Modifier les options de VM protégée

Ce document explique comment modifier les options de VM protégée sur une instance de VM. Pour savoir quelles images sont compatibles avec les fonctionnalités de VM protégée, consultez la page Fonctionnalités de sécurité des images de système d'exploitation.

Sur une instance de VM protégée, Compute Engine active par défaut les options de vTPM (Virtual Trusted Platform Module) et de surveillance de l'intégrité. Si vous désactivez le module vTPM, Compute Engine désactive la surveillance de l'intégrité, car elle repose sur les données collectées par le démarrage mesuré.

Compute Engine n'active pas le démarrage sécurisé par défaut, car les pilotes non signés et les autres logiciels de bas niveau peuvent être incompatibles. Le démarrage sécurisé vous permet de vous assurer que le système n'exécute que des logiciels authentiques. Il vérifie pour cela la signature de tous les composants de démarrage et interrompt le processus de démarrage si cette vérification échoue. Cela permet d'éviter que des logiciels malveillants de corruption du noyau, tels que des rootkits ou des bootkits, ne persistent lors des redémarrages de VM. Google recommande d'activer le démarrage sécurisé si vous pouvez vous assurer que cette option n'empêche pas le démarrage d'une VM de test représentative et qu'elle est adaptée à votre charge de travail.

Avant de commencer

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes :

  • compute.instances.updateShieldedInstanceConfig sur l'instance de VM

Modifier les options de la VM protégée sur une instance de VM

Pour modifier les options de VM protégée, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Cliquez sur le nom de l'instance pour ouvrir la page Informations sur l'instance de VM.

  3. Cliquez sur Arrêter.

  4. Une fois l'instance arrêtée, cliquez sur Modifier.

  5. Dans la section VM protégée, modifiez les options de VM protégée :

    • Sélectionnez l'option Activer le démarrage sécurisé pour permettre le démarrage sécurisé. Compute Engine n'active pas le démarrage sécurisé par défaut, car les pilotes non signés et les autres logiciels de bas niveau peuvent être incompatibles. Nous vous recommandons d'activer le démarrage sécurisé si possible.

    • Désactivez l'option Activer vTPM pour désactiver le module vTPM (Virtual Trusted Platform Module). Par défaut, Compute Engine active le module vTPM (Virtual Trusted Platform Module).

    • Désactivez l'option Activer la surveillance de l'intégrité. Par défaut, Compute Engine active la surveillance de l'intégrité.

  6. Cliquez sur Save.

  7. Cliquez sur Démarrer pour démarrer l'instance.

gcloud

  1. Arrêtez l'instance :

    gcloud compute instances stop VM_NAME

    Remplacez VM_NAME par le nom de la VM à arrêter.

  2. Mettez à jour les options de VM protégée :

    gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]

    Remplacez VM_NAME par le nom de la VM sur laquelle vous souhaitez mettre à jour les options de VM protégée.

    shielded-secure-boot : Compute Engine n'active pas le démarrage sécurisé par défaut, car les pilotes non signés et les autres logiciels de bas niveau peuvent être incompatibles. Nous vous recommandons d'activer le démarrage sécurisé si possible.

    • Activez le démarrage sécurisé à l'aide de l'option --shielded-secure-boot (recommandé).
    • Désactivez le démarrage sécurisé à l'aide de --no-shielded-secure-boot.

    shielded-vtpm : le module vTPM (Virtual Trusted Platform Module) est activé par défaut. Utilisez --shielded-vtpm pour l'activer (par défaut). Utilisez l'option --no-shielded-vtpm pour le désactiver.

    shielded-integrity-monitoring : la surveillance de l'intégrité est activée par défaut. Utilisez --shielded-integrity-monitoring pour l'activer (par défaut). Utilisez l'option --no-shielded-integrity-monitoring pour la désactiver.

  3. Démarrez l'instance :

    gcloud compute instances start VM_NAME

    Remplacez VM_NAME par le nom de la VM à démarrer.

API

  1. Arrêtez l'instance :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop

    Remplacez les éléments suivants :

    • PROJECT_ID : projet contenant la VM à arrêter.
    • ZONE : zone contenant la VM à arrêter.
    • VM_NAME : VM à arrêter.

  2. Utilisez instances.updateShieldedInstanceConfig pour activer ou désactiver les options de VM protégée sur l'instance :

    PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}

    Remplacez les éléments suivants :

    • PROJECT_ID : projet contenant la VM sur laquelle activer ou désactiver les options de VM protégée.
    • ZONE : zone contenant la VM sur laquelle activer ou désactiver les options de VM protégée.
    • VM_NAME : VM sur laquelle activer ou désactiver les options de VM protégée.

    enableSecureBoot : Compute Engine n'active pas le démarrage sécurisé par défaut, car les pilotes non signés et les autres logiciels de bas niveau peuvent être incompatibles. Nous vous recommandons d'activer le démarrage sécurisé si possible.

    enableVtpm : Compute Engine active le module vTPM (Virtual Trusted Platform Module) par défaut.

    enableIntegrityMonitoring : Compute Engine active la surveillance de l'intégrité par défaut.

  3. Démarrez l'instance :

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start

    Remplacez les éléments suivants :

    • PROJECT_ID : projet contenant la VM à démarrer.
    • ZONE : zone contenant la VM à démarrer.
    • VM_NAME : VM à démarrer.

Étapes suivantes