Anda dapat men-deploy agen software keamanan dari Cloud Marketplace ke instance VM dalam project Anda. Jika Anda perlu meng-uninstal agen software keamanan, lanjutkan ke Meng-uninstal agen keamanan.
Agen software keamanan biasanya merupakan komponen dari produk keamanan yang lebih besar. Misalnya, jika Anda memiliki langganan produk keamanan, produk tersebut mungkin menyertakan agen keamanan yang dapat Anda instal di instance VM. Agen mengumpulkan data tentang kerentanan dan perilaku yang mencurigakan di instance VM, dan mengirimkan data ini kembali ke vendor software. Anda dapat melihat laporan keamanan di dasbor yang disediakan vendor software.
Saat menginstal agen keamanan dari Cloud Marketplace, Anda harus mendaftar ke vendor software secara independen. Vendor akan menagih biaya secara terpisah.
Sebelum memulai
Aktifkan Pengelolaan Konfigurasi OS:
Anda harus memiliki izin berikut:
osconfig.guestPolicies.createosconfig.guestPolicies.deleteosconfig.guestPolicies.getosconfig.guestPolicies.liststorage.buckets.createstorage.buckets.getstorage.objects.createstorage.objects.delete
Sebaiknya buat peran khusus Identity and Access Management dengan izin ini, dan tetapkan peran tersebut kepada pengguna yang dapat men-deploy agen software keamanan dari Cloud Marketplace.
Misalnya, jika ingin membuat peran khusus Identity and Access Management bernama Security Agent Deployer, Anda harus membuat file SecurityAgentDeployer.yaml terlebih dahulu:
title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Setelah Anda membuat file YAML, untuk membuat peran kustom {iam_name}, jalankan perintah berikut:
gcloud iam roles create role-id --project=project-id \
--file=SecurityAgentDeployer.yaml
Setelah Anda membuat peran khusus {iam_name} Security Agent Deployer, berikan peran tersebut kepada pengguna yang Anda harapkan untuk men-deploy agen keamanan:
gcloud projects add-iam-policy-binding <project-id> \
--member=user:my-user@example.com \
--role=projects/<project-id>/roles/SecurityAgentDeployer
Mengonfigurasi metadata project
Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI untuk mengonfigurasi metadata project untuk agen Konfigurasi OS yang diinstal di instance VM.
Konsol
- Buka halaman Metadata Project.
- Klik Edit
Klik Tambahkan Item, lalu tambahkan properti berikut:
Kunci Nilai enable-osconfig benar Selain itu, meskipun tidak diperlukan, item metadata berikut dapat ditambahkan untuk menyertakan pesan proses debug dalam log Cloud Logging. Hal ini akan memfasilitasi tugas pemecahan masalah deployment mendatang.
Kunci Nilai osconfig-log-level debug
gcloud
Gunakan perintah ini untuk menyiapkan metadata project untuk agen OS Config:
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
Selain itu, meskipun tidak diperlukan, perintah berikut dapat digunakan untuk menyertakan pesan proses debug dalam log Cloud Logging. Hal ini akan memfasilitasi tugas pemecahan masalah deployment mendatang.
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
Untuk memverifikasi bahwa metadata telah disiapkan dengan benar, gunakan perintah ini:
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
Men-deploy agen keamanan
Untuk melihat agen keamanan yang tersedia di Cloud Marketplace, gunakan filter Keamanan.
Untuk men-deploy agen keamanan:
Pilih agen dari Cloud Marketplace.
Daftar ke agen keamanan di situs vendor.
Sebagai bagian dari pendaftaran, vendor biasanya memberi Anda ID dan kredensial, seperti sandi, ID aktivasi, atau ID lisensi. Anda menggunakan ID ini untuk menautkan Google Cloud project ke langganan Anda dengan vendor.
Setelah mendaftar, buka listingan Cloud Marketplace untuk agen keamanan dan ikuti langkah-langkah untuk mengonfigurasi agen.
Di halaman konfigurasi, masukkan ID yang Anda dapatkan saat mendaftar ke produk. Kemudian, di bagian VM assignment, pilih instance VM tempat aplikasikan agen keamanan.
