Como implantar agentes de software de segurança

É possível implantar agentes de software de segurança do Cloud Marketplace nas instâncias de VM no projeto. Se você precisar desinstalar um agente de software de segurança, consulte Como desinstalar um agente de segurança.

Os agentes de software de segurança geralmente são um componente de produtos de segurança maiores. Por exemplo, se você tiver uma assinatura de uma produto de segurança, ele poderá incluir um agente de segurança que possa ser instalado nas instâncias da VM. Os agentes coletam dados sobre vulnerabilidades e comportamento suspeito nas instâncias da VM e enviam esses dados de volta ao fornecedor do software. É possível ver os relatórios de segurança em um painel disponibilizado pelo fornecedor do software.

Ao instalar um agente de segurança do Cloud Marketplace, é necessário se inscrever com o fornecedor de software de maneira independente. O fornecedor cobra uma taxa separada.

Antes de começar

Ative o gerenciamento de configuração do SO:
Você precisa ter as permissões a seguir:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Recomendamos criar um papel personalizado de gerenciamento de identidade e acesso com essas permissões e atribuir o papel aos usuários que possam implantar agentes de software de segurança do Cloud Marketplace.

Por exemplo, se você quiser criar um papel personalizado do gerenciamento de identidade e acesso chamado de Implantador de segurança, crie primeiro um arquivo SecurityAgentDeployer.yaml:

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

Depois de criar o arquivo YAML, execute o comando a seguir para gerar o papel personalizado {iam_name}:

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

Após criar o papel de implantação do agente de segurança de {iam_name}, conceda aos usuários que você espera implantar os agentes de segurança:

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:my-user@example.com   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

Configurar os metadados do projeto

É possível usar o console do Google Cloud ou a Google Cloud CLI para configurar os metadados do projeto para o agente de configuração do SO instalado nas instâncias de VM.

Console

Abra a página de metadados do projeto.
Clique em Editar.
Clique em Adicionar item e adicione a seguinte propriedade:

Chave Valor

enable-osconfig true
Além disso, embora não seja obrigatório, o item de metadados a seguir pode ser adicionado para incluir mensagens de depuração nos registros do Cloud Logging. Isso facilitará a tarefa de solucionar problemas de implantações futuras.

Key Valor

osconfig-log-level debug

Chave	Valor
enable-osconfig	true

Key	Valor
osconfig-log-level	debug

gcloud

Use este comando para configurar os metadados do projeto para o agente de configuração do SO:
```
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
```
Além disso, embora não seja necessário, o comando a seguir pode ser usado para incluir mensagens de depuração nos registros do Cloud Logging. Isso facilitará a tarefa de solucionar problemas de implantações futuras.
```
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
```
Para verificar se os metadados foram configurados corretamente, use este comando:
```
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
```

Como implantar um agente de segurança

Para ver os agentes de segurança disponíveis no Cloud Marketplace, use o filtro Segurança.

Acessar produtos de segurança

Para implantar o agente de segurança:

Escolha o agente do Cloud Marketplace.
Inscreva-se no agente de segurança no site do fornecedor.

Como parte da inscrição, o fornecedor normalmente fornece identificadores e credenciais, como senha, ID de ativação ou ID de licença. Você usa esses identificadores para vincular seus projetos do Google Cloud à sua assinatura com o fornecedor.
Depois de se inscrever, abra a listagem do Cloud Marketplace para o agente de segurança e siga as etapas para configurá-lo.
Na página de configuração, insira os identificadores que você recebeu quando se inscreveu no produto. Em atribuição da VM, selecione as instâncias da VM em que implantar o agente de segurança.

É possível filtrar suas VMs de acordo com os campos a seguir:
- Prefixos de nome
- Rótulos de grupo
A implantação cria um bucket do Cloud Storage nos seus projetos e copia os arquivos de instalação no bucket. Em Detalhes do bucket do Storage, selecione uma região para criar o bucket do Cloud Storage para a implantação.
Depois de selecionar as atribuições da VM e escolher uma região para o bucket do Cloud Storage, clique em Implantar. A implantação pode levar alguns minutos para ser concluída.
Para rastrear e verificar a instalação, use um dos métodos a seguir:
- Liste as políticas de convidado para um projeto e verifique se novas políticas de convidado foram criadas para o agente de segurança. Normalmente, a implantação cria uma política de convidado por sistema operacional.
- Abra o visualizador do Logging e verifique os registros para o tipo de recurso Instância da VM e o tipo de registro OSConfigAgent.

Como desinstalar um agente de segurança

Em um nível alto, você precisa fazer o seguinte para desinstalar um agente de segurança:

Exclua todas as políticas de convidado do agente. Isso garante que a configuração do SO pare de instalar o agente em quaisquer novas instâncias da VM que você criar. Se o agente estiver sendo instalado em algumas VMs quando você excluir as políticas de convidado, as instalações continuarão até que estejam concluídas.
Crie uma nova política de convidado para o agente de segurança, que remove o agente das instâncias da VM em que o agente está instalado.

Pode levar alguns minutos para o agente de segurança ser desinstalado das suas VMs.

Excluir as políticas de convidado

É possível usar o console do Google Cloud ou a Google Cloud CLI para excluir as políticas de convidado do agente de segurança.

Console

Abra a página Políticas de convidado.
Selecione as políticas de convidado para o agente de segurança e clique em Excluir.

gcloud

Use este comando para listar todas as suas políticas de convidado:
```
gcloud beta compute os-config guest-policies list
```
Na lista de políticas de convidado, copie os IDs das políticas de convidado da solução de produtos e execute este comando para excluir cada uma das políticas de convidado:
```
gcloud beta compute os-config guest-policies delete POLICY_ID
```

Criar uma política de convidado para remover o agente

Depois de excluir as políticas de convidado do agente de segurança, crie uma nova política que remova o agente de segurança de suas VMs, usando a propriedade desiredState: REMOVED.

Por exemplo, o seguinte arquivo YAML de política de convidado remove cloud-agent-package de todas as instâncias de VM baseadas em Debian na zona us-central1-f:

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Você precisa configurar sua seção assignment para corresponder aos mesmos filtros que definiu quando implantou o agente.

Saiba mais sobre como criar arquivos YAML da política de convidados.

Depois de criar o arquivo YAML da política de convidado, aplique-o usando o seguinte comando:

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Solução de problemas

Como depurar uma política de convidado

Há orientações gerais para depurar Políticas de convidado em Como depurar uma política de convidado

Em particular, sobre como:

listar políticas de convidado atuais;
inspecionar políticas específicas de convidados;
encontrar quais políticas se aplicam a uma instância específica da VM;
inspecionar os registros do Cloud Logging em busca de possíveis mensagens de erro relacionadas à implantação.

Se uma implantação não for bem-sucedida em uma instância específica da VM, tente diagnosticar o problema seguindo estas etapas:

Descubra se a implantação criou uma Política de convidado.
Nesse caso, verifique se a Política de convidado criada:
1. refere-se ao agente de segurança esperado;
2. destina o conjunto esperado de instâncias de VM em sua atribuição;
verifica se a instância da VM lookup inclui a nova política de convidado esperada;
verifica se há alguma mensagem de erro relacionada à configuração do sistema operacional para essa instância específica da VM nos registros do Cloud Logging.