Pode implementar agentes de software de segurança a partir do Cloud Marketplace nas instâncias de VM no seu projeto. Se precisar de desinstalar um agente de software de segurança, avance para a secção Desinstalar um agente de segurança.
Normalmente, os agentes de software de segurança são um componente de produtos de segurança maiores. Por exemplo, se tiver uma subscrição de um produto de segurança, o produto pode incluir um agente de segurança que pode instalar nas suas instâncias de VMs. Os agentes recolhem dados sobre vulnerabilidades e comportamento suspeito nas instâncias de VM e enviam estes dados de volta ao fornecedor de software. Pode ver os relatórios de segurança num painel de controlo fornecido pelo fornecedor de software.
Quando instala um agente de segurança a partir do Cloud Marketplace, tem de se inscrever junto do fornecedor de software de forma independente. O fornecedor cobra-lhe uma taxa separadamente.
Antes de começar
Ative a gestão de configuração do SO:
Tem de ter as seguintes autorizações:
osconfig.guestPolicies.createosconfig.guestPolicies.deleteosconfig.guestPolicies.getosconfig.guestPolicies.liststorage.buckets.createstorage.buckets.getstorage.objects.createstorage.objects.delete
Recomendamos que crie uma função personalizada de gestão de identidade e acesso com estas autorizações e atribua a função aos utilizadores que podem implementar agentes de software de segurança a partir do Cloud Marketplace.
Por exemplo, se quiser criar uma função personalizada de gestão de identidades e acessos denominada Implementador de agente de segurança, primeiro cria um ficheiro SecurityAgentDeployer.yaml:
title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Depois de criar o ficheiro YAML, para criar a função personalizada {iam_name}, execute o seguinte comando:
gcloud iam roles create role-id --project=project-id \
--file=SecurityAgentDeployer.yaml
Depois de criar a função personalizada {iam_name} Security Agent Deployer, conceda-a aos utilizadores que espera que implementem agentes de segurança:
gcloud projects add-iam-policy-binding <project-id> \
--member=user:my-user@example.com \
--role=projects/<project-id>/roles/SecurityAgentDeployer
Configure os metadados do projeto
Pode usar a Google Cloud consola ou a CLI Google Cloud para configurar os metadados do projeto para o agente de configuração do SO instalado nas instâncias de VM.
Consola
- Abra a página de metadados do projeto.
- Clique em Editar
Clique em Adicionar item e adicione a seguinte propriedade:
Chave Valor enable-osconfig verdadeiro Além disso, embora não seja obrigatório, pode adicionar o seguinte item de metadados para incluir mensagens de depuração nos registos do Cloud Logging. Isto facilita a resolução de problemas de implementações futuras.
Chave Valor osconfig-log-level depurar
gcloud
Use este comando para configurar os metadados do projeto para o agente OS Config:
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
Além disso, embora não seja obrigatório, pode usar o seguinte comando para incluir mensagens de depuração nos registos do Cloud Logging. Isto facilita a resolução de problemas de implementações futuras.
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
Para verificar se os metadados foram configurados corretamente, use este comando:
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
Implementar um agente de segurança
Para ver os agentes de segurança disponíveis no Cloud Marketplace, use o filtro Segurança.
Aceda aos produtos de segurança
Para implementar o agente de segurança:
Escolha o agente no Cloud Marketplace.
Inscreva-se no agente de segurança no Website do fornecedor.
Como parte da inscrição, o fornecedor normalmente fornece-lhe identificadores e credenciais, como uma palavra-passe, um ID de ativação ou um ID de licença. Use estes identificadores para associar os seus Google Cloud projetos à sua subscrição com o fornecedor.
Depois de se inscrever, abra a ficha do Cloud Marketplace para o agente de segurança e siga os passos para configurar o agente.
Na página de configuração, introduza os identificadores que recebeu quando se inscreveu no produto. Em seguida, em Atribuição de VMs, selecione as instâncias de VM para implementar o agente de segurança.
