Neste documento, você verá como ativar e desativar as opções de VM protegida em uma instância de VM. Para ver quais imagens são compatíveis com os recursos de VM protegida, consulte os recursos de segurança da imagem do SO.
Visão geral
Em uma instância de VM protegida, o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM, na sigla em inglês) e as opções de monitoramento de integridade por padrão. Se você desativar o vTPM, o Compute Engine desativará o monitoramento de integridade porque ele depende de dados coletados pela Inicialização medida.
O Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. A Inicialização segura ajuda a garantir que o sistema execute apenas um software autêntico. Para isso, ela verifica a assinatura de todos os componentes de inicialização e interrompe o processo de inicialização se a verificação da assinatura falhar. Isso ajuda a evitar que formas de malware kernel, como rootkits ou bootkits, persistam nas reinicializações da VM. O Google recomenda que você ative a Inicialização segura se ela não impedir que uma VM de teste representativa seja inicializada e que seja apropriada para sua carga de trabalho.
Limitações
Ainda que as instâncias de VM do Compute Engine sejam compatíveis com a inicialização segura, é possível que uma imagem carregada em uma VM do Compute Engine não seja. Embora a maioria das distribuições do Linux seja compatível com a Inicialização segura em imagens x86 recentes, ela nem sempre é compatível por padrão em ARM64. Muitas imagens do Linux são configuradas para se recusar a carregar builds não assinados de módulos de kernel fora da árvore quando a Inicialização segura está ativada. Geralmente isso afeta os drivers de GPU, mas às vezes também afeta as ferramentas de monitoramento de segurança que exigem módulos do kernel.
Permissões exigidas para a tarefa
Para executar esta tarefa, é preciso ter a permissão a seguir:
compute.instances.updateShieldedInstanceConfigna instância de VM
Como modificar opções de VM protegida em uma instância de VM
Use o procedimento a seguir para modificar as opções de VM protegida:
Console
No console do Google Cloud, acesse a página Instâncias de VMs.
Clique no nome da instância para abrir a página Detalhes da instância de VM.
Clique em Interromper.
Depois que a instância parar, clique em Editar.
Na seção VM protegida, modifique as opções de VM protegida:
Ativar a inicialização segura para ativar a Inicialização segura do Compute Engine não ativa a Inicialização segura por padrão porque os drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.
Alterne para Ativar vTPM para desativar o módulo de plataforma confiável virtual (vTPM). Por padrão, o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM).
Ative a opção Ativar monitoramento de integridade para desativar o monitoramento de integridade. Por padrão, o Compute Engine ativa o monitoramento de integridade.
Clique em Salvar.
Clique em Iniciar para iniciar a instância.
gcloud
Interrompa a instância:
gcloud compute instances stop VM_NAME
Substitua
VM_NAMEpelo nome da VM a ser interrompida.Atualize as opções de VM protegida:
gcloud compute instances update VM_NAME \ [--[no-]shielded-secure-boot] \ [--[no-]shielded-vtpm] \ [--[no-]shielded-integrity-monitoring]Substitua
VM_NAMEpelo nome da VM na qual as opções de VM protegida serão atualizadas.shielded-secure-boot: o Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.- Ative a Inicialização segura usando a sinalização
--shielded-secure-boot(recomendado). - Desative a Inicialização segura usando
--no-shielded-secure-boot.
shielded-vtpm: o módulo de plataforma confiável virtual (vTPM, na sigla em inglês) é ativado por padrão. + Ativar usando--shielded-vtpm(padrão) + Desativar usando a sinalização--no-shielded-vtpmshielded-integrity-monitoring: o monitoramento de integridade é ativado por padrão. + Ativar usando--shielded-integrity-monitoring(padrão) + Desativar usando a sinalização--no-shielded-integrity-monitoring.- Ative a Inicialização segura usando a sinalização
Inicie a instância:
gcloud compute instances start VM_NAME
Substitua
VM_NAMEpelo nome da VM a ser iniciada.
API
Interrompa a instância:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
Substitua:
PROJECT_ID: projeto que contém a VM a ser interrompidaZONE: zona que contém a VM a ser interrompidaVM_NAME: a VM a ser interrompida
Use
instances.updateShieldedInstanceConfigpara ativar ou desativar as opções de VM protegida na instância:PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig { "enableSecureBoot": {true|false}, "enableVtpm": {true|false}, "enableIntegrityMonitoring": {true|false} }Substitua:
PROJECT_ID: projeto com a VM que terá as opções de VM protegida ativadas ou desativadas.ZONE: zona com a VM que terá as opções de VM protegida ativadas ou desativadas.VM_NAME: VM que terá as opções de VM protegida ativadas ou desativadas.
enableSecureBoot: o Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.enableVtpm: o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM) por padrão.enableIntegrityMonitoring: o Compute Engine ativa o monitoramento de integridade por padrão.Inicie a instância:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
Substitua:
PROJECT_ID: projeto que contém a VM a ser iniciadaZONE: zona que contém a VM a ser iniciadaVM_NAME: VM a ser iniciada
A seguir
- Leia mais sobre os recursos de segurança oferecidos pela VM protegida.
- Saiba mais sobre como monitorar a integridade em uma instância de VM protegida.