Puoi eseguire il deployment di agenti software di sicurezza da Cloud Marketplace nelle istanze VM del tuo progetto. Se devi disinstallare un agente software di sicurezza, vai a Disinstallare un agente di sicurezza.
Gli agenti software di sicurezza sono in genere un componente di prodotti di sicurezza più grandi. Ad esempio, se hai un abbonamento a un prodotto per la sicurezza, questo potrebbe includere un agente di sicurezza che puoi installare nelle istanze VM. Gli agenti raccolgono dati su vulnerabilità e comportamenti sospetti sulle istanze VM e li inviano al fornitore del software. Puoi visualizzare i rapporti sulla sicurezza in una dashboard fornita dal fornitore del software.
Quando installi un agente di sicurezza da Cloud Marketplace, devi registrarti in modo indipendente con il fornitore del software. Il fornitore ti addebita una commissione a parte.
Prima di iniziare
Attiva OS Configuration Management:
Devi disporre delle seguenti autorizzazioni:
osconfig.guestPolicies.createosconfig.guestPolicies.deleteosconfig.guestPolicies.getosconfig.guestPolicies.liststorage.buckets.createstorage.buckets.getstorage.objects.createstorage.objects.delete
Ti consigliamo di creare un ruolo personalizzato per Identity and Access Management con queste autorizzazioni e di assegnarlo agli utenti che possono eseguire il deployment di agenti software di sicurezza da Cloud Marketplace.
Ad esempio, se vuoi creare un ruolo personalizzato di Identity and Access Management chiamato Deployer agente di sicurezza, devi prima creare un file SecurityAgentDeployer.yaml:
title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Dopo aver creato il file YAML, esegui questo comando per creare il ruolo personalizzato {iam_name}:
gcloud iam roles create role-id --project=project-id \
--file=SecurityAgentDeployer.yaml
Dopo aver creato il ruolo di agente di sicurezza con ruolo personalizzato {iam_name}, concedelo agli utenti che prevedi di distribuire: agenti di sicurezza:
gcloud projects add-iam-policy-binding <project-id> \
--member=user:my-user@example.com \
--role=projects/<project-id>/roles/SecurityAgentDeployer
Configura i metadati del progetto
Puoi utilizzare la console o l'interfaccia a riga di comando di Google Cloud per configurare i metadati del progetto per l'agente di configurazione del sistema operativo installato nelle istanze VM.
console
- Apri la pagina Metadati del progetto.
- Fai clic su "Modifica".
Fai clic su Aggiungi elemento e aggiungi la seguente proprietà:
Chiave Valore Enable-osconfig true Inoltre, anche se non è obbligatorio, è possibile aggiungere il seguente elemento di metadati per includere i messaggi di debug nei log di Cloud Logging. Ciò semplificherà l'attività di risoluzione dei problemi dei deployment futuri.
Chiave Valore livello-osconfig debug
gcloud
Utilizza questo comando per configurare i metadati del progetto per l'agente OS Config:
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
Inoltre, anche se non è richiesto, puoi utilizzare il seguente comando per includere i messaggi di debug nei log di Cloud Logging. Ciò semplificherà l'attività di risoluzione dei problemi dei deployment futuri.
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
Per verificare che i metadati siano stati impostati correttamente, utilizza questo comando:
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
Deployment di un agente di sicurezza
Per vedere gli agenti di sicurezza disponibili su Cloud Marketplace, utilizza il filtro Sicurezza.
Vai ai prodotti per la sicurezza
Per eseguire il deployment dell'agente di sicurezza:
Scegli l'agente da Cloud Marketplace.
Registrati presso l'agente di sicurezza sul sito web del fornitore.
Come parte della registrazione, in genere il fornitore ti fornisce identificatori e credenziali, come una password, un ID di attivazione o un ID licenza. Questi identificatori vengono utilizzati per collegare i tuoi progetti Google Cloud al tuo abbonamento con il fornitore.
Dopo la registrazione, apri la scheda Cloud Marketplace relativa all'agente di sicurezza e segui i passaggi per configurare l'agente.
Nella pagina di configurazione, inserisci gli identificatori che hai ricevuto quando hai eseguito la registrazione al prodotto. Quindi, in Assegnazione VM, seleziona le istanze VM in cui eseguire il deployment dell'agente di sicurezza.
