Anda dapat men-deploy agen software keamanan dari Cloud Marketplace ke instance VM di project Anda. Jika Anda perlu mencopot instalasi agen software keamanan, buka Mencopot instalasi agen keamanan.
Agen software keamanan biasanya merupakan komponen dari produk keamanan yang lebih besar. Misalnya, jika Anda memiliki langganan produk keamanan, produk tersebut mungkin menyertakan agen keamanan yang dapat Anda instal di instance VM Anda. Agen mengumpulkan data tentang kerentanan dan perilaku mencurigakan di instance VM, dan mengirimkan data ini kembali ke vendor software. Anda dapat melihat laporan keamanan di dasbor yang disediakan oleh vendor software.
Saat menginstal agen keamanan dari Cloud Marketplace, Anda harus mendaftar secara terpisah dengan vendor software. Vendor mengenakan biaya kepada Anda secara terpisah.
Sebelum memulai
Aktifkan Pengelolaan Konfigurasi OS:
Anda harus memiliki izin berikut:
osconfig.guestPolicies.createosconfig.guestPolicies.deleteosconfig.guestPolicies.getosconfig.guestPolicies.liststorage.buckets.createstorage.buckets.getstorage.objects.createstorage.objects.delete
Sebaiknya buat peran khusus Identity and Access Management dengan izin ini, lalu tetapkan peran tersebut kepada pengguna yang dapat men-deploy agen software keamanan dari Cloud Marketplace.
Misalnya, jika Anda ingin membuat peran kustom Identity and Access Management bernama Security Agent Deployer, Anda harus membuat file SecurityAgentDeployer.yaml terlebih dahulu:
title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Setelah membuat file YAML, untuk membuat peran kustom {iam_name}, jalankan perintah berikut:
gcloud iam roles create role-id --project=project-id \
--file=SecurityAgentDeployer.yaml
Setelah Anda membuat peran khusus {iam_name} Security Agent Deployer, berikan peran tersebut kepada pengguna Anda yang Anda harapkan untuk men-deploy agen keamanan:
gcloud projects add-iam-policy-binding <project-id> \
--member=user:my-user@example.com \
--role=projects/<project-id>/roles/SecurityAgentDeployer
Mengonfigurasi metadata project
Anda dapat menggunakan Google Cloud konsol atau Google Cloud CLI untuk mengonfigurasi metadata project untuk agen Konfigurasi OS yang diinstal di instance VM.
Konsol
- Buka halaman Metadata Project.
- Klik Edit
Klik Tambahkan Item, lalu tambahkan properti berikut:
Kunci Nilai enable-osconfig true Selain itu, meskipun tidak wajib, item metadata berikut dapat ditambahkan untuk menyertakan pesan debug dalam log Cloud Logging. Hal ini akan mempermudah tugas pemecahan masalah deployment di masa mendatang.
Kunci Nilai osconfig-log-level debug
gcloud
Gunakan perintah ini untuk menyiapkan metadata project bagi agen Konfigurasi OS:
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
Selain itu, meskipun tidak diperlukan, perintah berikut dapat digunakan untuk menyertakan pesan debug dalam log Cloud Logging. Hal ini akan mempermudah tugas pemecahan masalah deployment di masa mendatang.
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
Untuk memverifikasi bahwa metadata telah disiapkan dengan benar, gunakan perintah ini:
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
Men-deploy agen keamanan
Untuk melihat agen keamanan yang tersedia di Cloud Marketplace, gunakan filter Keamanan.
Untuk men-deploy agen keamanan:
Pilih agen dari Cloud Marketplace.
Daftar ke agen keamanan di situs vendor.
Sebagai bagian dari pendaftaran, vendor biasanya memberi Anda ID dan kredensial, seperti sandi, ID aktivasi, atau ID lisensi. Anda menggunakan ID ini untuk menautkan Google Cloud project ke langganan Anda dengan vendor.
Setelah mendaftar, buka listingan Cloud Marketplace untuk agen keamanan dan ikuti langkah-langkah untuk mengonfigurasi agen.
Di halaman konfigurasi, masukkan ID yang Anda dapatkan saat mendaftar untuk produk. Kemudian, di bagian Penetapan VM, pilih instance VM untuk men-deploy agen keamanan.
