Anda dapat men-deploy agen software keamanan dari Cloud Marketplace ke instance VM di project Anda. Jika perlu meng-uninstal agen software keamanan, lanjutkan ke Meng-uninstal agen keamanan.
Agen software keamanan biasanya merupakan komponen dari produk keamanan yang lebih besar. Misalnya, jika Anda memiliki langganan produk keamanan, produk tersebut mungkin menyertakan agen keamanan yang dapat Anda instal di instance VM. Agen mengumpulkan data tentang kerentanan dan perilaku mencurigakan pada instance VM, dan mengirim data ini kembali ke vendor software. Anda dapat melihat laporan keamanan di dasbor yang disediakan vendor software.
Saat menginstal agen keamanan dari Cloud Marketplace, Anda harus mendaftar dengan vendor software secara independen. Vendor akan mengenakan biaya secara terpisah.
Sebelum memulai
Aktifkan OS Configuration Management:
Anda harus memiliki izin berikut:
osconfig.guestPolicies.createosconfig.guestPolicies.deleteosconfig.guestPolicies.getosconfig.guestPolicies.liststorage.buckets.createstorage.buckets.getstorage.objects.createstorage.objects.delete
Sebaiknya buat peran khusus Identity and Access Management dengan izin ini, dan tetapkan peran tersebut kepada pengguna yang dapat men-deploy agen software keamanan dari Cloud Marketplace.
Misalnya, jika Anda ingin membuat peran kustom Identity and Access Management bernama Security Agent Deployer, buat file SecurityAgentDeployer.yaml terlebih dahulu:
title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Setelah Anda membuat file YAML, untuk membuat peran khusus {iam_name}, jalankan perintah berikut:
gcloud iam roles create role-id --project=project-id \
--file=SecurityAgentDeployer.yaml
Setelah Anda membuat peran khusus Security Agent Deployer, berikan kepada pengguna Anda yang Anda harapkan untuk men-deploy agen keamanan:
gcloud projects add-iam-policy-binding <project-id> \
--member=user:my-user@example.com \
--role=projects/<project-id>/roles/SecurityAgentDeployer
Mengonfigurasi metadata project
Anda dapat menggunakan Google Cloud Console atau Google Cloud CLI guna mengonfigurasi metadata project untuk agen Konfigurasi OS yang diinstal di instance VM.
Konsol
- Buka halaman Project Metadata.
- Klik Edit.
Klik Add Item, dan tambahkan properti berikut:
Kunci Nilai enable-osconfig true Selain itu, meskipun tidak diwajibkan, item metadata berikut dapat ditambahkan untuk menyertakan pesan proses debug dalam log Cloud Logging. Hal ini akan memfasilitasi tugas pemecahan masalah deployment di masa mendatang.
Kunci Nilai osconfig-log-level debug
gcloud
Gunakan perintah ini untuk menyiapkan metadata project untuk agen Konfigurasi OS:
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
Selain itu, meskipun tidak diperlukan, perintah berikut dapat digunakan untuk menyertakan pesan proses debug dalam log Cloud Logging. Hal ini akan memfasilitasi tugas pemecahan masalah deployment di masa mendatang.
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
Untuk memverifikasi bahwa metadata telah disiapkan dengan benar, gunakan perintah ini:
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
Men-deploy agen keamanan
Untuk melihat agen keamanan yang tersedia di Cloud Marketplace, gunakan filter Keamanan.
Untuk men-deploy agen keamanan:
Pilih agen dari Cloud Marketplace.
Daftar ke agen keamanan di situs vendor.
Sebagai bagian dari pendaftaran, vendor biasanya memberi Anda ID dan kredensial, seperti sandi, ID aktivasi, atau ID lisensi. Anda menggunakan ID ini untuk menautkan project Google Cloud ke langganan Anda dengan vendor.
Setelah mendaftar, buka listingan Cloud Marketplace untuk agen keamanan dan ikuti langkah-langkah untuk mengonfigurasi agen.
Di halaman konfigurasi, masukkan ID yang Anda dapatkan saat mendaftar ke produk. Kemudian, di bagian Penetapan VM, pilih instance VM tempat agen keamanan akan di-deploy.