Puoi filtrare le VM in base ai seguenti campi:
- Prefissi del nome
- Etichette del gruppo
Il deployment crea un bucket Cloud Storage nei tuoi progetti e copia i file di installazione nel bucket. In Dettagli bucket di archiviazione, seleziona un'area geografica per creare il bucket Cloud Storage per il deployment.
Dopo aver selezionato le assegnazioni VM e aver scelto un'area geografica per il bucket Cloud Storage, fai clic su Esegui il deployment. Il deployment potrebbe richiedere diversi minuti.
Per monitorare e verificare l'installazione, utilizza uno dei seguenti metodi:
Elenca i criteri guest per un progetto, quindi verifica che siano stati creati nuovi criteri guest per l'agente di sicurezza. In genere, il deployment crea un criterio guest per sistema operativo.
Apri il visualizzatore log, quindi controlla i log per il tipo di risorsa Istanza VM e il tipo di log OSConfigAgent.
Disinstallazione di un agente di sicurezza
A livello generale, per disinstallare un agente di sicurezza devi eseguire le seguenti operazioni:
Elimina tutti i criteri guest per l'agente. Questo assicura che la configurazione del sistema operativo smetta di installare l'agente in tutte le nuove istanze VM che crei. Se l'agente viene installato su alcune VM quando elimini i criteri guest, le installazioni continueranno fino al completamento.
Crea un nuovo criterio guest per l'agente di sicurezza, che rimuove l'agente dalle istanze VM in cui è stato installato.
L'installazione dell'agente di sicurezza dalle VM potrebbe richiedere alcuni minuti.
Elimina i criteri guest
Puoi utilizzare la console o l'interfaccia a riga di comando di Google Cloud per eliminare i criteri guest per l'agente di sicurezza.
console
- Apri la pagina dei criteri Ospite.
- Seleziona i criteri guest per l'agente di sicurezza, quindi fai clic su Elimina.
gcloud
Usa questo comando per elencare tutti i tuoi criteri guest:
gcloud beta compute os-config guest-policies list
Dall'elenco dei criteri guest, copia gli ID dei criteri relativi al prodotto per la sicurezza ed esegui questo comando per eliminare ciascun criterio:
gcloud beta compute os-config guest-policies delete POLICY_ID
Crea un criterio ospite per rimuovere l'agente
Dopo aver eliminato i criteri guest per l'agente di sicurezza, devi creare un nuovo criterio che rimuova l'agente di sicurezza dalle VM utilizzando la proprietà desiredState: REMOVED.
Ad esempio, il seguente file YAML del criterio guest rimuove cloud-agent-package da tutte le istanze VM basate su Debian nella zona us-central1-f:
assignment:
groupLabels:
- labels:
agent: enabled # apply to VMs with the "agent" label set to "enabled"
zones:
- us-central1-f # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
manager: APT # indicates Debian-based OS
name: cloud-agent-package # indicates the security agent's package name
Devi configurare la sezione assignment in modo che corrisponda agli stessi filtri che hai impostato quando hai eseguito il deployment dell'agente.
Scopri di più sulla creazione di file YAML dei criteri guest.
Dopo aver creato il file YAML del criterio guest, applicalo utilizzando il comando seguente:
gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE
Risolvere i problemi
Esecuzione del debug di un criterio guest
Per indicazioni generali sul debug dei criteri guest, vedi Eseguire il debug di un criterio guest
In particolare,
- Elenca i criteri guest esistenti
- Esaminare i criteri specifici per gli ospiti
- Scopri quali criteri si applicano a una determinata istanza VM
- Esaminare i log di Cloud Logging alla ricerca di potenziali messaggi di errore correlati al deployment.
Se il deployment non riesce in un'istanza VM specifica, puoi provare a diagnosticare il problema seguendo questi passaggi:
Scopri se il deployment ha creato un criterio guest.
In questo caso, verifica che il criterio guest sia stato creato:
- Fa riferimento all'agente di sicurezza previsto.
- Ha come target l'insieme previsto di istanze VM nella relativa assegnazione.
Verifica che l'istanza VM
lookupincluda il nuovo criterio Ospite previsto.Verifica se nei log di Cloud Logging sono presenti messaggi di errore relativi alla configurazione del sistema operativo per quella specifica istanza VM.