Modifica las opciones de VM protegida

Usa este tema para saber cómo modificar las opciones de VM protegida en una instancia de VM. Para ver qué imágenes son compatibles con las funciones de las VM protegidas, consulta las funciones de seguridad de imagen de SO.

En una instancia de VM protegida, Compute Engine habilita las opciones del Módulo de plataforma segura virtual (vTPM) y la supervisión de integridad de forma predeterminada. Si inhabilitas el vTPM, Compute Engine inhabilita la supervisión de integridad porque esta depende de los datos recopilados por el Inicio medido.

Compute Engine no habilita el inicio seguro de forma predeterminada porque es posible que los controladores sin firmar y otro software de bajo nivel no sean compatibles. El inicio seguro ayuda a garantizar que el sistema solo ejecute software auténtico mediante la verificación de la firma de todos los componentes de inicio y la detención del proceso de inicio si la verificación de firma falla. Esto ayuda a evitar que persistan formas de software malicioso de kernel, como rootkits o bootkits, en los reinicios de VM. Si es apropiado para las cargas de trabajo específicas, es decir, si puedes asegurarte de que habilitar el inicio seguro no evita que se inicie una VM de prueba representativa, Google recomienda habilitar el inicio seguro.

Antes de comenzar

Permisos necesarios para esta tarea

Para realizar esta tarea, debes contar con los siguientes permisos:

  • compute.instances.updateShieldedInstanceConfig en la VM

Modifica las opciones de VM protegida en una instancia de VM

Usa el siguiente procedimiento para modificar las opciones de VM protegida:

Console

  1. En Google Cloud Console, ve a la página Instancias de VM.

    Ir a la página Instancias de VM

  2. Haz clic en el nombre de la instancia para abrir la página Detalles de la instancia de VM.

  3. Haz clic en Detener.

  4. Una vez que la instancia se detenga, haz clic en Editar.

  5. En la sección VM protegida, modifica las opciones de VM protegida:

    • Activa la opción Activar inicio seguro para habilitarlo. Compute Engine no habilita el inicio seguro de forma predeterminada porque es posible que los controladores sin firmar y otro software de bajo nivel no sean compatibles. Aún así, si es posible, Google recomienda habilitar el inicio seguro.

    • Desactiva Activar vTPM para inhabilitar el Módulo de plataforma segura virtual (vTPM). De forma predeterminada, Compute Engine habilita el Módulo de plataforma segura virtual (vTPM).

    • Desactiva Activar supervisión de integridad para inhabilitar la supervisión de integridad. De forma predeterminada, Compute Engine habilita la supervisión de integridad.

  6. Haz clic en Guardar.

  7. Haz clic en Iniciar para abrir la instancia.

gcloud

  1. Detén la instancia y reemplaza VM_NAME por el nombre de la VM que se detendrá:

    gcloud compute instances stop VM_NAME
    
  2. Actualiza las opciones de VM protegida:

    gcloud compute instances update VM_NAME [SECURE_BOOT] [SHIELDED_VTPM] [INTEGRITY_MONITORING]
    

    Reemplaza lo siguiente:

    • VM_NAME: Nombre de la VM en la que se van a actualizar las opciones de VM protegida
    • SECURE_BOOT: Compute Engine no habilita el inicio seguro de forma predeterminada porque algunos controladores sin firmar y software de bajo nivel no son compatibles Aun así, si es posible, Google recomienda habilitarlo. Habilítalo mediante --shielded-secure-boot o inhabilítalo con --no-shielded-secure-boot
    • SHIELDED_VTPM: Habilitado de forma predeterminada. Inhabilita el Módulo de plataforma segura virtual (vTPM) mediante --no-shielded-vtpm y habilítalo con --shielded-vtpm
    • INTEGRITY_MONITORING: Habilitado de forma predeterminada. Inhabilita la supervisión de integridad mediante --no-shielded-integrity-monitoring y habilítala con --shielded-integrity-monitoring
  3. Inicia la instancia y reemplaza VM_NAME por el nombre de la VM que se va iniciar:

    gcloud compute instances start VM_NAME
    

API

  1. Detén la instancia:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
    

    Reemplaza lo siguiente:

    • PROJECT_ID: Proyecto que contiene la VM que se va a detener
    • ZONE: Zona que contiene la VM que se va a detener
    • VM_NAME: VM que se va a detener
  2. Usa instances.updateShieldedInstanceConfig para habilitar o inhabilitar las opciones de VM protegida en la instancia:

    PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig
    
    {
      "enableSecureBoot": {true|false},
      "enableVtpm": {true|false},
      "enableIntegrityMonitoring": {true|false}
    }
    

    Reemplaza lo siguiente:

    • PROJECT_ID: Proyecto que contiene la VM en la que se van a habilitar o inhabilitar las opciones de VM protegida
    • ZONE: Zona que contiene la VM en la que se van a habilitar o inhabilitar las opciones de VM protegida
    • VM_NAME: VM en la que se van a habilitar o inhabilitar las opciones de VM protegida
    • enableSecureBoot: Compute Engine no habilita el inicio seguro de forma predeterminada porque es posible que los controladores sin firma y otros software de bajo nivel no sean compatibles. Si es posible, Google recomienda habilitarlo
    • enableVtpm: Compute Engine habilita el Módulo de plataforma segura virtual (vTPM) de forma predeterminada
    • enableIntegrityMonitoring: Compute Engine habilita la supervisión de integridad de forma predeterminada
  3. Inicia la instancia:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
    

    Reemplaza lo siguiente:

    • PROJECT_ID: Proyecto que contiene la VM que se va a iniciar
    • ZONE: Zona que contiene la VM que se va a iniciar
    • VM_NAME: VM que se va a iniciar

Próximos pasos