Como modificar opções de VM protegida

Use este tópico para saber como modificar as opções de VM protegida em uma instância de VM. Para ver quais imagens são compatíveis com os recursos de VM protegida, consulte os recursos de segurança da imagem do SO (em inglês).

Em uma instância de VM protegida, o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM, na sigla em inglês) e as opções de monitoramento de integridade por padrão. Se você desativar o vTPM, o Compute Engine desativará o monitoramento de integridade porque ele depende de dados coletados pela Inicialização medida.

O Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. A Inicialização segura ajuda a garantir que o sistema execute apenas um software autêntico. Para isso, ela verifica a assinatura de todos os componentes de inicialização e interrompe o processo de inicialização se a verificação da assinatura falhar. Isso ajuda a evitar que formas de malware kernel, como rootkits ou bootkits, persistam nas reinicializações da VM. Se apropriado para suas cargas de trabalho específicas, ou seja, se for possível garantir que a Inicialização segura não impedirá a inicialização de uma VM de teste representativa, o Google recomenda ativar a inicialização segura.

Antes de começar

Permissões exigidas para a tarefa

Para executar esta tarefa, é preciso ter as permissões a seguir:

  • compute.instances.updateShieldedInstanceConfig na VM

Como modificar opções de VM protegida em uma instância de VM

Use o procedimento a seguir para modificar as opções de VM protegida:

Console

  1. No Console do Google Cloud, acesse a página Instâncias de VMs.

    Acesse a página Instâncias de VM

  2. Clique no nome da instância para abrir a página Detalhes da instância de VM.

  3. Clique em Interromper.

  4. Depois que a instância parar, clique em Editar.

  5. Na seção VM protegida, modifique as opções de VM protegida:

    • Alterne a opção Ativar Inicialização segura para ativar a Inicialização segura. O Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Mesmo assim, se possível, o Google recomenda ativar a Inicialização segura.

    • Alterne para Ativar vTPM para desativar o módulo de plataforma confiável virtual (vTPM). Por padrão, o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM).

    • Ative a opção Ativar monitoramento de integridade para desativar o monitoramento de integridade. Por padrão, o Compute Engine ativa o monitoramento de integridade.

  6. Clique em Salvar.

  7. Clique em Iniciar para iniciar a instância.

gcloud

  1. Pare a instância e substitua VM_NAME pelo nome da VM a ser interrompida:

    gcloud compute instances stop VM_NAME
    
  2. Atualize as opções de VM protegida:

    gcloud compute instances update VM_NAME [SECURE_BOOT] [SHIELDED_VTPM] [INTEGRITY_MONITORING]
    

    Substitua:

    • VM_NAME: nome da VM em que as opções de VM protegida serão atualizadas.
    • SECURE_BOOT: o Compute Engine não ativa a Inicialização segura por padrão porque alguns drivers não assinados e softwares de baixo nível não são compatíveis. Mesmo assim, se possível, o Google recomenda ativar a Inicialização segura. Ative a Inicialização segura usando --shielded-secure-boot e desative usando --no-shielded-secure-boot.
    • SHIELDED_VTPM: ativado por padrão. Desative o módulo de plataforma virtual confiável virtual (vTPM) usando --no-shielded-vtpm e ative usando --shielded-vtpm.
    • INTEGRITY_MONITORING: ativado por padrão. Desative o monitoramento de integridade usando --no-shielded-integrity-monitoring e ative usando --shielded-integrity-monitoring.
  3. Inicie a instância e substitua VM_NAME pelo nome da VM que será iniciada:

    gcloud compute instances start VM_NAME
    

API

  1. Interrompa a instância:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
    

    Substitua:

    • PROJECT_ID: projeto que contém a VM a ser interrompida.
    • ZONE: zona que contém a VM a ser interrompida.
    • VM_NAME: VM a ser interrompida.
  2. Use instances.updateShieldedInstanceConfig para ativar ou desativar as opções de VM protegida na instância:

    PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig
    
    {
      "enableSecureBoot": {true|false},
      "enableVtpm": {true|false},
      "enableIntegrityMonitoring": {true|false}
    }
    

    Substitua:

    • PROJECT_ID: projeto com a VM que terá as opções de VM protegida ativadas ou desativadas.
    • ZONE: zona com a VM que terá as opções de VM protegida ativadas ou desativadas.
    • VM_NAME: VM que terá as opções de VM protegida ativadas ou desativadas.
    • enableSecureBoot: o Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.
    • enableVtpm: o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM) por padrão.
    • enableIntegrityMonitoring: o Compute Engine ativa o monitoramento de integridade por padrão.
  3. Inicie a instância:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
    

    Substitua:

    • PROJECT_ID: projeto que contém a VM a ser iniciada.
    • ZONE: zona que contém a VM a ser iniciada.
    • VM_NAME: VM a ser iniciada.

A seguir