Pode filtrar as VMs pelos seguintes campos:
- Prefixos do nome
- Etiquetas do grupo
A implementação cria um contentor do Cloud Storage nos seus projetos e copia os ficheiros de instalação para o contentor. Em Detalhes do contentor de armazenamento, selecione uma região para criar o contentor do Cloud Storage para a implementação.
Depois de selecionar as atribuições de VMs e escolher uma região para o contentor do Cloud Storage, clique em Implementar. A implementação pode demorar vários minutos a ser concluída.
Para acompanhar e validar a instalação, use um dos seguintes métodos:
Liste as políticas de hóspedes de um projeto e, em seguida, verifique se foram criadas novas políticas de hóspedes para o agente de segurança. Normalmente, a implementação cria uma política de convidado por sistema operativo.
Abra o visualizador de registos e, de seguida, verifique os registos do tipo de recurso VM Instance e do tipo de registo OSConfigAgent.
Desinstalar um agente de segurança
A um nível elevado, tem de fazer o seguinte para desinstalar um agente de segurança:
Eliminar todas as políticas de hóspedes do agente. Isto garante que a configuração do SO deixa de instalar o agente em quaisquer novas instâncias de VM que criar. Se o agente estiver a ser instalado em algumas VMs quando elimina as políticas de convidado, as instalações continuam até ficarem concluídas.
Crie uma nova política de hóspedes para o agente de segurança, que remove o agente das instâncias de VM que têm o agente instalado.
A desinstalação do agente de segurança das suas VMs pode demorar vários minutos.
Elimine as políticas de convidados
Pode usar a Google Cloud consola ou a CLI do Google Cloud para eliminar as políticas de hóspedes do agente de segurança.
Consola
- Abra a página de políticas de hóspedes.
- Selecione as políticas de hóspedes do agente de segurança e, de seguida, clique em Eliminar.
gcloud
Use este comando para apresentar uma lista de todas as suas políticas de hóspedes:
gcloud beta compute os-config guest-policies list
Na lista de políticas de convidado, copie os IDs das políticas de convidado para o produto de segurança e, em seguida, execute este comando para eliminar cada uma das políticas de convidado:
gcloud beta compute os-config guest-policies delete POLICY_ID
Crie uma política de hóspedes para remover o agente
Depois de eliminar as políticas de convidados do agente de segurança, tem de criar uma nova política que remova o agente de segurança das suas VMs, usando a propriedade desiredState: REMOVED.
Por exemplo, o seguinte ficheiro YAML de política de convidados remove cloud-agent-package
de todas as instâncias de VMs baseadas no Debian na zona us-central1-f:
assignment:
groupLabels:
- labels:
agent: enabled # apply to VMs with the "agent" label set to "enabled"
zones:
- us-central1-f # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
manager: APT # indicates Debian-based OS
name: cloud-agent-package # indicates the security agent's package name
Tem de configurar a secção assignment de modo a corresponder aos mesmos filtros que
definiu quando implementou o agente.
Saiba mais sobre a criação de ficheiros YAML de políticas de hóspedes.
Depois de criar o ficheiro YAML da política de hóspedes, aplique-o através do seguinte comando:
gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE
Resolução de problemas
Depurar uma política de convidado
Pode encontrar orientações gerais para depurar políticas de hóspedes em Depurar uma política de hóspedes
Em particular, sobre como
- Apresente as políticas de convidados existentes
- Inspeção de políticas de hóspedes específicas
- Descubra que políticas se aplicam a uma instância de VM específica
- Inspeccione os registos do Cloud Logging à procura de potenciais mensagens de erro relacionadas com a implementação.
Se uma implementação não for bem-sucedida numa instância de VM específica, pode tentar diagnosticar o problema seguindo estes passos:
Descubra se a implementação criou uma política de convidado.
Se for o caso, verifique se a política de convidados criada:
- Refere-se ao agente de segurança esperado.
- Segmenta o conjunto esperado de instâncias de VM na respetiva atribuição.
Verifique se a instância de VM
lookupinclui a nova política de convidado esperada.Verifique se existem mensagens de erro relacionadas com a configuração do SO para essa instância de VM específica nos registos do Cloud Logging.