Deployment di agenti software per la sicurezza

Puoi eseguire il deployment di agenti software di sicurezza da Cloud Marketplace nelle istanze VM del tuo progetto. Se devi disinstallare un agente software di sicurezza, vai a Disinstallare un agente di sicurezza.

Gli agenti software di sicurezza sono in genere un componente di prodotti di sicurezza più grandi. Ad esempio, se hai un abbonamento a un prodotto per la sicurezza, questo potrebbe includere un agente di sicurezza che puoi installare nelle istanze VM. Gli agenti raccolgono dati su vulnerabilità e comportamenti sospetti sulle istanze VM e li inviano al fornitore del software. Puoi visualizzare i rapporti sulla sicurezza in una dashboard fornita dal fornitore del software.

Quando installi un agente di sicurezza da Cloud Marketplace, devi registrarti in modo indipendente con il fornitore del software. Il fornitore ti addebita una commissione a parte.

Prima di iniziare

Ad esempio, se vuoi creare un ruolo personalizzato di Identity and Access Management chiamato Deployer agente di sicurezza, devi prima creare un file SecurityAgentDeployer.yaml:

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

Dopo aver creato il file YAML, esegui questo comando per creare il ruolo personalizzato {iam_name}:

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

Dopo aver creato il ruolo di agente di sicurezza con ruolo personalizzato {iam_name}, concedelo agli utenti che prevedi di distribuire: agenti di sicurezza:

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:my-user@example.com   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

Configura i metadati del progetto

Puoi utilizzare la console o l'interfaccia a riga di comando di Google Cloud per configurare i metadati del progetto per l'agente di configurazione del sistema operativo installato nelle istanze VM.

console

  1. Apri la pagina Metadati del progetto.
  2. Fai clic su "Modifica".
  3. Fai clic su Aggiungi elemento e aggiungi la seguente proprietà:

    Chiave Valore
    Enable-osconfig true
  4. Inoltre, anche se non è obbligatorio, è possibile aggiungere il seguente elemento di metadati per includere i messaggi di debug nei log di Cloud Logging. Ciò semplificherà l'attività di risoluzione dei problemi dei deployment futuri.

    Chiave Valore
    livello-osconfig debug

gcloud

  1. Utilizza questo comando per configurare i metadati del progetto per l'agente OS Config:

    gcloud compute project-info add-metadata --metadata=enable-osconfig=true
    
  2. Inoltre, anche se non è richiesto, puoi utilizzare il seguente comando per includere i messaggi di debug nei log di Cloud Logging. Ciò semplificherà l'attività di risoluzione dei problemi dei deployment futuri.

    gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
    
  3. Per verificare che i metadati siano stati impostati correttamente, utilizza questo comando:

    gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
    

Deployment di un agente di sicurezza

Per vedere gli agenti di sicurezza disponibili su Cloud Marketplace, utilizza il filtro Sicurezza.

Vai ai prodotti per la sicurezza

Per eseguire il deployment dell'agente di sicurezza:

  1. Scegli l'agente da Cloud Marketplace.

  2. Registrati presso l'agente di sicurezza sul sito web del fornitore.

    Come parte della registrazione, in genere il fornitore ti fornisce identificatori e credenziali, come una password, un ID di attivazione o un ID licenza. Questi identificatori vengono utilizzati per collegare i tuoi progetti Google Cloud al tuo abbonamento con il fornitore.

  3. Dopo la registrazione, apri la scheda Cloud Marketplace relativa all'agente di sicurezza e segui i passaggi per configurare l'agente.

  4. Nella pagina di configurazione, inserisci gli identificatori che hai ricevuto quando hai eseguito la registrazione al prodotto. Quindi, in Assegnazione VM, seleziona le istanze VM in cui eseguire il deployment dell'agente di sicurezza.

    Puoi filtrare le VM in base ai seguenti campi:

    • Prefissi del nome
    • Etichette del gruppo
  5. Il deployment crea un bucket Cloud Storage nei tuoi progetti e copia i file di installazione nel bucket. In Dettagli bucket di archiviazione, seleziona un'area geografica per creare il bucket Cloud Storage per il deployment.

  6. Dopo aver selezionato le assegnazioni VM e aver scelto un'area geografica per il bucket Cloud Storage, fai clic su Esegui il deployment. Il deployment potrebbe richiedere diversi minuti.

  7. Per monitorare e verificare l'installazione, utilizza uno dei seguenti metodi:

Disinstallazione di un agente di sicurezza

A livello generale, per disinstallare un agente di sicurezza devi eseguire le seguenti operazioni:

  1. Elimina tutti i criteri guest per l'agente. Questo assicura che la configurazione del sistema operativo smetta di installare l'agente in tutte le nuove istanze VM che crei. Se l'agente viene installato su alcune VM quando elimini i criteri guest, le installazioni continueranno fino al completamento.

  2. Crea un nuovo criterio guest per l'agente di sicurezza, che rimuove l'agente dalle istanze VM in cui è stato installato.

L'installazione dell'agente di sicurezza dalle VM potrebbe richiedere alcuni minuti.

Elimina i criteri guest

Puoi utilizzare la console o l'interfaccia a riga di comando di Google Cloud per eliminare i criteri guest per l'agente di sicurezza.

console

  1. Apri la pagina dei criteri Ospite.
  2. Seleziona i criteri guest per l'agente di sicurezza, quindi fai clic su Elimina.

gcloud

  1. Usa questo comando per elencare tutti i tuoi criteri guest:

    gcloud beta compute os-config guest-policies list
    
  2. Dall'elenco dei criteri guest, copia gli ID dei criteri relativi al prodotto per la sicurezza ed esegui questo comando per eliminare ciascun criterio:

    gcloud beta compute os-config guest-policies delete POLICY_ID
    

Crea un criterio ospite per rimuovere l'agente

Dopo aver eliminato i criteri guest per l'agente di sicurezza, devi creare un nuovo criterio che rimuova l'agente di sicurezza dalle VM utilizzando la proprietà desiredState: REMOVED.

Ad esempio, il seguente file YAML del criterio guest rimuove cloud-agent-package da tutte le istanze VM basate su Debian nella zona us-central1-f:

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Devi configurare la sezione assignment in modo che corrisponda agli stessi filtri che hai impostato quando hai eseguito il deployment dell'agente.

Scopri di più sulla creazione di file YAML dei criteri guest.

Dopo aver creato il file YAML del criterio guest, applicalo utilizzando il comando seguente:

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Risolvere i problemi

Esecuzione del debug di un criterio guest

Per indicazioni generali sul debug dei criteri guest, vedi Eseguire il debug di un criterio guest

In particolare,

  • Elenca i criteri guest esistenti
  • Esaminare i criteri specifici per gli ospiti
  • Scopri quali criteri si applicano a una determinata istanza VM
  • Esaminare i log di Cloud Logging alla ricerca di potenziali messaggi di errore correlati al deployment.

Se il deployment non riesce in un'istanza VM specifica, puoi provare a diagnosticare il problema seguendo questi passaggi:

  1. Scopri se il deployment ha creato un criterio guest.

  2. In questo caso, verifica che il criterio guest sia stato creato:

    1. Fa riferimento all'agente di sicurezza previsto.
    2. Ha come target l'insieme previsto di istanze VM nella relativa assegnazione.
  3. Verifica che l'istanza VM lookup includa il nuovo criterio Ospite previsto.

  4. Verifica se nei log di Cloud Logging sono presenti messaggi di errore relativi alla configurazione del sistema operativo per quella specifica istanza VM.