Anda dapat memfilter VM berdasarkan kolom berikut:
- Awalan nama
- Label grup
Deployment membuat bucket Cloud Storage di project Anda, dan menyalin file penginstalan ke bucket. Di bagian Storage bucket details, pilih region untuk membuat bucket Cloud Storage untuk deployment.
Setelah memilih penetapan VM dan memilih region untuk bucket Cloud Storage, klik Deploy. Proses deployment mungkin memerlukan waktu beberapa menit.
Untuk melacak dan memverifikasi penginstalan, gunakan salah satu metode berikut:
Mencantumkan kebijakan tamu untuk project, lalu memverifikasi bahwa kebijakan tamu baru telah dibuat untuk agen keamanan. Biasanya, deployment membuat satu kebijakan tamu per sistem operasi.
Buka pelihat Logging, lalu periksa log untuk jenis resource VM Instance dan jenis log OSConfigAgent.
Meng-uninstal agen keamanan
Pada level tinggi, Anda harus melakukan hal berikut untuk meng-uninstal agen keamanan:
Hapus semua kebijakan tamu untuk agen. Tindakan ini memastikan bahwa Konfigurasi OS berhenti menginstal agen di instance VM baru yang Anda buat. Jika agen sedang diinstal di beberapa VM saat Anda menghapus kebijakan tamu, penginstalan akan berlanjut hingga selesai.
Buat kebijakan tamu baru untuk agen keamanan, yang menghapus agen dari instance VM yang telah menginstal agen.
Mungkin perlu waktu beberapa menit hingga agen keamanan diuninstal dari VM Anda.
Menghapus kebijakan tamu
Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI untuk menghapus kebijakan tamu untuk agen keamanan.
Konsol
- Buka halaman Kebijakan Tamu.
- Pilih kebijakan tamu untuk agen keamanan, lalu klik Hapus.
gcloud
Gunakan perintah ini untuk mencantumkan semua kebijakan tamu Anda:
gcloud beta compute os-config guest-policies list
Dari daftar kebijakan tamu, salin ID kebijakan tamu untuk produk keamanan, lalu jalankan perintah ini untuk menghapus setiap kebijakan tamu:
gcloud beta compute os-config guest-policies delete POLICY_ID
Membuat kebijakan tamu untuk menghapus agen
Setelah menghapus kebijakan tamu untuk agen keamanan, Anda harus membuat
kebijakan baru yang menghapus agen keamanan dari VM Anda, menggunakan
properti desiredState: REMOVED.
Misalnya, file YAML kebijakan tamu berikut menghapus cloud-agent-package
dari semua instance VM berbasis Debian di zona us-central1-f:
assignment:
groupLabels:
- labels:
agent: enabled # apply to VMs with the "agent" label set to "enabled"
zones:
- us-central1-f # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
manager: APT # indicates Debian-based OS
name: cloud-agent-package # indicates the security agent's package name
Anda harus mengonfigurasi bagian assignment agar sesuai dengan filter yang sama yang Anda
tetapkan saat men-deploy agen.
Pelajari lebih lanjut cara membuat file YAML kebijakan tamu.
Setelah membuat file YAML kebijakan tamu, terapkan dengan menggunakan perintah berikut:
gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE
Pemecahan masalah
Men-debug Kebijakan Tamu
Anda dapat menemukan panduan umum untuk men-debug Kebijakan Tamu di Men-debug kebijakan tamu
Khususnya, tentang cara
- Mencantumkan Kebijakan Tamu yang ada
- Memeriksa Kebijakan Tamu tertentu
- Menemukan kebijakan yang berlaku untuk instance VM tertentu
- Periksa log Cloud Logging untuk mencari kemungkinan pesan error terkait deployment.
Jika deployment tidak berhasil di instance VM tertentu, Anda dapat mencoba mendiagnosis masalah dengan mengikuti langkah-langkah berikut:
Cari tahu apakah deployment membuat Kebijakan Tamu.
Jika ya, verifikasi bahwa Kebijakan Tamu yang dibuat:
- Merujuk pada Agen Keamanan yang diharapkan.
- Menargetkan kumpulan instance VM yang diharapkan dalam Penugasannya.
Pastikan instance VM
lookupmenyertakan Kebijakan Tamu baru yang diharapkan.Periksa apakah ada pesan error terkait OS Config untuk instance VM tertentu tersebut di log Cloud Logging.