Deployment di agenti software per la sicurezza

Puoi eseguire il deployment degli agenti software di sicurezza da Cloud Marketplace alle istanze VM nel tuo progetto. Se devi disinstallare un agente software di sicurezza, vai a Disinstallare un agente di sicurezza.

Gli agenti software di sicurezza sono in genere componenti di prodotti di sicurezza più grandi. Ad esempio, se disponi di un abbonamento a un prodotto per la sicurezza, questo potrebbe includere un agente di sicurezza che puoi installare nelle istanze VM. Gli agenti raccolgono dati sulle vulnerabilità e sui comportamenti sospetti nelle istanze VM e li inviano al fornitore del software. Puoi visualizzare i report di sicurezza in una dashboard fornita dal fornitore del software.

Quando installi un agente di sicurezza da Cloud Marketplace, devi registrarti con il fornitore del software in modo indipendente. Il fornitore addebita una tariffa separata.

Prima di iniziare

Attiva OS Configuration Management:
Devi disporre delle seguenti autorizzazioni:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Ti consigliamo di creare un ruolo personalizzato Identity and Access Management con queste autorizzazioni e assegnarlo agli utenti che possono eseguire il deployment degli agenti software di sicurezza da Cloud Marketplace.

Ad esempio, se vuoi creare un ruolo personalizzato Identity and Access Management denominato Deployer agente di sicurezza, devi prima creare un file SecurityAgentDeployer.yaml:

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

Dopo aver creato il file YAML, per creare il ruolo personalizzato {iam_name}, esegui questo comando:

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

Dopo aver creato il ruolo personalizzato Security Agent Deployer {iam_name}, concedilo agli utenti a cui prevedi di eseguire il deployment degli agenti di sicurezza:

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:my-user@example.com   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

Configura i metadati del progetto

Puoi utilizzare la console Google Cloud o Google Cloud CLI per configurare i metadati del progetto per l'agente di configurazione del sistema operativo installato nelle istanze VM.

Console

Apri la pagina Metadati del progetto.
Fai clic su "Modifica".
Fai clic su Aggiungi elemento e aggiungi la seguente proprietà:

Chiave Valore

enable-osconfig true
Inoltre, sebbene non sia obbligatorio, puoi aggiungere il seguente elemento di metadati per includere i messaggi di debug nei log di Cloud Logging. In questo modo, sarà più facile risolvere i problemi dei deployment futuri.

Chiave Valore

osconfig-log-level debug

Chiave	Valore
enable-osconfig	true

Chiave	Valore
osconfig-log-level	debug

gcloud

Utilizza questo comando per configurare i metadati del progetto per l'agente OS Config:
```
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
```
Inoltre, anche se non è obbligatorio, il seguente comando può essere utilizzato per includere i messaggi di debug nei log di Cloud Logging. In questo modo, sarà più facile risolvere i problemi dei deployment futuri.
```
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
```
Per verificare che i metadati siano stati impostati correttamente, utilizza questo comando:
```
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
```

Deployment di un agente di sicurezza

Per visualizzare gli agenti di sicurezza disponibili su Cloud Marketplace, utilizza il filtro Sicurezza.

Vai ai prodotti per la sicurezza

Per eseguire il deployment dell'agente di sicurezza:

Scegli l'agente da Cloud Marketplace.
Registrati per l'agente di sicurezza sul sito web del fornitore.

Durante la registrazione, il fornitore in genere fornisce identificatori e credenziali, come una password, un ID di attivazione o un ID licenza. Questi identificatori vengono utilizzati per collegare i progetti Google Cloud al tuo abbonamento con il fornitore.
Dopo la registrazione, apri l'elenco di Cloud Marketplace per l'agente di sicurezza e segui i passaggi per configurarlo.
Nella pagina di configurazione, inserisci gli identificatori ricevuti al momento della registrazione al prodotto. Quindi, in Assegnazione VM, seleziona le istanze VM in cui eseguire il deployment dell'agente di sicurezza.

