פריסה של סוכני תוכנת אבטחה

אפשר לפרוס סוכני תוכנת אבטחה מ-Cloud Marketplace למכונות ה-VM בפרויקט. אם אתם צריכים להסיר סוכן של תוכנת אבטחה, דלגו אל הסרת סוכן אבטחה.

סוכני תוכנת אבטחה הם בדרך כלל רכיב של מוצרי אבטחה גדולים יותר. לדוגמה, אם יש לכם מינוי למוצר אבטחה, יכול להיות שהמוצר כולל סוכן אבטחה שאפשר להתקין במופעי מכונות וירטואליות. הסוכנים אוספים נתונים על נקודות חולשה ועל התנהגות חשודה במכונות הווירטואליות, ושולחים את הנתונים האלה לספק התוכנה. אפשר לראות את דוחות האבטחה במרכז בקרה שהספק של התוכנה מספק.

כשמתקינים סוכן אבטחה מ-Cloud Marketplace, צריך להירשם בנפרד אצל ספק התוכנה. הספק מחייב אתכם בנפרד.

לפני שמתחילים

לדוגמה, אם רוצים ליצור תפקיד בהתאמה אישית לניהול זהויות והרשאות גישה בשם Security Agent Deployer (פריסת סוכן אבטחה), קודם יוצרים קובץ SecurityAgentDeployer.yaml:

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

אחרי שיוצרים את קובץ ה-YAML, כדי ליצור את התפקיד בהתאמה אישית {iam_name}, מריצים את הפקודה הבאה:

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

אחרי שיוצרים את התפקיד בהתאמה אישית {iam_name} Security Agent Deployer, צריך להקצות אותו למשתמשים שצפויים לפרוס סוכני אבטחה:

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:my-user@example.com   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

הגדרת המטא-נתונים של הפרויקט

אתם יכולים להשתמש במסוף Google Cloud או ב-Google Cloud CLI כדי להגדיר את המטא-נתונים של הפרויקט עבור הסוכן של OS Configuration שמותקן במכונות הווירטואליות.

המסוף

  1. פותחים את דף המטא-נתונים של הפרויקט.
  2. לוחצים על עריכה.

  3. לוחצים על הוספת פריט ומוסיפים את הנכס הבא:

    מפתח ערך
    enable-osconfig TRUE

  4. בנוסף, למרות שזה לא חובה, אפשר להוסיף את פריט המטא-נתונים הבא כדי לכלול הודעות ניפוי באגים ביומנים של Cloud Logging. המידע הזה יעזור לכם לפתור בעיות בהטמעות עתידיות.

    מפתח ערך
    osconfig-log-level ניפוי באגים

gcloud

  1. משתמשים בפקודה הזו כדי להגדיר את המטא-נתונים של הפרויקט עבור הסוכן של OS Config:

    gcloud compute project-info add-metadata --metadata=enable-osconfig=true

  2. בנוסף, אפשר להשתמש בפקודה הבאה כדי לכלול הודעות ניפוי באגים ביומני Cloud Logging, למרות שזה לא חובה. המידע הזה יעזור לכם לפתור בעיות בהטמעות עתידיות.

    gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug

  3. כדי לוודא שהמטא-נתונים הוגדרו בצורה תקינה, משתמשים בפקודה הזו:

    gcloud compute project-info describe --flatten="commonInstanceMetadata[]"

פריסה של סוכן אבטחה

כדי לראות את סוכני האבטחה שזמינים ב-Cloud Marketplace, משתמשים במסנן Security.

מעבר למוצרי אבטחה

כדי לפרוס את סוכן האבטחה:

  1. בוחרים את הסוכן מ-Cloud Marketplace.

  2. נרשמים לסוכן האבטחה באתר של הספק.

    במסגרת ההרשמה, הספק בדרך כלל מספק לכם מזהים ופרטי כניסה, כמו סיסמה, מזהה הפעלה או מזהה רישיון. אתם משתמשים במזהים האלה כדי לקשר את הפרויקטים למינוי שלכם אצל הספק. Google Cloud

  3. אחרי ההרשמה, פותחים את הדף של סוכן האבטחה ב-Cloud Marketplace ופועלים לפי השלבים להגדרת הסוכן.

  4. בדף ההגדרה, מזינים את המזהים שקיבלתם כשנרשמתם למוצר. לאחר מכן, בקטע VM assignment, בוחרים את מופעי מכונות וירטואליות לפריסת סוכן האבטחה.

