Questo documento descrive come abilitare e disabilitare le opzioni Shielded VM su un'istanza VM. Per sapere quali immagini supportano le funzionalità delle Shielded VM, consulta Funzionalità di sicurezza delle immagini del sistema operativo.
Panoramica
Su un'istanza Shielded VM, Compute Engine abilita le opzioni virtuale Trusted Platform Module (vTPM) e il monitoraggio dell'integrità per impostazione predefinita. Se disabiliti il vTPM, Compute Engine disabilita il monitoraggio dell'integrità perché il monitoraggio dell'integrità si basa sui dati raccolti dall'Avvio con misurazioni.
Compute Engine non abilita l'avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. L'avvio protetto aiuta a garantire che il sistema esegua solo software autentici verificando la firma di tutti i componenti di avvio e interrompendo il processo di avvio se la verifica della firma non va a buon fine. Ciò consente di evitare la persistenza di forme di malware del kernel, ad esempio rootkit o bootkit, tra i riavvii delle VM. Google consiglia di abilitare l'avvio protetto se puoi assicurarti che non impedisca l'avvio di una VM di test rappresentativa e se è appropriato per il tuo carico di lavoro.
Limitazioni
Anche se le istanze VM di Compute Engine supportano l'avvio protetto, un'immagine caricata su una VM di Compute Engine potrebbe non supportarla. In particolare, sebbene la maggior parte delle distribuzioni Linux supportino l'avvio protetto su immagini x86 recenti, non è sempre supportato per impostazione predefinita su ARM64. Molte immagini Linux sono configurate in modo da rifiutare di caricare build non firmate di moduli kernel out-of-tree quando è abilitato l'avvio protetto. Questo problema riguarda principalmente i driver GPU, ma a volte influisce anche sugli strumenti di monitoraggio della sicurezza che richiedono moduli del kernel.
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:
compute.instances.updateShieldedInstanceConfig
sull'istanza VM
Modifica delle opzioni delle Shielded VM su un'istanza VM
Utilizza la seguente procedura per modificare le opzioni della Shielded VM:
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sul nome dell'istanza per aprire la pagina Dettagli istanza VM.
Fai clic su Arresta.
Dopo l'arresto dell'istanza, fai clic su Modifica.
Nella sezione Shielded VM, modifica le opzioni della Shielded VM:
Attiva l'opzione Attiva avvio protetto per abilitare l'avvio protetto Compute Engine non abilita l'avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare l'avvio protetto.
Attiva l'opzione Attiva vTPM per disabilitare il Virtual Trusted Platform Module (vTPM). Per impostazione predefinita, Compute Engine abilita il Virtual Trusted Platform Module (vTPM).
Attiva Attiva il monitoraggio dell'integrità per disabilitare il monitoraggio dell'integrità. Per impostazione predefinita, Compute Engine abilita il monitoraggio dell'integrità.
Fai clic su Salva.
Fai clic su Avvia per avviare l'istanza.
gcloud
Arresta l'istanza:
gcloud compute instances stop VM_NAME
Sostituisci
VM_NAME
con il nome della VM da arrestare.Aggiorna le opzioni della Shielded VM:
gcloud compute instances update VM_NAME \ [--[no-]shielded-secure-boot] \ [--[no-]shielded-vtpm] \ [--[no-]shielded-integrity-monitoring]
Sostituisci
VM_NAME
con il nome della VM su cui aggiornare le opzioni della Shielded VM.shielded-secure-boot
: Compute Engine non abilita l'avvio protetto per impostazione predefinita, perché driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di attivare l'avvio protetto.- Abilita l'avvio protetto utilizzando il flag
--shielded-secure-boot
(consigliato). - Disattiva l'avvio protetto utilizzando
--no-shielded-secure-boot
.
shielded-vtpm
: il modulo della piattaforma attendibile virtuale (vTPM) è abilitato per impostazione predefinita. + Abilita tramite--shielded-vtpm
(impostazione predefinita) + Disabilita tramite il flag--no-shielded-vtpm
shielded-integrity-monitoring
: il monitoraggio dell'integrità è abilitato per impostazione predefinita. + Abilita con--shielded-integrity-monitoring
(impostazione predefinita) + Disabilita usando il flag--no-shielded-integrity-monitoring
.- Abilita l'avvio protetto utilizzando il flag
Avvia l'istanza:
gcloud compute instances start VM_NAME
Sostituisci
VM_NAME
con il nome della VM per iniziare.
API
Arresta l'istanza:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
Sostituisci quanto segue:
PROJECT_ID
: progetto contenente la VM da arrestareZONE
: zona contenente la VM da arrestareVM_NAME
: la VM da arrestare
Utilizza
instances.updateShieldedInstanceConfig
per abilitare o disabilitare le opzioni delle Shielded VM sull'istanza:PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig { "enableSecureBoot": {true|false}, "enableVtpm": {true|false}, "enableIntegrityMonitoring": {true|false} }
Sostituisci quanto segue:
PROJECT_ID
: il progetto contenente la VM su cui abilitare o disabilitare le opzioni della Shielded VM.ZONE
: la zona contenente la VM su cui abilitare o disabilitare le opzioni della Shielded VM.VM_NAME
: la VM su cui abilitare o disabilitare le opzioni della Shielded VM.
enableSecureBoot
: Compute Engine non abilita l'avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di attivare l'avvio protetto.enableVtpm
: Compute Engine abilita il Virtual Trusted Platform Module (vTPM) per impostazione predefinita.enableIntegrityMonitoring
: Compute Engine abilita il monitoraggio dell'integrità per impostazione predefinita.Avvia l'istanza:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
Sostituisci quanto segue:
PROJECT_ID
: progetto contenente la VM da avviareZONE
: zona contenente la VM da avviareVM_NAME
: VM per l'avvio
Passaggi successivi
- Scopri di più sulle funzionalità di sicurezza offerte da Shielded VM.
- Scopri di più sul monitoraggio dell'integrità su un'Shielded VM schermata.