Puoi filtrare le VM in base ai seguenti campi:
- Prefissi del nome
- Etichette del gruppo
Il deployment crea un bucket Cloud Storage nei progetti e copia i file di installazione nel bucket. In Dettagli bucket di archiviazione, seleziona una regione per creare il bucket Cloud Storage per il deployment.
Dopo aver selezionato le assegnazioni delle VM e aver scelto una regione per il bucket Cloud Storage, fai clic su Esegui il deployment. Il deployment potrebbe richiedere diversi minuti.
Per monitorare e verificare l'installazione, utilizza uno dei seguenti metodi:
- Elenca i criteri guest per un progetto, quindi verifica che siano stati creati nuovi criteri guest per il security agent. In genere, il deployment crea un criterio guest per sistema operativo.
- Apri il visualizzatore Logging, quindi controlla nei log il tipo di risorsa Istanza VM e il tipo di log OSConfigAgent.

Disinstallazione di un agente di sicurezza

A livello generale, per disinstallare un agente di sicurezza devi eseguire le seguenti operazioni:

Elimina tutti i criteri relativi agli invitati per l'agente. In questo modo, la configurazione del sistema operativo interrompe l'installazione dell'agente su tutte le nuove istanze VM che crei. Se l'agente viene installato su alcune VM quando elimini i criteri guest, le installazioni continueranno fino al completamento.
Crea un nuovo criterio guest per l'agente di sicurezza, che rimuove l'agente dalle istanze VM in cui è installato.

La disinstallazione dell'agente di sicurezza dalle VM potrebbe richiedere diversi minuti.

Elimina i criteri guest

Puoi utilizzare la console Google Cloud o Google Cloud CLI per eliminare i criteri guest per l'agente di sicurezza.

Console

Apri la pagina Criteri guest.
Seleziona i criteri guest per l'agente di sicurezza, quindi fai clic su Elimina.

gcloud

Utilizza questo comando per elencare tutti i criteri guest:
```
gcloud beta compute os-config guest-policies list
```
Dall'elenco dei criteri guest, copia gli ID dei criteri guest per il prodotto per la sicurezza, quindi esegui questo comando per eliminare ciascuno dei criteri guest:
```
gcloud beta compute os-config guest-policies delete POLICY_ID
```

Crea un criterio guest per rimuovere l'agente

Dopo aver eliminato i criteri guest per l'agente di sicurezza, devi creare un nuovo criterio che rimuova l'agente di sicurezza dalle VM, utilizzando la proprietà desiredState: REMOVED.

Ad esempio, il seguente file YAML dei criteri guest rimuove cloud-agent-package da tutte le istanze VM basate su Debian nella zona us-central1-f:

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Devi configurare la sezione assignment in modo che corrisponda agli stessi filtri che hai impostato quando hai eseguito il deployment dell'agente.

Scopri di più sulla creazione di file YAML dei criteri guest.

Dopo aver creato il file YAML dei criteri guest, applicalo utilizzando il seguente comando:

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Risoluzione dei problemi

Debug di un criterio guest

Puoi trovare indicazioni generali per il debug dei criteri guest nella pagina Eseguire il debug di un criterio guest

In particolare, su come

Elenca criteri guest esistenti
Esaminare criteri relativi agli invitati specifici
Scoprire quali criteri si applicano a una determinata istanza VM
Ispeziona i log di Cloud Logging nella ricerca di potenziali messaggi di errore relativi al deployment.

Se un deployment non ha esito positivo in un'istanza VM specifica, puoi provare a diagnosticare il problema seguendo questi passaggi:

Scopri se il deployment ha creato un criterio guest.
In questo caso, verifica che il criterio Ospite creato:
1. Fa riferimento all'agente di sicurezza previsto.
2. Ha come target l'insieme previsto di istanze VM nella relativa assegnazione.
Verifica che l'istanza VM lookup includa il nuovo criterio guest previsto.
Controlla se sono presenti messaggi di errore relativi alla configurazione del sistema operativo per quella specifica istanza VM nei log di Cloud Logging.