修改安全强化型虚拟机选项

在本主题中,您将了解如何修改虚拟机实例上的安全强化型虚拟机选项。如需查看哪些映像支持安全强化型虚拟机功能,请参阅映像

在安全强化型虚拟机实例上,默认情况下会启用安全启动、虚拟可信平台模块 (vTPM) 和完整性监控选项。如果您以后决定停用其中一个或多个功能,则可以修改该实例。在修改安全强化型虚拟机选项之前,必须先停止该虚拟机实例。

您必须具有 updateShieldedInstanceConfig 权限才能更新安全强化型虚拟机设置。

准备工作

修改虚拟机实例上的安全强化型虚拟机选项

如果您的实例使用支持安全强化型虚拟机功能的映像,您可以按照以下过程修改该实例上的安全强化型虚拟机选项:

GCP Console

  1. 转到“虚拟机实例”页面
  2. 点击实例名称打开虚拟机实例详情页面。
  3. 点击停止,以停止实例。
  4. 实例停止后,点击修改
  5. 安全强化型虚拟机部分,执行以下一项或多项操作:

    • 切换开启安全启动,以启用或停用安全启动。 安全启动功能可帮助保护您的虚拟机实例免受启动级和内核级恶意软件和 rootkit 的攻击。如需了解详情,请参阅安全启动
    • 切换开启 vTPM,以启用或停用虚拟可信平台模块 (vTPM)。启用 vTPM 时也将启用测量启动,后者可验证虚拟机预启动和启动完整性。如需了解详情,请参阅虚拟可信平台模块 (vTPM)
    • 切换开启完整性监控,以启用或停用完整性监控。借助完整性监控功能,您可以使用 Stackdriver Monitoring 来监控和验证受防护的虚拟机实例的运行时启动完整性。如需了解详情,请参阅完整性监控
  6. 点击保存按钮,以修改实例。

  7. 点击开始,以重启实例。

gcloud

使用以下标志之一更改实例的安全强化型虚拟机选项:

  • --[no-]shielded-vm-secure-boot:启用或停用安全启动。安全启动功能可帮助保护您的虚拟机实例免受启动级和内核级恶意软件和 rootkit 的攻击。如需了解详情,请参阅安全启动
  • --[no-]shielded-vm-vtpm:启用或停用 vTPM。启用 vTPM 时也将启用测量启动,后者可验证虚拟机预启动和启动完整性。如需了解详情,请参阅虚拟可信平台模块 (vTPM)
  • --[no-]shielded-vm-integrity-monitoring:启用或停用完整性监控。借助完整性监控功能,您可以使用 Stackdriver Monitoring 报告监控和验证安全强化型虚拟机实例的运行时启动完整性。如需了解详情,请参阅完整性监控

以下示例将通过更新 my-instance 虚拟机实例来停用 vTPM:

  1. 停止实例:

    gcloud compute instances stop my-instance
    
  2. 更新实例:

    gcloud compute instances update my-instance --no-shielded-vtpm
    
  3. 重启实例:

    gcloud compute instances start my-instance
    

API

  1. 如需使用 REST API 启用或停用安全强化型虚拟机选项,请对以下网址发出 PATCH 调用:

    PATCH https://compute.googleapis.com/compute/projects/[PROJECT-ID]/zones/zone/instances/[INSTANCE]/updateShieldedInstanceConfig

    在更改安全强化型虚拟机选项之前,您必须先发出 POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/stop 调用,而在更改之后,必须发出 POST https://compute.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/start</code> 调用。

  2. 指定安全强化型虚拟机选项,以在请求正文中使用以下布尔值项执行启用或停用操作:

    • enableSecureBoot:启用或停用安全启动。安全启动功能可帮助保护您的虚拟机实例免受启动级和内核级恶意软件和 rootkit 的攻击。如需了解详情,请参阅安全启动
    • enableVtpm:启用或停用 vTPM。启用 vTPM 时也将启用测量启动,后者可验证虚拟机预启动和启动完整性。如需了解详情,请参阅虚拟可信平台模块 (vTPM)
    • enableIntegrityMonitoring:启用或停用完整性监控。借助完整性监控功能,您可以使用 Stackdriver Monitoring 报告监控和验证安全强化型虚拟机实例的运行时启动完整性。如需了解详情,请参阅完整性监控

    以下示例将通过更新虚拟机实例来停用安全启动并启用完整性监控:

    PATCH https://compute.googleapis.com/compute/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedInstanceConfig?key={YOUR_API_KEY}
     {
      "enableSecureBoot": false,
      "enableIntegrityMonitoring": true
    }

后续步骤