Déployer des agents logiciels de sécurité

Vous pouvez déployer des agents logiciels de sécurité depuis Cloud Marketplace sur les instances de VM de votre projet. Si vous devez désinstaller un agent logiciel de sécurité, passez à la section Désinstaller un agent de sécurité.

Les agents logiciels de sécurité font généralement partie de produits de sécurité plus étendues. Par exemple, si vous êtes abonné à un produit de sécurité, celui-ci peut inclure un agent de sécurité que vous pouvez installer sur vos instances de VM. Les agents collectent des données concernant les failles et les comportements suspects sur les instances de VM, puis renvoient ces données au fournisseur du logiciel. Vous pouvez consulter les rapports de sécurité dans un tableau de bord fourni par le fournisseur du logiciel.

Lorsque vous installez un agent de sécurité à partir de Cloud Marketplace, vous devez vous inscrire indépendamment auprès du fournisseur de logiciel. Le fournisseur vous facture des frais séparément.

Avant de commencer

Activer la gestion de la configuration du système d'exploitation :
Vous devez disposer des autorisations suivantes :
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete
Nous vous recommandons de créer un rôle IAM personnalisé avec ces autorisations, puis d'attribuer ce rôle aux utilisateurs autorisés à déployer des agents de sécurité depuis Cloud Marketplace.

Par exemple, si vous souhaitez créer un rôle IAM personnalisé nommé "Déployeur d'agent de sécurité", vous devez d'abord créer un fichier SecurityAgentDeployer.yaml :

title: SecurityAgentDeployer
description: Role for Users who deploy Security Agents in a project
stage: GA
includedPermissions:
- osconfig.guestPolicies.create
- osconfig.guestPolicies.delete
- osconfig.guestPolicies.get
- osconfig.guestPolicies.list
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.objects.delete

Après avoir créé votre fichier YAML, pour créer le rôle personnalisé {iam_name}, exécutez la commande suivante :

gcloud iam roles create role-id --project=project-id   \
   --file=SecurityAgentDeployer.yaml

Une fois que vous avez créé le rôle personnalisé {iam_name} Déployeur d'agent de sécurité, attribuez-le à vos utilisateurs susceptibles de déployer des agents de sécurité :

gcloud projects add-iam-policy-binding <project-id>  \
  --member=user:[email protected]   \
  --role=projects/<project-id>/roles/SecurityAgentDeployer

Configurer les métadonnées du projet

Vous pouvez utiliser la console Google Cloud ou la Google Cloud CLI pour configurer les métadonnées du projet pour l'agent de configuration du système d'exploitation installé dans les instances de VM.

Console

Ouvrez la page Métadonnées du projet.
Cliquez sur Modifier.
Cliquez sur Ajouter un élément et ajoutez la propriété suivante :

Clé Valeur

enable-osconfig true
De plus, bien que ce ne soit pas obligatoire, vous pouvez ajouter l'élément de métadonnées suivant pour inclure des messages de débogage dans les journaux Cloud Logging. Cela facilitera le dépannage des problèmes de déploiements ultérieurs.

Clé Valeur

osconfig-log-level debug

Clé	Valeur
enable-osconfig	true

Clé	Valeur
osconfig-log-level	debug

gcloud

Utilisez cette commande pour configurer les métadonnées du projet pour l'agent OS Config :
```
gcloud compute project-info add-metadata --metadata=enable-osconfig=true
```
De plus, bien que ce ne soit pas obligatoire, la commande suivante peut être utilisée pour inclure des messages de débogage dans les journaux Cloud Logging. Cela facilitera le dépannage des problèmes de déploiements ultérieurs.
```
gcloud compute project-info add-metadata --metadata=osconfig-log-level=debug
```
Pour vérifier que les métadonnées ont été correctement configurées, utilisez cette commande :
```
gcloud compute project-info describe --flatten="commonInstanceMetadata[]"
```

Déployer un agent de sécurité

Pour afficher les agents de sécurité disponibles sur Cloud Marketplace, utilisez le filtre Sécurité.

Accéder aux produits de sécurité

Pour déployer l'agent de sécurité :

Choisissez l'agent dans Cloud Marketplace.
Inscrivez-vous à l'agent de sécurité sur le site Web du fournisseur.

Dans le cadre de l'inscription, le fournisseur vous donne généralement des identifiants, tels qu'un mot de passe, un ID d'activation ou un ID de licence. Ces identifiants vous permettent d'associer vos projets Google Cloud à votre abonnement au fournisseur.
Une fois inscrit, ouvrez la fiche Cloud Marketplace de l'agent de sécurité et suivez les étapes pour configurer l'agent.
Sur la page de configuration, saisissez les identifiants obtenus lors de votre inscription au produit. Ensuite, sous Attribution de VM, sélectionnez les instances de VM sur lesquelles déployer l'agent de sécurité.

