Deployment di agenti software per la sicurezza

Puoi eseguire il deployment di agenti software per la sicurezza da Cloud Marketplace alle istanze VM del tuo progetto. Se devi disinstallare un software di sicurezza consulta l'articolo Disinstallare un agente di sicurezza.

Gli agenti software di sicurezza sono generalmente un componente dei prodotti di sicurezza più grandi. Ad esempio, se hai un abbonamento a un prodotto di sicurezza, il parametro potrebbe includere un agente di sicurezza installabile sulla tua VM di Compute Engine. Gli agenti raccolgono dati su vulnerabilità e comportamenti sospetti sulle istanze VM e inviare questi dati al fornitore del software. Puoi visualizzare i report sulla sicurezza in una dashboard fornita dal fornitore del software.

Quando installi un agente di sicurezza da Cloud Marketplace, devi firmare con il fornitore del software in modo indipendente. Il fornitore ti addebita una commissione distinta.

Prima di iniziare

• Attiva OS Configuration Management:

  • Abilita l'API OS Configuration Management
  • Installa l'agente di configurazione del sistema operativo sulle VM
  • Configura i metadati di progetto

• Devi disporre delle seguenti autorizzazioni:

  • osconfig.guestPolicies.create
  • osconfig.guestPolicies.delete
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.delete

  Ti consigliamo di creare un ruolo personalizzato di Identity and Access Management con queste autorizzazioni e assegnando il ruolo agli utenti che possono degli agenti software di sicurezza di Cloud Marketplace.

Ad esempio, se vuoi creare un ruolo personalizzato Identity and Access Management denominato Security Agent Deployer, devi prima creare un file SecurityAgentDeployer.yaml:

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

Dopo aver creato il file YAML, per creare il ruolo personalizzato {iam_name}, esegui questo comando:

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

Dopo aver creato il Deployer dell'agente di sicurezza con ruolo personalizzato {iam_name}, concedilo agli utenti che prevedi di implementare degli agenti di sicurezza:

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:my-user@example.com   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

Configura i metadati di progetto

Puoi utilizzare la console Google Cloud o Google Cloud CLI per configurare i metadati di progetto per l'agente OS Configuration installato nelle istanze VM.

Deployment di un agente di sicurezza

Per visualizzare gli agenti di sicurezza disponibili su Cloud Marketplace, utilizza la Filtro Sicurezza.

Vai ai prodotti per la sicurezza

Per eseguire il deployment dell'agente di sicurezza:

1. Scegli l'agente da Cloud Marketplace.

2. Registrati all'agente di sicurezza sul sito web del fornitore.

   Nell'ambito della registrazione, in genere il fornitore ti fornisce gli identificatori e credenziali, ad esempio una password, un ID di attivazione o un ID licenza. Tu usa questi identificatori per collegare i tuoi progetti Google Cloud dell'abbonamento con il fornitore.

3. Dopo la registrazione, apri l'elenco di Cloud Marketplace per l'agente di sicurezza e segui i passaggi per configurarlo.

4. Nella pagina di configurazione, inserisci gli identificatori che hai ricevuto al momento della registrazione per il prodotto. Quindi, in Assegnazione VM, seleziona le istanze VM da utilizzare il deployment dell'agente di sicurezza.

   Puoi filtrare le VM in base ai seguenti campi:

   • Prefissi del nome
   • Etichette del gruppo

5. Il deployment crea un bucket Cloud Storage nei progetti e copia i file di installazione al suo interno. In Dettagli bucket di archiviazione, seleziona una regione per creare il bucket Cloud Storage per il deployment.

6. Dopo aver selezionato le assegnazioni VM e aver scelto una regione per Per il bucket Cloud Storage, fai clic su Esegui il deployment. Il completamento del deployment potrebbe richiedere alcuni minuti.

7. Per monitorare e verificare l'installazione, utilizza uno dei seguenti metodi:

   • Elenca i criteri guest per un progetto, quindi verifica che siano stati creati nuovi criteri guest per l'agente di sicurezza. In genere, il deployment crea un criterio guest per sistema operativo.

   • Apri il visualizzatore Logging, e poi controlla nei log il tipo di risorsa Istanza VM e Tipo di log OSConfigAgent.

Disinstallazione di un agente di sicurezza

A livello generale, per disinstallare un agente di sicurezza devi procedere nel seguente modo:

1. Elimina tutti i criteri relativi agli ospiti per l'agente. Questo assicura che OS Configuration smetta di installare l'agente su qualsiasi nuova VM le istanze VM create da te. Se l'agente viene installato su alcune VM quando elimini i criteri guest, l'installazione continua finché completato.

2. Crea un nuovo criterio guest per l'agente di sicurezza, che rimuove l'agente dalle istanze VM in cui è installato.

La disinstallazione dell'agente di sicurezza potrebbe richiedere diversi minuti per le tue VM.

Elimina i criteri relativi agli ospiti

Puoi utilizzare la console Google Cloud o Google Cloud CLI per eliminare i criteri guest per l'agente di sicurezza.

Crea un criterio guest per rimuovere l'agente

Dopo aver eliminato i criteri guest per l'agente di sicurezza, devi creare un nuovo criterio che rimuove l'agente di sicurezza dalle VM utilizzando la proprietà desiredState: REMOVED.

Ad esempio, il seguente file YAML dei criteri guest rimuove cloud-agent-package da tutte le istanze VM basate su Debian nella zona us-central1-f:

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Devi configurare la sezione assignment in modo che corrisponda agli stessi filtri che hai impostato impostato quando hai eseguito il deployment dell'agente.

Scopri di più sulla creazione di file YAML dei criteri guest.

Dopo aver creato il file YAML del criterio guest, applicalo utilizzando il seguente codice: :

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Risoluzione dei problemi

Debug di un criterio ospite

Puoi trovare indicazioni generali per il debug dei criteri relativi agli ospiti in Debug di un criterio relativo agli ospiti.

In particolare, su come

• Elenca i criteri guest esistenti
• Controllare criteri guest specifici
• Individuare i criteri applicabili a una determinata istanza VM
• Controlla i log di Cloud Logging per cercare potenziali messaggi di errore relativi al deployment.

Se un deployment non riesce in un'istanza VM specifica, puoi provare a diagnosticare il problema seguendo questi passaggi:

1. Scopri se il deployment ha creato un criterio guest.

2. In questo caso, verifica che il criterio guest creato:

   1. Fa riferimento al Security Agent previsto.
   2. Ha come target l'insieme previsto di istanze VM nella sua assegnazione.

3. Verifica che l'istanza VM lookup includa il nuovo criterio guest previsto.

4. Controlla se esistono messaggi di errore relativi a OS Config per quella specifica istanza VM nei log di Cloud Logging.