Anda dapat memfilter VM menurut kolom berikut:
- Awalan nama
- Label grup
Deployment ini akan membuat bucket Cloud Storage di project Anda, dan menyalin file penginstalan ke bucket tersebut. Di bagian Storage bucket details, pilih region guna membuat bucket Cloud Storage untuk deployment.
Setelah memilih penetapan VM dan memilih region untuk bucket Cloud Storage, klik Deploy. Deployment mungkin perlu waktu beberapa menit hingga selesai.
Untuk melacak dan memverifikasi penginstalan, gunakan salah satu metode berikut:
Buat daftar kebijakan tamu untuk suatu project, lalu pastikan bahwa kebijakan tamu baru telah dibuat untuk agen keamanan. Biasanya, deployment akan membuat satu kebijakan tamu per sistem operasi.
Buka Logging viewer, lalu periksa log untuk jenis resource VM Instance dan jenis log OSConfigAgent.
Meng-uninstal agen keamanan
Pada tingkat tinggi, Anda harus melakukan hal berikut untuk meng-uninstal agen keamanan:
Hapus semua kebijakan tamu untuk agen. Hal ini untuk memastikan bahwa Konfigurasi OS berhenti menginstal agen di setiap instance VM baru yang Anda buat. Jika agen diinstal di beberapa VM saat Anda menghapus kebijakan tamu, penginstalan akan berlanjut hingga selesai.
Buat kebijakan tamu baru untuk agen keamanan, yang akan menghapus agen dari instance VM yang telah menginstal agen.
Diperlukan waktu beberapa menit hingga agen keamanan di-uninstal dari VM Anda.
Hapus kebijakan tamu
Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI untuk menghapus kebijakan tamu untuk agen keamanan.
Konsol
- Buka halaman Kebijakan Tamu.
- Pilih kebijakan tamu untuk agen keamanan, lalu klik Delete.
gcloud
Gunakan perintah ini untuk mencantumkan semua kebijakan tamu Anda:
gcloud beta compute os-config guest-policies list
Dari daftar kebijakan tamu, salin ID kebijakan tamu untuk produk keamanan, lalu jalankan perintah ini untuk menghapus setiap kebijakan tamu:
gcloud beta compute os-config guest-policies delete POLICY_ID
Buat kebijakan tamu untuk menghapus agen
Setelah menghapus kebijakan tamu untuk agen keamanan, Anda harus membuat kebijakan baru yang menghapus agen keamanan dari VM Anda, menggunakan properti desiredState: REMOVED.
Misalnya, file YAML kebijakan tamu berikut menghapus cloud-agent-package dari semua instance VM berbasis Debian di zona us-central1-f:
assignment:
groupLabels:
- labels:
agent: enabled # apply to VMs with the "agent" label set to "enabled"
zones:
- us-central1-f # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
manager: APT # indicates Debian-based OS
name: cloud-agent-package # indicates the security agent's package name
Anda harus mengonfigurasi bagian assignment agar cocok dengan filter yang sama dengan yang Anda tetapkan saat men-deploy agen.
Pelajari lebih lanjut cara membuat file YAML kebijakan tamu.
Setelah membuat file YAML kebijakan tamu, terapkan dengan menggunakan perintah berikut:
gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE
Pemecahan masalah
Men-debug Kebijakan Tamu
Anda dapat menemukan panduan umum untuk men-debug Kebijakan Tamu di Men-debug kebijakan tamu
Secara khusus, tentang cara
- Mencantumkan Kebijakan Tamu yang ada
- Memeriksa Kebijakan Tamu tertentu
- Menemukan kebijakan yang berlaku untuk instance VM tertentu
- Periksa log Cloud Logging di penelusuran untuk menemukan potensi pesan error yang terkait dengan deployment.
Jika deployment tidak berhasil di instance VM tertentu, Anda dapat mencoba mendiagnosis masalah tersebut dengan mengikuti langkah-langkah berikut:
Cari tahu apakah deployment membuat Kebijakan Tamu.
Jika ya, pastikan Kebijakan Tamu yang dibuat:
- Mengacu pada Agen Keamanan yang diharapkan.
- Menargetkan kumpulan instance VM yang diharapkan dalam Penetapannya.
Pastikan instance VM
lookupmenyertakan Kebijakan Tamu baru yang diharapkan.Periksa apakah ada pesan error terkait Konfigurasi OS untuk instance VM spesifik tersebut di log Cloud Logging.