvez ajouter l'élément de métadonnées suivant pour inclure des messages de débogage dans les journaux Cloud Logging. Cela facilitera le dépannage des problèmes de déploiements ultérieurs.

    Clé Value
    osconfig-log-level debug

gcloud

  1. Utilisez cette commande pour configurer les métadonnées du projet pour l'agent OS Config :

    gcloud compute project-info add-metadata --metadata=enable-osconfig=true
    
  2. De plus, bien que ce ne soit pas obligatoire, la commande suivante peut être utilisée pour inclure des messages de débogage dans les journaux Cloud Logging. Cela facilitera le dépannage des problèmes de déploiements ultérieurs.

    gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
    
  3. Pour vérifier que les métadonnées ont été correctement configurées, utilisez cette commande :

    gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
    

Déployer un agent de sécurité

Pour afficher les agents de sécurité disponibles sur Cloud Marketplace, utilisez le filtre Sécurité.

Accéder aux solutions de sécurité

Pour déployer l'agent de sécurité :

  1. Choisissez l'agent dans Cloud Marketplace.

  2. Inscrivez-vous à l'agent de sécurité sur le site Web du fournisseur.

    Dans le cadre de l'inscription, le fournisseur vous donne généralement des identifiants, tels qu'un mot de passe, un ID d'activation ou un ID de licence. Ces identifiants vous permettent d'associer vos projets Google Cloud à votre abonnement au fournisseur.

  3. Une fois inscrit, ouvrez la fiche Cloud Marketplace de l'agent de sécurité et suivez les étapes pour configurer l'agent.

  4. Sur la page de configuration, saisissez les identifiants obtenus lors de votre inscription à la solution. Ensuite, sous Attribution de VM, sélectionnez les instances de VM sur lesquelles déployer l'agent de sécurité.

    Vous pouvez filtrer vos machines virtuelles par les champs suivants :

    • Préfixes de nom
    • Libellés du groupe
  5. Le déploiement crée un bucket Cloud Storage dans vos projets et copie les fichiers d'installation dans le bucket. Sous Détails du bucket de stockage, sélectionnez une région afin de créer le bucket Cloud Storage pour le déploiement.

  6. Après avoir sélectionné les attributions de VM et choisi une région pour le bucket Cloud Storage, cliquez sur Deploy (Déployer). Le déploiement peut prendre plusieurs minutes.

  7. Pour suivre et vérifier l'installation, utilisez l'une des méthodes suivantes :

Désinstaller un agent de sécurité

À un niveau élevé, vous devez procéder comme suit pour désinstaller un agent de sécurité :

  1. Supprimez toutes les règles d'invité pour l'agent. Cela garantit que la configuration du système d'exploitation cesse d'installer l'agent sur les nouvelles instances de VM que vous créez. Si l'agent est installé sur certaines VM lorsque vous supprimez les règles d'invité, l'installation se poursuit jusqu'à ce qu'elles soient terminées.

  2. Créez une règle d'invité pour l'agent de sécurité afin de le supprimer l'agent des instances de VM sur lesquelles il est installé.

La désinstallation de l'agent de sécurité de vos VM peut prendre plusieurs minutes.

Supprimer les règles d'invité

Vous pouvez utiliser Cloud Console ou l'outil de ligne de commande gcloud pour supprimer les règles d'invité pour l'agent de sécurité.

Console

  1. Ouvrez la page règles d'invité.
  2. Sélectionnez les règles d'invité de l'agent de sécurité, puis cliquez sur Supprimer.

gcloud

  1. Utilisez cette commande pour répertorier toutes vos règles d'invité :

    gcloud beta compute os-config guest-policies list
    
  2. Dans la liste des règles d'invité, copiez les ID des règles d'invité pour la solution de sécurité, puis exécutez cette commande pour supprimer chacune des règles d'invité :

    gcloud beta compute os-config guest-policies delete POLICY_ID
    

Créer une règle d'invité pour supprimer l'agent

Après avoir supprimé les règles d'invité pour l'agent de sécurité, vous devez créer une nouvelle règle qui supprime l'agent de sécurité de vos VM, à l'aide de la propriété desiredState: REMOVED.

Par exemple, le fichier YAML de règle d'invité suivant supprime cloud-agent-package de toutes les instances de machine virtuelle Debian dans la zone us-central1-f :

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Vous devez configurer votre section assignment pour qu'elle corresponde aux mêmes filtres que ceux définis lors du déploiement de l'agent.

En savoir plus sur la création de fichiers YAML de règle d'invité.

Après avoir créé le fichier YAML de règle d'invité, appliquez-le à l'aide de la commande suivante :

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Dépannage

Déboguer une règle d'invité

Vous trouverez des conseils généraux pour le débogage des règles d'invité dans Débogage d'une règle d'invité

En particulier, sur les actions suivantes :

  • Répertorier les politiques d'invité existantes
  • Inspecter des politiques d'invité spécifiques
  • Rechercher les règles qui s'appliquent à une instance de VM spécifique
  • Recherchez dans les journaux Cloud Logging des messages d'erreur potentiels liés au déploiement.

Si un déploiement échoue dans une instance de machine virtuelle spécifique, vous pouvez essayer de diagnostiquer le problème en procédant comme suit :

  1. Vérifiez si le déploiement a créé une règle d'invité.

  2. Si tel est le cas, vérifiez que la règle d'invité créée :

    1. Fait référence à l'agent de sécurité attendu.
    2. Cible l'ensemble d'instances de VM attendu dans son affectation.
  3. Vérifiez que l'instance de VM lookup inclut la nouvelle règle d'invité attendue.

  4. Vérifiez s'il existe des messages d'erreur liés à la configuration du système d'exploitation pour cette instance de machine virtuelle spécifique dans les journaux Cloud Logging.