Anda dapat memfilter VM menurut kolom berikut:
- Awalan nama
- Label grup
Deployment akan membuat bucket Cloud Storage di project Anda, dan menyalin file penginstalan ke bucket. Di bagian Storage bucket details, pilih region untuk membuat bucket Cloud Storage untuk deployment.
Setelah Anda memilih penetapan VM dan memilih region untuk bucket Cloud Storage, klik Deploy. Mungkin perlu waktu beberapa menit untuk menyelesaikan deployment.
Untuk melacak dan memverifikasi penginstalan, gunakan salah satu metode berikut:
Cantumkan kebijakan tamu untuk project, lalu pastikan bahwa kebijakan tamu baru dibuat untuk agen keamanan. Biasanya, deployment membuat satu kebijakan tamu per sistem operasi.
Buka penampil Logging, lalu periksa log untuk jenis resource Instance VM dan jenis log OSConfigAgent.
Meng-uninstal agen keamanan
Pada level tinggi, Anda harus melakukan hal berikut untuk meng-uninstal agen keamanan:
Hapus semua kebijakan tamu untuk agen. Tindakan ini memastikan bahwa Konfigurasi OS berhenti menginstal agen di instance VM baru yang Anda buat. Jika agen sedang diinstal di beberapa VM saat Anda menghapus kebijakan tamu, penginstalan akan dilanjutkan hingga selesai.
Buat kebijakan tamu baru untuk agen keamanan, yang akan menghapus agen dari instance VM yang menginstal agen.
Mungkin perlu waktu beberapa menit agar agen keamanan di-uninstal dari VM Anda.
Menghapus kebijakan tamu
Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI untuk menghapus kebijakan tamu untuk agen keamanan.
Konsol
- Buka halaman Kebijakan Tamu.
- Pilih kebijakan tamu untuk agen keamanan, lalu klik Delete.
gcloud
Gunakan perintah ini untuk mencantumkan semua kebijakan tamu:
gcloud beta compute os-config guest-policies list
Dari daftar kebijakan tamu, salin ID kebijakan tamu untuk produk keamanan, lalu jalankan perintah ini untuk menghapus setiap kebijakan tamu:
gcloud beta compute os-config guest-policies delete POLICY_ID
Membuat kebijakan tamu untuk menghapus agen
Setelah menghapus kebijakan tamu untuk agen keamanan, Anda harus membuat
kebijakan baru yang menghapus agen keamanan dari VM, menggunakan
properti desiredState: REMOVED.
Misalnya, file YAML kebijakan tamu berikut menghapus cloud-agent-package
dari semua instance VM berbasis Debian di zona us-central1-f:
assignment:
groupLabels:
- labels:
agent: enabled # apply to VMs with the "agent" label set to "enabled"
zones:
- us-central1-f # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
manager: APT # indicates Debian-based OS
name: cloud-agent-package # indicates the security agent's package name
Anda harus mengonfigurasi bagian assignment agar cocok dengan filter yang sama dengan yang Anda tetapkan saat men-deploy agen.
Pelajari lebih lanjut cara membuat file YAML kebijakan tamu.
Setelah membuat file YAML kebijakan tamu, terapkan dengan menggunakan perintah berikut:
gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE
Pemecahan masalah
Men-debug Kebijakan Tamu
Anda dapat menemukan panduan umum untuk men-debug Kebijakan Tamu di Men-debug kebijakan tamu
Khususnya, tentang cara
- Mencantumkan Kebijakan Tamu yang ada
- Memeriksa Kebijakan Tamu tertentu
- Menemukan kebijakan yang berlaku untuk instance VM tertentu
- Periksa log Cloud Logging untuk mencari kemungkinan pesan error yang terkait dengan deployment.
Jika deployment tidak berhasil di instance VM tertentu, Anda dapat mencoba mendiagnosis masalah dengan mengikuti langkah-langkah berikut:
Cari tahu apakah deployment membuat Kebijakan Tamu.
Jika ya, pastikan Kebijakan Tamu yang dibuat:
- Mengacu pada Agen Keamanan yang diharapkan.
- Menargetkan kumpulan instance VM yang diharapkan dalam Penetapan.
Pastikan instance VM
lookupmenyertakan Kebijakan Tamu yang diharapkan yang baru.Periksa apakah ada pesan error terkait OS Config untuk instance VM tertentu tersebut di log Cloud Logging.