Puoi eseguire il deployment di agenti software per la sicurezza da Cloud Marketplace nelle istanze VM del tuo progetto. Se devi disinstallare un agente software per la sicurezza, vai a Disinstallare un agente di sicurezza.
Gli agenti software per la sicurezza sono in genere un componente di prodotti di sicurezza più grandi. Ad esempio, se hai un abbonamento a un prodotto di sicurezza, il prodotto potrebbe includere un agente di sicurezza che puoi installare sulle tue istanze VM. Gli agenti raccolgono dati sulle vulnerabilità e sui comportamenti sospetti nelle istanze VM e li inviano al fornitore del software. Puoi visualizzare i report sulla sicurezza in una dashboard fornita dal fornitore del software.
Quando installi un agente di sicurezza da Cloud Marketplace, devi registrarti in modo indipendente presso il fornitore del software. Il fornitore ti addebita una tariffa separatamente.
Prima di iniziare
Attiva la gestione della configurazione del sistema operativo:
Devi disporre delle seguenti autorizzazioni:
osconfig.guestPolicies.createosconfig.guestPolicies.deleteosconfig.guestPolicies.getosconfig.guestPolicies.liststorage.buckets.createstorage.buckets.getstorage.objects.createstorage.objects.delete
Ti consigliamo di creare un ruolo personalizzato Identity and Access Management con queste autorizzazioni e di assegnarlo agli utenti che possono eseguire il deployment di agenti software per la sicurezza da Cloud Marketplace.
Ad esempio, se vuoi creare un ruolo personalizzato Identity and Access Management denominato Security Agent Deployer, devi prima creare un file SecurityAgentDeployer.yaml:
title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Dopo aver creato il file YAML, per creare il ruolo personalizzato {iam_name}, esegui questo comando:
gcloud iam roles create role-id --project=project-id \
--file=SecurityAgentDeployer.yaml
Dopo aver creato il ruolo personalizzato {iam_name} Security Agent Deployer, concedilo agli utenti che prevedi di eseguire il deployment degli agenti di sicurezza:
gcloud projects add-iam-policy-binding <project-id> \
--member=user:my-user@example.com \
--role=projects/<project-id>/roles/SecurityAgentDeployer
Configura i metadati del progetto
Puoi utilizzare la Google Cloud console o Google Cloud CLI per configurare i metadati del progetto per l'agente di configurazione del sistema operativo installato nelle istanze VM.
Console
- Apri la pagina Metadati del progetto.
- Fai clic su Modifica.
Fai clic su Aggiungi elemento e aggiungi la seguente proprietà:
Chiave Valore enable-osconfig true Inoltre, anche se non è obbligatorio, puoi aggiungere il seguente elemento di metadati per includere i messaggi di debug nei log di Cloud Logging. In questo modo, sarà più facile risolvere i problemi dei deployment futuri.
Chiave Valore osconfig-log-level debug
gcloud
Utilizza questo comando per configurare i metadati del progetto per l'agente OS Config:
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
Inoltre, anche se non è obbligatorio, puoi utilizzare il seguente comando per includere i messaggi di debug nei log di Cloud Logging. In questo modo, sarà più facile risolvere i problemi dei deployment futuri.
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
Per verificare che i metadati siano stati configurati correttamente, utilizza questo comando:
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
Esegui il deployment di un agente di sicurezza
Per visualizzare gli agenti di sicurezza disponibili su Cloud Marketplace, utilizza il filtro Sicurezza.
Vai ai prodotti per la sicurezza
Per eseguire il deployment dell'agente di sicurezza:
Scegli l'agente da Cloud Marketplace.
Registrati all'agente di sicurezza sul sito web del fornitore.
In genere, durante la registrazione, il fornitore ti fornisce identificatori e credenziali, come una password, un ID di attivazione o un ID licenza. Utilizza questi identificatori per collegare i tuoi progetti al tuo abbonamento con il fornitore. Google Cloud
Dopo la registrazione, apri la scheda di Cloud Marketplace per l'agente di sicurezza e segui i passaggi per configurare l'agente.
Nella pagina di configurazione, inserisci gli identificatori che hai ricevuto quando ti sei registrato al prodotto. Poi, in Assegnazione VM, seleziona le istanze VM su cui eseguire il deployment dell'agente di sicurezza.