    אפשר לסנן את המכונות הווירטואליות לפי השדות הבאים:

    • תחיליות של שמות
    • תוויות של קבוצות

  5. הפריסה יוצרת קטגוריה של Cloud Storage בפרויקטים שלכם ומעתיקה את קובצי ההתקנה לקטגוריה. בקטע פרטים של קטגוריית אחסון, בוחרים אזור כדי ליצור את קטגוריה של Cloud Storage לפריסה.

  6. אחרי שבוחרים את הקצאות מכונות ה-VM ואזור לקטגוריה של Cloud Storage, לוחצים על פריסה. הפריסה עשויה להימשך כמה דקות.

  7. כדי לעקוב אחרי ההתקנה ולאמת אותה, אפשר להשתמש באחת מהשיטות הבאות:

הסרת סוכן אבטחה

כדי להסיר סוכן אבטחה, צריך לבצע את הפעולות הבאות:

  1. מחיקת כל כללי מדיניות האורחים של הסוכן. כך מבטיחים שהכלי OS Configuration יפסיק להתקין את הסוכן בכל מכונה וירטואלית חדשה שיוצרים. אם הסוכן מותקן במכונות וירטואליות מסוימות כשמוחקים את מדיניות האורחים, ההתקנות נמשכות עד שהן מסתיימות.

  2. יצירת מדיניות אורחים חדשה לסוכן האבטחה, שמסירה את הסוכן ממכונות וירטואליות שבהן הסוכן מותקן.

יכול להיות שיחלפו כמה דקות עד שהסוכן לאבטחה יוסר מהמכונות הווירטואליות.

מחיקת כללי המדיניות של האורחים

אפשר להשתמש במסוף Google Cloud או ב-Google Cloud CLI כדי למחוק את מדיניות האורחים של סוכן האבטחה.

המסוף

  1. פותחים את הדף בנושא מדיניות לגבי אורחים.
  2. בוחרים את מדיניות האורחים של סוכן האבטחה ולוחצים על מחיקה.

gcloud

  1. אפשר להשתמש בפקודה הזו כדי להציג רשימה של כל מדיניות האורחים:

    gcloud beta compute os-config guest-policies list

  2. ברשימת המדיניות לגבי אורחים, מעתיקים את המזהים של המדיניות לגבי אורחים עבור מוצר האבטחה, ואז מריצים את הפקודה הבאה כדי למחוק כל אחת מהמדיניות לגבי אורחים:

    gcloud beta compute os-config guest-policies delete POLICY_ID

יצירת מדיניות לאורחים כדי להסיר את הסוכן

אחרי שמוחקים את כללי מדיניות האורחים של סוכן האבטחה, צריך ליצור מדיניות חדשה שמסירה את סוכן האבטחה מהמכונות הווירטואליות באמצעות המאפיין desiredState: REMOVED.

לדוגמה, קובץ ה-YAML הבא של מדיניות האורחים מסיר את cloud-agent-package מכל המכונות הווירטואליות שמבוססות על Debian באזור us-central1-f:

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

צריך להגדיר את הקטע assignment כך שיתאים לאותם מסננים שהגדרתם כשפרסתם את הסוכן.

מידע נוסף על יצירת קובצי YAML של מדיניות לאורחים

אחרי שיוצרים את קובץ ה-YAML של מדיניות האורחים, מפעילים אותו באמצעות הפקודה הבאה:

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

פתרון בעיות

ניפוי באגים במדיניות לגבי אורחים

הנחיות כלליות לניפוי באגים של מדיניות לגבי אורחים זמינות במאמר ניפוי באגים של מדיניות לגבי אורחים

במיוחד על האופן שבו

  • הצגת רשימה של כללי מדיניות קיימים לגבי אורחים
  • בדיקה של מדיניות ספציפית לגבי אורחים
  • איך בודקים אילו כללי מדיניות חלים על מכונת VM מסוימת
  • בודקים את היומנים של Cloud Logging בחיפוש אחר הודעות שגיאה פוטנציאליות שקשורות לפריסה.

אם פריסה לא מצליחה במופע ספציפי של מכונה וירטואלית, אפשר לנסות לאבחן את הבעיה באמצעות השלבים הבאים:

  1. בודקים אם הפריסה יצרה מדיניות לגבי אורחים.

  2. אם כן, מוודאים שמדיניות האורח שנוצרה:

    1. הכוונה לסוכן האבטחה הצפוי.
    2. מטרגט את קבוצת המכונות הווירטואליות הצפויה בהקצאה שלו.

  3. מוודאים שהמכונה הווירטואלית lookup כוללת את מדיניות האורח החדשה.

  4. בודקים אם יש הודעות שגיאה שקשורות ל-OS Config עבור מופע ה-VM הספציפי ביומנים של Cloud Logging.