Men-deploy agen software keamanan

Anda dapat men-deploy agen software keamanan dari Cloud Marketplace ke instance VM di project Anda. Jika perlu meng-uninstal agen software keamanan, lanjutkan ke Meng-uninstal agen keamanan.

Agen software keamanan biasanya merupakan komponen dari produk keamanan yang lebih besar. Misalnya, jika Anda memiliki langganan produk keamanan, produk tersebut mungkin menyertakan agen keamanan yang dapat Anda instal di instance VM. Agen mengumpulkan data tentang kerentanan dan perilaku mencurigakan pada instance VM, dan mengirim data ini kembali ke vendor software. Anda dapat melihat laporan keamanan di dasbor yang disediakan vendor software.

Saat menginstal agen keamanan dari Cloud Marketplace, Anda harus mendaftar dengan vendor software secara independen. Vendor akan mengenakan biaya secara terpisah.

Sebelum memulai

Misalnya, jika Anda ingin membuat peran kustom Identity and Access Management bernama Security Agent Deployer, buat file SecurityAgentDeployer.yaml terlebih dahulu:

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

Setelah Anda membuat file YAML, untuk membuat peran khusus {iam_name}, jalankan perintah berikut:

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

Setelah Anda membuat peran khusus Security Agent Deployer, berikan kepada pengguna Anda yang Anda harapkan untuk men-deploy agen keamanan:

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:my-user@example.com   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

Mengonfigurasi metadata project

Anda dapat menggunakan Google Cloud Console atau Google Cloud CLI guna mengonfigurasi metadata project untuk agen Konfigurasi OS yang diinstal di instance VM.

Konsol

  1. Buka halaman Project Metadata.
  2. Klik Edit.
  3. Klik Add Item, dan tambahkan properti berikut:

    Kunci Nilai
    enable-osconfig true
  4. Selain itu, meskipun tidak diwajibkan, item metadata berikut dapat ditambahkan untuk menyertakan pesan proses debug dalam log Cloud Logging. Hal ini akan memfasilitasi tugas pemecahan masalah deployment di masa mendatang.

    Kunci Nilai
    osconfig-log-level debug

gcloud

  1. Gunakan perintah ini untuk menyiapkan metadata project untuk agen Konfigurasi OS:

    gcloud compute project-info add-metadata --metadata=enable-osconfig=true
    
  2. Selain itu, meskipun tidak diperlukan, perintah berikut dapat digunakan untuk menyertakan pesan proses debug dalam log Cloud Logging. Hal ini akan memfasilitasi tugas pemecahan masalah deployment di masa mendatang.

    gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
    
  3. Untuk memverifikasi bahwa metadata telah disiapkan dengan benar, gunakan perintah ini:

    gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
    

Men-deploy agen keamanan

Untuk melihat agen keamanan yang tersedia di Cloud Marketplace, gunakan filter Keamanan.

Buka produk keamanan

Untuk men-deploy agen keamanan:

  1. Pilih agen dari Cloud Marketplace.

  2. Daftar ke agen keamanan di situs vendor.

    Sebagai bagian dari pendaftaran, vendor biasanya memberi Anda ID dan kredensial, seperti sandi, ID aktivasi, atau ID lisensi. Anda menggunakan ID ini untuk menautkan project Google Cloud ke langganan Anda dengan vendor.

  3. Setelah mendaftar, buka listingan Cloud Marketplace untuk agen keamanan dan ikuti langkah-langkah untuk mengonfigurasi agen.

  4. Di halaman konfigurasi, masukkan ID yang Anda dapatkan saat mendaftar ke produk. Kemudian, di bagian Penetapan VM, pilih instance VM tempat agen keamanan akan di-deploy.

    Anda dapat memfilter VM menurut kolom berikut:

    • Awalan nama
    • Label grup
  5. Deployment ini akan membuat bucket Cloud Storage di project Anda, dan menyalin file penginstalan ke bucket tersebut. Di bagian Storage bucket details, pilih region guna membuat bucket Cloud Storage untuk deployment.

  6. Setelah memilih penetapan VM dan memilih region untuk bucket Cloud Storage, klik Deploy. Deployment mungkin perlu waktu beberapa menit hingga selesai.

  7. Untuk melacak dan memverifikasi penginstalan, gunakan salah satu metode berikut:

Meng-uninstal agen keamanan

Pada tingkat tinggi, Anda harus melakukan hal berikut untuk meng-uninstal agen keamanan:

  1. Hapus semua kebijakan tamu untuk agen. Hal ini untuk memastikan bahwa Konfigurasi OS berhenti menginstal agen di setiap instance VM baru yang Anda buat. Jika agen diinstal di beberapa VM saat Anda menghapus kebijakan tamu, penginstalan akan berlanjut hingga selesai.

  2. Buat kebijakan tamu baru untuk agen keamanan, yang akan menghapus agen dari instance VM yang telah menginstal agen.

Diperlukan waktu beberapa menit hingga agen keamanan di-uninstal dari VM Anda.

Hapus kebijakan tamu

Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI untuk menghapus kebijakan tamu untuk agen keamanan.

Konsol

  1. Buka halaman Kebijakan Tamu.
  2. Pilih kebijakan tamu untuk agen keamanan, lalu klik Delete.

gcloud

  1. Gunakan perintah ini untuk mencantumkan semua kebijakan tamu Anda:

    gcloud beta compute os-config guest-policies list
    
  2. Dari daftar kebijakan tamu, salin ID kebijakan tamu untuk produk keamanan, lalu jalankan perintah ini untuk menghapus setiap kebijakan tamu:

    gcloud beta compute os-config guest-policies delete POLICY_ID
    

Buat kebijakan tamu untuk menghapus agen

Setelah menghapus kebijakan tamu untuk agen keamanan, Anda harus membuat kebijakan baru yang menghapus agen keamanan dari VM Anda, menggunakan properti desiredState: REMOVED.

Misalnya, file YAML kebijakan tamu berikut menghapus cloud-agent-package dari semua instance VM berbasis Debian di zona us-central1-f:

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Anda harus mengonfigurasi bagian assignment agar cocok dengan filter yang sama dengan yang Anda tetapkan saat men-deploy agen.

Pelajari lebih lanjut cara membuat file YAML kebijakan tamu.

Setelah membuat file YAML kebijakan tamu, terapkan dengan menggunakan perintah berikut:

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Pemecahan masalah

Men-debug Kebijakan Tamu

Anda dapat menemukan panduan umum untuk men-debug Kebijakan Tamu di Men-debug kebijakan tamu

Secara khusus, tentang cara

  • Mencantumkan Kebijakan Tamu yang ada
  • Memeriksa Kebijakan Tamu tertentu
  • Menemukan kebijakan yang berlaku untuk instance VM tertentu
  • Periksa log Cloud Logging di penelusuran untuk menemukan potensi pesan error yang terkait dengan deployment.

Jika deployment tidak berhasil di instance VM tertentu, Anda dapat mencoba mendiagnosis masalah tersebut dengan mengikuti langkah-langkah berikut:

  1. Cari tahu apakah deployment membuat Kebijakan Tamu.

  2. Jika ya, pastikan Kebijakan Tamu yang dibuat:

    1. Mengacu pada Agen Keamanan yang diharapkan.
    2. Menargetkan kumpulan instance VM yang diharapkan dalam Penetapannya.
  3. Pastikan instance VM lookup menyertakan Kebijakan Tamu baru yang diharapkan.

  4. Periksa apakah ada pesan error terkait Konfigurasi OS untuk instance VM spesifik tersebut di log Cloud Logging.