Shielded VM-Optionen ändern

In diesem Thema erfahren Sie, wie Sie Optionen für Shielded VM in einer VM-Instanz ändern. Informationen zu den Images, die Shielded VM-Features unterstützen, finden Sie unter Sicherheits-Features für Betriebssystem-Images.

Auf einer Shielded VM-Instanz werden die Optionen Virtual Trusted Platform Module (vTPM) und Integritätsmonitoring durch Compute Engine standardmäßig aktiviert. Wenn Sie das vTPM deaktivieren, deaktiviert Compute Engine die Integritätsmonitoring, da dieses auf Daten basiert, die vom Measured Boot erfasst werden.

Compute Engine aktiviert Secure Boot nicht standardmäßig, da nicht signierte Treiber und andere Software möglicherweise nicht kompatibel sind. Secure Boot sorgt dafür, dass das System nur authentische Software ausführt, indem die Signatur aller Startkomponenten prüft und der Startvorgang angehalten wird, wenn die Signaturprüfung fehlschlägt. Dadurch wird verhindert, dass Formen von Kernel-Malware wie Rootkits oder Bootkits bei VM-Neustarts beibehalten werden. Wenn dies für Ihre spezifischen Arbeitslasten geeignet ist, können Sie prüfen, ob die Aktivierung von Secure Boot nicht verhindert, dass eine repräsentative Test-VM gestartet wird. Google empfiehlt, Secure Boot zu aktivieren.

Vorbereitung

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen:

  • compute.instances.updateShieldedInstanceConfig auf der VM

Shielded VM-Optionen in einer VM-Instanz ändern

Shielded VM-Optionen können Sie so ändern:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite VM-Instanzen.

    Zur Seite VM-Instanzen

  2. Klicken Sie auf den Instanznamen, um die Seite VM-Instanzdetails zu öffnen.

  3. Klicken Sie auf Beenden.

  4. Wenn die Instanz nicht mehr ausgeführt wird, klicken Sie auf Bearbeiten.

  5. Ändern Sie im Abschnitt Shielded VM die Shielded VM-Optionen:

    • Aktivieren Sie die Option Secure Boot aktivieren. Compute Engine aktiviert Secure Boot nicht standardmäßig, da nicht signierte Treiber und andere Software möglicherweise nicht kompatibel sind. Trotzdem empfiehlt Google, Secure Boot zu aktivieren.

    • Deaktivieren Sie die Option vTPM aktivieren, um das vTPM (Virtual Trusted Platform Module) zu deaktivieren. Compute Engine aktiviert das vTPM (Virtual Trusted Platform Module) standardmäßig.

    • Deaktivieren Sie die Option Integritätsmonitoring aktivieren, um das Integritätsmonitoring zu deaktivieren. Compute Engine aktiviert das Integritätsmonitoring standardmäßig.

  6. Klicken Sie auf Speichern.

  7. Klicken Sie nun auf Starten, um die Instanz zu starten.

gcloud

  1. Beenden Sie die Instanz und ersetzen Sie VM_NAME durch den Namen der zu beendenden VM:

    gcloud compute instances stop VM_NAME
    
  2. Aktualisieren Sie die Shielded VM-Optionen:

    gcloud compute instances update VM_NAME [SECURE_BOOT] [SHIELDED_VTPM] [INTEGRITY_MONITORING]
    

    Ersetzen Sie Folgendes:

    • VM_NAME: Name der VM, auf der die Shielded VM-Optionen aktualisiert werden sollen.
    • SECURE_BOOT: Compute Engine aktiviert Secure Boot nicht standardmäßig, da einige nicht signierte Treiber und andere Software nicht kompatibel sind. Trotzdem empfiehlt Google, Secure Boot möglichst zu aktivieren. Aktivieren Sie Secure Boot mit --shielded-secure-boot und deaktivieren Sie es mit --no-shielded-secure-boot.
    • SHIELDED_VTPM: standardmäßig aktiviert. Deaktivieren Sie das Virtual Trusted Platform Module (vTPM) mit --no-shielded-vtpm und aktivieren Sie es mit --shielded-vtpm.
    • INTEGRITY_MONITORING: standardmäßig aktiviert. Deaktivieren Sie das Integritätsmonitoring mit --no-shielded-integrity-monitoring und aktivieren Sie sie mit --shielded-integrity-monitoring.
  3. Starten Sie die Instanz und ersetzen Sie dabei VM_NAME durch den Namen der zu startenden VM:

    gcloud compute instances start VM_NAME
    

API

  1. Beenden Sie die Instanz:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt mit der zu beendenden VM.
    • ZONE: Zone mit der zu beendenden VM.
    • VM_NAME: VM, die beendet werden soll.
  2. Verwenden Sie instances.updateShieldedInstanceConfig, um Shielded VM-Optionen für die Instanz zu aktivieren oder zu deaktivieren:

    PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig
    
    {
      "enableSecureBoot": {true|false},
      "enableVtpm": {true|false},
      "enableIntegrityMonitoring": {true|false}
    }
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt mit der VM, für die Shielded VM-Optionen aktiviert oder deaktiviert werden sollen.
    • ZONE: Zone, die die VM enthält, für die Shielded VM-Optionen aktiviert oder deaktiviert werden sollen.
    • VM_NAME: VM, für die Shielded VM-Optionen aktiviert oder deaktiviert werden sollen.
    • enableSecureBoot: Compute Engine aktiviert Secure Boot nicht standardmäßig, da nicht signierte Treiber und andere Software möglicherweise nicht kompatibel sind. Google empfiehlt, Secure Boot möglichst zu aktivieren.
    • enableVtpm: Compute Engine aktiviert das Virtual Trusted Platform Module (vTPM) standardmäßig.
    • enableIntegrityMonitoring: Compute Engine aktiviert das Integritätsmonitoring standardmäßig.
  3. Starten Sie die Instanz:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt mit der zu startenden VM.
    • ZONE: Zone mit der zu startenden VM.
    • VM_NAME: zu startende VM.

Weitere Informationen