Modifica delle opzioni Shielded VM su un'istanza VM

Questo documento descrive come attivare e disattivare gli Opzioni VM schermate su una di un'istanza VM. Per vedere quali immagini supportano le funzionalità delle Shielded VM, consulta l'articolo sulle funzionalità di sicurezza di OS Image.

Panoramica

Su un'istanza Shielded VM, Compute Engine abilita la Trusted Platform Module (vTPM) e monitoraggio dell'integrità per impostazione predefinita. Se disabiliti vTPM, Compute Engine disabilita il monitoraggio dell'integrità perché si basa sui dati raccolte da Avvio con misurazioni.

Compute Engine non abilita Avvio protetto per impostazione predefinita poiché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. L'avvio protetto contribuisce ad assicurare che il sistema esegua solo software autentici verificando la firma di tutti i componenti di avvio e interrompendo il processo di avvio. se la verifica della firma non va a buon fine. Ciò aiuta a prevenire forme di malware kernel, come rootkit o bootkit, non persistenti tra i riavvii delle VM. Google consiglia di attivare l'Avvio protetto se puoi assicurarti che non impedisca di una VM di test rappresentativa dall'avvio e se è appropriata per il tuo carico di lavoro.

Limitazioni

Anche se le istanze VM di Compute Engine supportano l'avvio protetto, su una VM di Compute Engine. In particolare, anche se la maggior parte dei sistemi le distribuzioni supportano l'avvio protetto sulle immagini x86 recenti, ma supportata per impostazione predefinita su ARM64. Molte immagini Linux sono configurate in modo da rifiutare il caricamento di build non firmate di moduli kernel out-of-tree quando l'Avvio protetto è abilitato. Questo interessa di solito i driver GPU, ma a volte interessa anche gli strumenti di monitoraggio della sicurezza che richiedono moduli kernel.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:

  • compute.instances.updateShieldedInstanceConfig sull'istanza VM

Modifica delle opzioni Shielded VM su un'istanza VM

Utilizza la seguente procedura per modificare le opzioni della Shielded VM:

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul nome dell'istanza per aprire la pagina Dettagli istanza VM.

  3. Fai clic su Arresta.

  4. Una volta interrotta l'istanza, fai clic su Modifica.

  5. Nella sezione Shielded VM, modifica le opzioni della Shielded VM:

    • Attiva l'opzione Attiva Avvio protetto per abilitare Avvio protetto Compute Engine non abilita Avvio protetto perché driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di attivare Avvio protetto.

    • Attiva/disattiva Attiva vTPM per disabilitare il modulo Piattaforma attendibile virtuale (vTPM). Per impostazione predefinita, Compute Engine abilita il Platform Module (vTPM).

    • Attiva l'opzione Attiva il monitoraggio dell'integrità per disattivare l'integrità il monitoraggio. Per impostazione predefinita, Compute Engine abilita l'integrità e il monitoraggio.

  6. Fai clic su Salva.

  7. Fai clic su Avvia per avviare l'istanza.

gcloud

  1. Arresta l'istanza:

    gcloud compute instances stop VM_NAME

    Sostituisci VM_NAME con il nome della VM da arrestare.

  2. Aggiorna le opzioni della Shielded VM:

    gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]

    Sostituisci VM_NAME con il nome della VM su cui per aggiornare le opzioni della Shielded VM.

    shielded-secure-boot: Compute Engine non attiva Avvio protetto perché i driver non firmati e altri software di basso livello non sarà compatibile. Se possibile, Google consiglia di abilitare Avvio protetto.

    • Abilita Avvio protetto utilizzando il flag --shielded-secure-boot (consigliato).
    • Disattiva l'Avvio protetto utilizzando --no-shielded-secure-boot.

    shielded-vtpm: il valore Virtual Trusted Platform Module (vTPM) è abilitata per impostazione predefinita. + Attiva utilizzando --shielded-vtpm (impostazione predefinita) + Disabilita utilizzando il flag --no-shielded-vtpm

    shielded-integrity-monitoring: monitoraggio dell'integrità è abilitata per impostazione predefinita. + Attiva utilizzando --shielded-integrity-monitoring (impostazione predefinita) + Disattivala utilizzando il flag --no-shielded-integrity-monitoring.

  3. Avvia l'istanza:

    gcloud compute instances start VM_NAME

    Sostituisci VM_NAME con il nome della VM per avviare.

API

  1. Arresta l'istanza:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop

    Sostituisci quanto segue:

    • PROJECT_ID: progetto contenente la VM da arrestare
    • ZONE: zona contenente la VM da arrestare
    • VM_NAME: la VM da arrestare

  2. Utilizza le funzionalità di instances.updateShieldedInstanceConfig per abilitare o disabilitare le opzioni Shielded VM nell'istanza:

    PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto contenente la VM da attivare o disattivare le opzioni Shielded VM.
    • ZONE: la zona contenente la VM da abilitare o disattiva le opzioni Shielded VM.
    • VM_NAME: la VM da abilitare o disabilitare Opzioni Shielded VM attive.

    enableSecureBoot: Compute Engine non abilita Avvio protetto di è l'impostazione predefinita perché i driver non firmati e altri software di basso non sarà compatibile. Se possibile, Google consiglia di abilitare Avvio protetto.

    enableVtpm: Compute Engine consente Virtual Trusted Platform Module (vTPM) per impostazione predefinita.

    enableIntegrityMonitoring: Compute Engine abilita monitoraggio dell'integrità per impostazione predefinita.

  3. Avvia l'istanza:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start

    Sostituisci quanto segue:

    • PROJECT_ID: progetto contenente la VM da avviare
    • ZONE: zona contenente la VM da avviare
    • VM_NAME: VM per avviare

Passaggi successivi