Puoi filtrare le VM in base ai seguenti campi:
- Prefissi del nome
- Etichette del gruppo
Il deployment crea un bucket Cloud Storage nei tuoi progetti e copia i file di installazione nel bucket. In Dettagli bucket di archiviazione, seleziona una regione per creare il bucket Cloud Storage per il deployment.
Dopo aver selezionato le assegnazioni VM e scelto una regione per il bucket Cloud Storage, fai clic su Esegui il deployment. Il completamento del deployment potrebbe richiedere alcuni minuti.
Per monitorare e verificare l'installazione, utilizza uno dei seguenti metodi:
Elenca le policy guest per un progetto, e verifica che siano state create nuove policy guest per l'agente di sicurezza. In genere, il deployment crea una policy guest per sistema operativo.
Apri il visualizzatore log, e controlla i log per il tipo di risorsa Istanza VM e il tipo di log OSConfigAgent.
Disinstalla un agente di sicurezza
A livello generale, devi eseguire le seguenti operazioni per disinstallare un agente di sicurezza:
Elimina tutte le policy guest per l'agente. In questo modo, la configurazione del sistema operativo interrompe l'installazione dell'agente su tutte le nuove istanze VM che crei. Se l'agente viene installato su alcune VM quando elimini le policy guest, le installazioni continuano fino al completamento.
Crea una nuova policy guest per l'agente di sicurezza, che rimuove l'agente dalle istanze VM su cui è installato.
La disinstallazione dell'agente di sicurezza dalle VM potrebbe richiedere alcuni minuti.
Elimina le policy guest
Puoi utilizzare la Google Cloud console o Google Cloud CLI per eliminare le policy guest per l'agente di sicurezza.
Console
- Apri la pagina Policy guest.
- Seleziona le policy guest per l'agente di sicurezza e fai clic su Elimina.
gcloud
Utilizza questo comando per elencare tutte le policy guest:
gcloud beta compute os-config guest-policies list
Nell'elenco delle policy guest, copia gli ID delle policy guest per il prodotto di sicurezza, quindi esegui questo comando per eliminare ciascuna delle policy guest:
gcloud beta compute os-config guest-policies delete POLICY_ID
Crea una policy guest per rimuovere l'agente
Dopo aver eliminato le policy guest per l'agente di sicurezza, devi creare una nuova policy che rimuova l'agente di sicurezza dalle VM utilizzando la proprietà desiredState: REMOVED.
Ad esempio, il seguente file YAML della policy guest rimuove cloud-agent-package da tutte le istanze VM basate su Debian nella zona us-central1-f:
assignment:
groupLabels:
- labels:
agent: enabled # apply to VMs with the "agent" label set to "enabled"
zones:
- us-central1-f # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
manager: APT # indicates Debian-based OS
name: cloud-agent-package # indicates the security agent's package name
Devi configurare la sezione assignment in modo che corrisponda agli stessi filtri che hai
impostato quando hai eseguito il deployment dell'agente.
Scopri di più sulla creazione di file YAML delle policy guest.
Dopo aver creato il file YAML della policy guest, applicalo utilizzando il seguente comando:
gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE
Risoluzione dei problemi
Esegui il debug di una policy guest
Puoi trovare indicazioni generali per il debug delle policy guest in Eseguire il debug di una policy guest.
In particolare, su come:
- Elencare le policy guest esistenti
- Esaminare policy guest specifiche
- Trovare le policy applicate a una determinata istanza VM
- Esaminare i log di Cloud Logging alla ricerca di potenziali messaggi di errore relativi al deployment.
Se un deployment non va a buon fine in un'istanza VM specifica, puoi provare a diagnosticare il problema seguendo questi passaggi:
Scopri se il deployment ha creato una policy guest.
In caso affermativo, verifica che la policy guest creata:
- Si riferisca all'agente di sicurezza previsto.
- Selezioni il set di istanze VM previsto nella relativa assegnazione.
Verifica che la
lookupdell'istanza VM includa la nuova policy guest prevista.Controlla se nei log di Cloud Logging sono presenti messaggi di errore relativi a OS Config per l'istanza VM specifica.