Modifier les options de VM protégée

Cet article explique comment modifier les options de VM protégée sur une instance de VM. Pour savoir quelles images sont compatibles avec les fonctionnalités de VM protégée, consultez la page Fonctionnalités de sécurité des images de système d'exploitation.

Sur une instance de VM protégée, Compute Engine active par défaut les options de vTPM (Virtual Trusted Platform Module) et de surveillance de l'intégrité. Si vous désactivez le module vTPM, Compute Engine désactive la surveillance de l'intégrité, car elle repose sur les données collectées par le démarrage mesuré.

Compute Engine n'active pas le démarrage sécurisé par défaut, car les pilotes non signés et les autres logiciels de bas niveau peuvent être non compatibles. Le démarrage sécurisé vous permet de vous assurer que le système n'exécute que des logiciels authentiques. Il vérifie pour cela la signature de tous les composants de démarrage et interrompt le processus de démarrage si cette vérification échoue. Cela permet d'éviter que des logiciels malveillants de corruption du noyau, tels que des rootkits ou des bootkits, ne persistent lors des redémarrages de VM. Nous vous recommandons d'activer le démarrage sécurisé s'il est adapté à vos charges de travail spécifiques. En d'autres termes, vous devez pouvoir vous assurer que l'activation du démarrage sécurisé n'empêche pas le démarrage d'une VM de test représentatif.

Avant de commencer

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes :

  • compute.instances.updateShieldedInstanceConfig sur la VM

Modifier les options de la VM protégée sur une instance de VM

Pour modifier les options de VM protégée, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Cliquez sur le nom de l'instance pour ouvrir la page Informations sur l'instance de VM.

  3. Cliquez sur Arrêter.

  4. Une fois l'instance arrêtée, cliquez sur Modifier.

  5. Dans la section VM protégée, modifiez les options de VM protégée :

    • Activez l'option Activer le démarrage sécurisé. Compute Engine n'active pas le démarrage sécurisé par défaut, car les pilotes non signés et les autres logiciels de bas niveau peuvent être non compatibles. Malgré cela, nous vous recommandons d'activer le démarrage sécurisé si possible.

    • Désactivez l'option Activer vTPM pour désactiver le module vTPM (Virtual Trusted Platform Module). Par défaut, Compute Engine active le module vTPM (Virtual Trusted Platform Module).

    • Désactivez l'option Activer la surveillance de l'intégrité. Par défaut, Compute Engine active la surveillance de l'intégrité.

  6. Cliquez sur Save.

  7. Cliquez sur Démarrer pour démarrer l'instance.

gcloud

  1. Arrêtez l'instance en remplaçant VM_NAME par le nom de la VM à arrêter :

    gcloud compute instances stop VM_NAME
    
  2. Mettez à jour les options de VM protégée :

    gcloud compute instances update VM_NAME [SECURE_BOOT] [SHIELDED_VTPM] [INTEGRITY_MONITORING]
    

    Remplacez les éléments suivants :

    • VM_NAME : nom de la VM sur laquelle mettre à jour les options de VM protégée.
    • SECURE_BOOT : Compute Engine n'active pas le démarrage sécurisé par défaut, car certains pilotes non signés et logiciels de bas niveau ne sont pas compatibles. Malgré cela, nous vous recommandons d'activer le démarrage sécurisé si possible. Activez le démarrage sécurisé à l'aide de --shielded-secure-boot et désactivez-le à l'aide de --no-shielded-secure-boot.
    • SHIELDED_VTPM : cette option est activée par défaut. Désactivez le module vTPM (Virtual Trusted Platform Module) à l'aide de --no-shielded-vtpm et activez-le à l'aide de --shielded-vtpm.
    • INTEGRITY_MONITORING : cette option est activée par défaut. Désactivez la surveillance de l'intégrité à l'aide de --no-shielded-integrity-monitoring et activez-la à l'aide de --shielded-integrity-monitoring.
  3. Démarrez l'instance en remplaçant VM_NAME par le nom de la VM à démarrer :

    gcloud compute instances start VM_NAME
    

API

  1. Arrêtez l'instance :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
    

    Remplacez les éléments suivants :

    • PROJECT_ID : projet contenant la VM à arrêter
    • ZONE : zone contenant la VM à arrêter
    • VM_NAME : VM à arrêter
  2. Utilisez instances.updateShieldedInstanceConfig pour activer ou désactiver les options de VM protégée sur l'instance :

    PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig
    
    {
      "enableSecureBoot": {true|false},
      "enableVtpm": {true|false},
      "enableIntegrityMonitoring": {true|false}
    }
    

    Remplacez les éléments suivants :

    • PROJECT_ID : projet contenant la VM sur laquelle activer ou désactiver les options de VM protégée.
    • ZONE : zone contenant la VM sur laquelle activer ou désactiver les options de VM protégée.
    • VM_NAME : VM sur laquelle activer ou désactiver les options de VM protégée.
    • enableSecureBoot : Compute Engine n'active pas le démarrage sécurisé par défaut, car les pilotes non signés et les autres logiciels de bas niveau peuvent être non compatibles. Nous vous recommandons d'activer le démarrage sécurisé si possible.
    • enableVtpm : Compute Engine active le module vTPM (Virtual Trusted Platform Module) par défaut.
    • enableIntegrityMonitoring : Compute Engine active la surveillance de l'intégrité par défaut.
  3. Démarrez l'instance :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
    

    Remplacez les éléments suivants :

    • PROJECT_ID : projet contenant la VM à démarrer
    • ZONE : zone contenant la VM à démarrer
    • VM_NAME : VM à démarrer

Étapes suivantes