Vous pouvez filtrer vos machines virtuelles par les champs suivants :
- Préfixes de nom
- Libellés du groupe
Le déploiement crée un bucket Cloud Storage dans vos projets et copie les fichiers d'installation dans le bucket. Sous Détails du bucket de stockage, sélectionnez une région afin de créer le bucket Cloud Storage pour le déploiement.
Après avoir sélectionné les attributions de VM et choisi une région pour le bucket Cloud Storage, cliquez sur Deploy (Déployer). Le déploiement peut prendre plusieurs minutes.
Pour suivre et vérifier l'installation, utilisez l'une des méthodes suivantes :
- Répertoriez les règles d'invité pour un projet, puis vérifiez que de nouvelles règles d'invité ont été créées pour l'agent de sécurité. En général, le déploiement crée une règle d'invité par système d'exploitation.
- Ouvrez la visionneuse de journaux, puis vérifiez les journaux pour le type de ressource Instance VM et le type de journal OSConfigAgent.

Désinstaller un agent de sécurité

À un niveau élevé, vous devez procéder comme suit pour désinstaller un agent de sécurité :

Supprimez toutes les règles d'invité pour l'agent. Cela garantit que la configuration du système d'exploitation cesse d'installer l'agent sur les nouvelles instances de VM que vous créez. Si l'agent est installé sur certaines VM lorsque vous supprimez les règles d'invité, l'installation se poursuit jusqu'à ce qu'elles soient terminées.
Créez une règle d'invité pour l'agent de sécurité afin de le supprimer l'agent des instances de VM sur lesquelles il est installé.

La désinstallation de l'agent de sécurité de vos VM peut prendre plusieurs minutes.

Supprimer les règles d'invité

Vous pouvez utiliser la console Google Cloud ou la Google Cloud CLI pour supprimer les règles relatives aux invités de l'agent de sécurité.

Console

Ouvrez la page règles d'invité.
Sélectionnez les règles d'invité de l'agent de sécurité, puis cliquez sur Supprimer.

gcloud

Utilisez cette commande pour répertorier toutes vos règles d'invité :
```
gcloud beta compute os-config guest-policies list
```
Dans la liste des règles d'invité, copiez les ID des règles d'invité pour le produit de sécurité, puis exécutez cette commande pour supprimer chacune des règles d'invité :
```
gcloud beta compute os-config guest-policies delete POLICY_ID
```

Créer une règle d'invité pour supprimer l'agent

Après avoir supprimé les règles d'invité pour l'agent de sécurité, vous devez créer une nouvelle règle qui supprime l'agent de sécurité de vos VM, à l'aide de la propriété desiredState: REMOVED.

Par exemple, le fichier YAML de règle d'invité suivant supprime cloud-agent-package de toutes les instances de machine virtuelle Debian dans la zone us-central1-f :

assignment:
  groupLabels:
  - labels:
      agent: enabled  # apply to VMs with the "agent" label set to "enabled"
  zones:
  - us-central1-f  # apply to all VMs in this zone
name: projects/YOUR_PROJECT_ID/guestPolicies/cloud-agent-remove
packages:
- desiredState: REMOVED
  manager: APT  # indicates Debian-based OS
  name: cloud-agent-package  # indicates the security agent's package name

Vous devez configurer votre section assignment pour qu'elle corresponde aux mêmes filtres que ceux définis lors du déploiement de l'agent.

En savoir plus sur la création de fichiers YAML de règle d'invité.

Après avoir créé le fichier YAML de règle d'invité, appliquez-le à l'aide de la commande suivante :

gcloud beta compute os-config guest-policies create NEW_POLICY_ID --file YOUR_GUEST_POLICY_FILE

Dépannage

Déboguer une règle d'invité

Vous trouverez des conseils généraux pour le débogage des règles d'invité dans Débogage d'une règle d'invité

En particulier, sur les actions suivantes :

Répertorier les politiques d'invité existantes
Inspecter des politiques d'invité spécifiques
Rechercher les règles qui s'appliquent à une instance de VM spécifique
Recherchez dans les journaux Cloud Logging des messages d'erreur potentiels liés au déploiement.

Si un déploiement échoue dans une instance de machine virtuelle spécifique, vous pouvez essayer de diagnostiquer le problème en procédant comme suit :

Vérifiez si le déploiement a créé une règle d'invité.
Si tel est le cas, vérifiez que la règle d'invité créée :
1. Fait référence à l'agent de sécurité attendu.
2. Cible l'ensemble d'instances de VM attendu dans son affectation.
Vérifiez que l'instance de VM lookup inclut la nouvelle règle d'invité attendue.
Vérifiez s'il existe des messages d'erreur liés à la configuration du système d'exploitation pour cette instance de machine virtuelle spécifique dans les journaux Cloud Logging.