Mengubah opsi Shielded VM pada instance VM

Dokumen ini menjelaskan cara mengaktifkan dan menonaktifkan opsi Shielded VM pada instance VM. Untuk mengetahui image yang mendukung fitur Shielded VM, lihat Fitur keamanan OS image.

Ringkasan

Pada instance Shielded VM, Compute Engine akan mengaktifkan opsi Trusted Platform Module (vTPM) virtual (vTPM) dan opsi pemantauan integritas secara default. Jika Anda menonaktifkan vTPM, Compute Engine akan menonaktifkan pemantauan integritas karena pemantauan integritas bergantung pada data yang dikumpulkan oleh Booting Terukur.

Compute Engine tidak mengaktifkan Booting Aman secara default karena driver yang tidak ditandatangani dan software level rendah lainnya mungkin tidak kompatibel. Booting Aman membantu memastikan bahwa sistem hanya menjalankan software asli dengan memverifikasi tanda tangan semua komponen booting, dan menghentikan proses booting jika verifikasi tanda tangan gagal. Hal ini membantu mencegah bentuk malware kernel, seperti rootkit atau bootkit, agar tidak bertahan saat mulai ulang VM. Google merekomendasikan agar Anda mengaktifkan Booting Aman jika Anda dapat memastikan bahwa hal tersebut tidak mencegah VM pengujian yang representatif melakukan booting dan jika sesuai untuk workload Anda.

Batasan

Meskipun instance VM Compute Engine mendukung Secure Boot, image yang dimuat di VM Compute Engine mungkin tidak. Secara khusus, meskipun sebagian besar distribusi Linux mendukung Secure Boot pada image x86 terbaru, hal ini tidak selalu didukung secara default di ARM64. Banyak image Linux dikonfigurasi untuk menolak memuat build modul kernel out-of-tree yang tidak ditandatangani saat Secure Boot diaktifkan. Hal ini paling sering memengaruhi driver GPU, tetapi terkadang juga memengaruhi alat pemantauan keamanan yang memerlukan modul kernel.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus memiliki izin berikut:

  • compute.instances.updateShieldedInstanceConfig pada instance VM

Mengubah opsi Shielded VM pada instance VM

Gunakan prosedur berikut untuk mengubah opsi Shielded VM:

Konsol

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Klik nama instance untuk membuka halaman Detail instance VM.

  3. Klik Stop.

  4. Setelah instance dihentikan, klik Edit.

  5. Di bagian Shielded VM, ubah opsi Shielded VM:

    • Alihkan tombol Turn on Secure Boot untuk mengaktifkan Booting Aman. Compute Engine tidak mengaktifkan Booting Aman secara default karena driver yang tidak ditandatangani dan software level rendah lainnya mungkin tidak kompatibel. Jika memungkinkan, Google merekomendasikan untuk mengaktifkan Booting Aman.

    • Alihkan tombol Aktifkan vTPM untuk menonaktifkan virtual trusted platform module (vTPM). Secara default, Compute Engine mengaktifkan Virtual Trusted Platform Module (vTPM).

    • Alihkan tombol Aktifkan Pemantauan Integritas untuk menonaktifkan pemantauan integritas. Secara default, Compute Engine mengaktifkan pemantauan integritas.

  6. Klik Simpan.

  7. Klik Mulai untuk memulai instance.

gcloud

  1. Hentikan instance:

    gcloud compute instances stop VM_NAME
    

    Ganti VM_NAME dengan nama VM untuk berhenti.

  2. Update opsi Shielded VM:

    gcloud compute instances update VM_NAME \
        [--[no-]shielded-secure-boot] \
        [--[no-]shielded-vtpm] \
        [--[no-]shielded-integrity-monitoring]

    Ganti VM_NAME dengan nama VM yang akan digunakan untuk mengupdate opsi Shielded VM.

    shielded-secure-boot: Compute Engine tidak mengaktifkan Booting Aman secara default karena driver yang tidak ditandatangani dan software level rendah lainnya mungkin tidak kompatibel. Jika memungkinkan, Google merekomendasikan agar Anda mengaktifkan Booting Aman.

    • Aktifkan Booting Aman menggunakan flag --shielded-secure-boot (direkomendasikan).
    • Nonaktifkan Booting Aman menggunakan --no-shielded-secure-boot.

    shielded-vtpm: virtual trusted platform module (vTPM) diaktifkan secara default. + Aktifkan menggunakan --shielded-vtpm (default) + Nonaktifkan menggunakan flag --no-shielded-vtpm

    shielded-integrity-monitoring: pemantauan integritas diaktifkan secara default. + Aktifkan menggunakan --shielded-integrity-monitoring (default) + Nonaktifkan menggunakan flag --no-shielded-integrity-monitoring.

  3. Mulai instance:

    gcloud compute instances start VM_NAME
    

    Ganti VM_NAME dengan nama VM untuk memulai.

API

  1. Hentikan instance:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
    

    Ganti kode berikut:

    • PROJECT_ID: project yang berisi VM yang akan dihentikan
    • ZONE: zona yang berisi VM yang akan dihentikan
    • VM_NAME: VM yang akan dihentikan
  2. Gunakan instances.updateShieldedInstanceConfig untuk mengaktifkan atau menonaktifkan opsi Shielded VM pada instance:

    PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig
    
    {
     "enableSecureBoot": {true|false},
     "enableVtpm": {true|false},
     "enableIntegrityMonitoring": {true|false}
    }
    

    Ganti kode berikut:

    • PROJECT_ID: project yang berisi VM untuk mengaktifkan atau menonaktifkan opsi Shielded VM.
    • ZONE: zona yang berisi VM untuk mengaktifkan atau menonaktifkan opsi Shielded VM.
    • VM_NAME: VM untuk mengaktifkan atau menonaktifkan opsi Shielded VM.

    enableSecureBoot: Compute Engine tidak mengaktifkan Booting Aman secara default karena driver yang tidak ditandatangani dan software level rendah lainnya mungkin tidak kompatibel. Jika memungkinkan, Google merekomendasikan agar Anda mengaktifkan Booting Aman.

    enableVtpm: Compute Engine mengaktifkan Virtual Trusted Platform Module (vTPM) secara default.

    enableIntegrityMonitoring: Compute Engine mengaktifkan pemantauan integritas secara default.

  3. Mulai instance:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
    

    Ganti kode berikut:

    • PROJECT_ID: project yang berisi VM yang akan dimulai
    • ZONE: zona yang berisi VM yang akan dimulai
    • VM_NAME: VM yang akan dimulai

Langkah berikutnya