Deployment di agenti software per la sicurezza

Puoi eseguire il deployment di agenti software per la sicurezza da Cloud Marketplace alle istanze VM del tuo progetto. Se devi disinstallare un agente software di sicurezza, vai a Disinstallare un agente di sicurezza.

Gli agenti software per la sicurezza sono in genere un componente di prodotti di sicurezza più grandi. Ad esempio, se hai un abbonamento a un prodotto di sicurezza, il prodotto potrebbe includere un agente di sicurezza che puoi installare sulle tue istanze VM. Gli agenti raccolgono dati su vulnerabilità e comportamenti sospetti sull'istanza VM e li inviano al fornitore del software. Puoi visualizzare i report sulla sicurezza in una dashboard fornita dal fornitore del software.

Quando installi un agente di sicurezza da Cloud Marketplace, devi registrarti autonomamente con il fornitore di software. Il fornitore ti addebita una commissione distinta.

Prima di iniziare

Ad esempio, se vuoi creare un ruolo personalizzato di Identity and Access Management denominato Security Agent Deployer, devi prima creare un file SecurityAgentDeployer.yaml:

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

Dopo aver creato il file YAML, per creare il ruolo personalizzato {iam_name}, esegui il seguente comando:

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

Dopo aver creato il ruolo personalizzato {iam_name} Security Agent Deployer, concedilo agli utenti che prevedi di utilizzare per il deployment degli agenti di sicurezza:

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:my-user@example.com   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

Configura i metadati del progetto

Puoi utilizzare la console Google Cloud o Google Cloud CLI per configurare i metadati del progetto per l'agente di configurazione del sistema operativo installato nelle istanze VM.

Console

  1. Apri la pagina Metadati del progetto.
  2. Fai clic su "Modifica".
  3. Fai clic su Aggiungi elemento e aggiungi la seguente proprietà:

    Chiave Valore
    enable-osconfig true
  4. Inoltre, anche se non è obbligatorio, puoi aggiungere il seguente elemento di metadati per includere i messaggi di debug nei log di Cloud Logging. In questo modo, sarà più facile risolvere i problemi relativi ai deployment futuri.

    Chiave Valore
    osconfig-log-level debug

gcloud

  1. Utilizza questo comando per configurare i metadati del progetto per l'agente di configurazione del sistema operativo:

    gcloud compute project-info add-metadata --metadata=enable-osconfig=true
    
  2. Inoltre, anche se non è obbligatorio, il seguente comando può essere utilizzato per includere i messaggi di debug nei log di Cloud Logging. In questo modo, sarà più facile risolvere i problemi relativi ai deployment futuri.

    gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
    
  3. Per verificare che i metadati siano stati configurati correttamente, utilizza questo comando:

    gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
    

Deployment di un agente di sicurezza

Per visualizzare gli agenti di sicurezza disponibili su Cloud Marketplace, utilizza il filtro Sicurezza.

Vai ai prodotti per la sicurezza

Per eseguire il deployment dell'agente di sicurezza:

  1. Scegli l'agente da Cloud Marketplace.

  2. Registrati all'agente di sicurezza sul sito web del fornitore.

    Durante la registrazione, il fornitore ti fornisce in genere identificatori e credenziali, ad esempio una password, un ID attivazione o un ID licenza. Puoi utilizzare questi identificatori per collegare i tuoi Google Cloud progetti al tuo abbonamento con il fornitore.

  3. Dopo la registrazione, apri la scheda di Cloud Marketplace per l'agente di sicurezza e segui i passaggi per configurarlo.

  4. Nella pagina di configurazione, inserisci gli identificatori che hai ricevuto quando hai eseguito la registrazione per il prodotto. Quindi, in Assegnazione VM, seleziona le istanze VM su cui eseguire il deployment dell'agente di sicurezza.

    Puoi filtrare le VM in base ai seguenti campi:

    • Prefissi del nome
    • Etichette del gruppo
  5. Il deployment crea un bucket Cloud Storage nei progetti e copia i file di installazione al suo interno. In Dettagli del bucket di archiviazione, seleziona una regione per creare il bucket Cloud Storage per il deployment.

  6. Dopo aver selezionato le assegnazioni delle VM e scelto una regione per il bucket Cloud Storage, fai clic su Esegui il deployment. Il completamento del deployment potrebbe richiedere alcuni minuti.

  7. Per monitorare e verificare l'installazione, utilizza uno dei seguenti metodi:

Disinstallazione di un agente di sicurezza

A livello generale, per disinstallare un agente di sicurezza devi procedere nel seguente modo:

  1. Elimina tutti i criteri per gli ospiti dell'agente. In questo modo, la configurazione del sistema operativo interrompe l'installazione dell'agente su tutte le nuove istanze VM che crei. Se l'agente viene installato su alcune VM quando elimini i criteri guest, le installazioni continuano fino al completamento.

  2. Crea un nuovo criterio guest per l'agente di sicurezza, che rimuove l'agente dalle istanze VM su cui è installato.

La disinstallazione dell'agente di sicurezza dalle VM potrebbe richiedere alcuni minuti.

Elimina i criteri per gli ospiti

Puoi utilizzare la console Google Cloud o Google Cloud CLI per eliminare i criteri guest per l'agente di sicurezza.

Console

  1. Apri la pagina Norme per gli ospiti.
  2. Seleziona i criteri per gli ospiti dell'agente di sicurezza e poi fai clic su Elimina.

gcloud

  1. Utilizza questo comando per elencare tutti i criteri per gli ospiti:

    gcloud beta compute os-config guest-policies list
    
  2. Dall'elenco dei criteri guest, copia gli ID dei criteri guest per il prodotto di sicurezza, quindi esegui questo comando per eliminare ciascuno dei criteri guest:

    gcloud beta compute os-config guest-policies delete POLICY_ID
    

Crea un criterio guest per rimuovere l'agente

Dopo aver eliminato i criteri guest per l'agente di sicurezza, devi creare un nuovo criterio che rimuove l'agente di sicurezza dalle VM utilizzando la proprietà desiredState: REMOVED.

Ad esempio, il seguente file YAML dei criteri guest rimuove cloud-agent-package da tutte le istanze VM basate su Debian nella zona us-central1-f:

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Devi configurare la sezione assignment in modo che corrisponda agli stessi filtri impostati quando hai eseguito il deployment dell'agente.

Scopri di più sulla creazione di file YAML delle norme per gli ospiti.

Dopo aver creato il file YAML del criterio guest, applicalo utilizzando il seguente comando:

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Risoluzione dei problemi

Eseguire il debug di un criterio guest

Puoi trovare indicazioni generali per il debug dei criteri guest in Eseguire il debug di un criterio guest

In particolare, su come

  • Elenca i criteri guest esistenti
  • Controllare criteri guest specifici
  • Trovare i criteri che si applicano a una determinata istanza VM
  • Controlla i log di Cloud Logging per cercare potenziali messaggi di errore relativi al deployment.

Se un deployment non va a buon fine in un'istanza VM specifica, puoi provare a diagnosticare il problema seguendo questi passaggi:

  1. Scopri se il deployment ha creato un criterio guest.

  2. In questo caso, verifica che il criterio guest creato:

    1. Si riferisce all'agente di sicurezza previsto.
    2. Ha come target l'insieme previsto di istanze VM nell'assegnazione.
  3. Verifica che l'istanza VM lookup includa il nuovo criterio guest previsto.

  4. Verifica se nei log di Cloud Logging sono presenti messaggi di errore relativi a OS Config per l'istanza VM specifica.