보안 VM 옵션 수정

이 주제에서는 VM 인스턴스에서 보안 VM 옵션을 수정하는 방법을 살펴봅니다. 보안 VM 기능을 지원하는 이미지를 확인하려면 이미지를 참조하세요.

보안 VM 인스턴스에는 보안 부팅, vTPM(Virtual Trusted Platform Module), 무결성 모니터링 옵션이 기본적으로 사용 설정되어 있습니다. 나중에 이러한 기능 중 하나 이상을 사용 중지하기로 하는 경우 인스턴스를 수정할 수 있습니다. 보안 VM 옵션을 수정하기 전에 VM 인스턴스를 중지해야 합니다.

보안 VM 설정을 업데이트하려면 updateShieldedInstanceConfig 권한이 있어야 합니다.

시작하기 전에

VM 인스턴스에서 보안 VM 옵션 수정

인스턴스가 보안 VM이 지원되는 이미지를 사용하는 경우 다음 절차를 따라 인스턴스에서 보안 VM 옵션을 수정할 수 있습니다.

GCP Console

  1. VM 인스턴스 페이지로 이동
  2. 인스턴스 이름을 클릭하여 VM 인스턴스 세부정보 페이지를 엽니다.
  3. 중지를 클릭하여 인스턴스를 중지합니다.
  4. 인스턴스가 중지되면 수정을 클릭합니다.
  5. 보안 VM 섹션에서 다음 작업 중 하나 이상을 수행합니다.

    • 보안 부팅 설정을 전환하여 보안 부팅을 사용 설정 또는 사용 중지합니다. 보안 부팅을 사용하면 부팅 수준 및 커널 수준의 멀웨어와 루트킷으로부터 VM 인스턴스를 보호할 수 있습니다. 자세한 내용은 보안 부팅을 참조하세요.
    • vTPM 설정을 전환하여 vTPM(Virtual Trusted Platform Module)을 사용 설정 또는 사용 중지합니다. vTPM을 사용 설정하면 신중한 부팅이 사용 설정되어 VM 사전 부팅 및 부팅 무결성을 검증합니다. 자세한 내용은 Virtual Trusted Platform Module(vTPM)을 참조하세요.
    • 무결성 모니터링 사용 설정을 전환하여 무결성 모니터링을 사용 설정 또는 사용 중지합니다. 무결성 모니터링을 사용하면 Stackdriver Monitoring으로 보안 VM 인스턴스의 런타임 부팅 무결성을 모니터링하고 확인할 수 있습니다. 자세한 내용은 무결성 모니터링을 참조하세요.
  6. 저장 버튼을 클릭하여 인스턴스를 수정합니다.

  7. 시작을 클릭하여 인스턴스를 다시 시작합니다.

gcloud

다음 플래그 중 하나를 사용하여 인스턴스의 보안 VM 옵션을 변경합니다.

  • --[no-]shielded-vm-secure-boot: 보안 부팅을 사용 설정 또는 중지합니다. 보안 부팅을 사용하면 부팅 수준 및 커널 수준의 멀웨어와 루트킷으로부터 VM 인스턴스를 보호할 수 있습니다. 자세한 내용은 보안 부팅을 참조하세요.
  • --[no-]shielded-vm-vtpm: vTPM을 사용 설정 또는 중지합니다. vTPM을 사용 설정하면 신중한 부팅이 사용 설정되어 VM 사전 부팅 및 부팅 무결성을 검증합니다. 자세한 내용은 Virtual Trusted Platform Module(vTPM)을 참조하세요.
  • --[no-]shielded-vm-integrity-monitoring: 무결성 모니터링을 사용 설정 또는 중지합니다. 무결성 모니터링을 사용하면 Stackdriver Monitoring 보고서를 통해 보안 VM 인스턴스의 런타임 부팅 무결성을 모니터링하고 확인할 수 있습니다. 자세한 내용은 무결성 모니터링을 참조하세요.

다음 예에서는 vTPM을 사용 중지하도록 my-instance VM 인스턴스를 업데이트합니다.

  1. 인스턴스를 중지합니다.

    gcloud compute instances stop my-instance
    
  2. 인스턴스를 업데이트합니다.

    gcloud compute instances update my-instance --no-shielded-vtpm
    
  3. 인스턴스를 다시 시작합니다.

    gcloud compute instances start my-instance
    

API

  1. REST API를 사용하여 보안 VM 옵션을 사용 설정 또는 사용 중지하려면 다음 URL에 대해 PATCH 호출을 실행합니다.

    PATCH https://compute.googleapis.com/compute/projects/[PROJECT-ID]/zones/zone/instances/[INSTANCE]/updateShieldedInstanceConfig

    보안 VM을 변경하기 전에 POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/stop 호출을 수행하고 변경 후에 POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/start</code> 호출을 수행해야 합니다.

  2. 다음 부울 요청 본문 항목을 사용하여 사용 설정 또는 사용 중지할 보안 VM 옵션을 지정합니다.

    • enableSecureBoot: 보안 부팅을 사용 설정 또는 중지합니다. 보안 부팅을 사용하면 부팅 수준 및 커널 수준의 멀웨어와 루트킷으로부터 VM 인스턴스를 보호할 수 있습니다. 자세한 내용은 보안 부팅을 참조하세요.
    • enableVtpm: vTPM을 사용 설정 또는 중지합니다. vTPM을 사용 설정하면 신중한 부팅이 사용 설정되어 VM 사전 부팅 및 부팅 무결성을 검증합니다. 자세한 내용은 Virtual Trusted Platform Module(vTPM)을 참조하세요.
    • enableIntegrityMonitoring: 무결성 모니터링을 사용 설정 또는 중지합니다. 무결성 모니터링을 사용하면 Stackdriver Monitoring 보고서를 통해 보안 VM 인스턴스의 런타임 부팅 무결성을 모니터링하고 확인할 수 있습니다. 자세한 내용은 무결성 모니터링을 참조하세요.

    다음 예에서는 보안 부팅을 사용 중지하고 무결성 모니터링을 사용 설정하도록 VM 인스턴스를 업데이트합니다.

    PATCH https://compute.googleapis.com/compute/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedInstanceConfig?key={YOUR_API_KEY}
     {
      "enableSecureBoot": false,
      "enableIntegrityMonitoring": true
    }

다음 단계