Dokumen ini menjelaskan cara mengaktifkan dan menonaktifkan opsi Shielded VM pada instance VM. Untuk mengetahui image yang mendukung fitur Shielded VM, lihat Fitur keamanan OS image.
Ringkasan
Pada instance Shielded VM, Compute Engine akan mengaktifkan opsi Trusted Platform Module (vTPM) virtual (vTPM) dan opsi pemantauan integritas secara default. Jika Anda menonaktifkan vTPM, Compute Engine akan menonaktifkan pemantauan integritas karena pemantauan integritas bergantung pada data yang dikumpulkan oleh Booting Terukur.
Compute Engine tidak mengaktifkan Booting Aman secara default karena driver yang tidak ditandatangani dan software level rendah lainnya mungkin tidak kompatibel. Booting Aman membantu memastikan bahwa sistem hanya menjalankan software asli dengan memverifikasi tanda tangan semua komponen booting, dan menghentikan proses booting jika verifikasi tanda tangan gagal. Hal ini membantu mencegah bentuk malware kernel, seperti rootkit atau bootkit, agar tidak bertahan saat mulai ulang VM. Google merekomendasikan agar Anda mengaktifkan Booting Aman jika Anda dapat memastikan bahwa hal tersebut tidak mencegah VM pengujian yang representatif melakukan booting dan jika sesuai untuk workload Anda.
Batasan
Meskipun instance VM Compute Engine mendukung Secure Boot, image yang dimuat di VM Compute Engine mungkin tidak. Secara khusus, meskipun sebagian besar distribusi Linux mendukung Secure Boot pada image x86 terbaru, hal ini tidak selalu didukung secara default di ARM64. Banyak image Linux dikonfigurasi untuk menolak memuat build modul kernel out-of-tree yang tidak ditandatangani saat Secure Boot diaktifkan. Hal ini paling sering memengaruhi driver GPU, tetapi terkadang juga memengaruhi alat pemantauan keamanan yang memerlukan modul kernel.
Izin yang diperlukan untuk langkah ini
Untuk melakukan tugas ini, Anda harus memiliki izin berikut:
compute.instances.updateShieldedInstanceConfig
pada instance VM
Mengubah opsi Shielded VM pada instance VM
Gunakan prosedur berikut untuk mengubah opsi Shielded VM:
Konsol
Di konsol Google Cloud, buka halaman Instance VM.
Klik nama instance untuk membuka halaman Detail instance VM.
Klik Stop.
Setelah instance dihentikan, klik Edit.
Di bagian Shielded VM, ubah opsi Shielded VM:
Alihkan tombol Turn on Secure Boot untuk mengaktifkan Booting Aman. Compute Engine tidak mengaktifkan Booting Aman secara default karena driver yang tidak ditandatangani dan software level rendah lainnya mungkin tidak kompatibel. Jika memungkinkan, Google merekomendasikan untuk mengaktifkan Booting Aman.
Alihkan tombol Aktifkan vTPM untuk menonaktifkan virtual trusted platform module (vTPM). Secara default, Compute Engine mengaktifkan Virtual Trusted Platform Module (vTPM).
Alihkan tombol Aktifkan Pemantauan Integritas untuk menonaktifkan pemantauan integritas. Secara default, Compute Engine mengaktifkan pemantauan integritas.
Klik Simpan.
Klik Mulai untuk memulai instance.
gcloud
Hentikan instance:
gcloud compute instances stop VM_NAME
Ganti
VM_NAME
dengan nama VM untuk berhenti.Update opsi Shielded VM:
gcloud compute instances update VM_NAME \ [--[no-]shielded-secure-boot] \ [--[no-]shielded-vtpm] \ [--[no-]shielded-integrity-monitoring]
Ganti
VM_NAME
dengan nama VM yang akan digunakan untuk mengupdate opsi Shielded VM.shielded-secure-boot
: Compute Engine tidak mengaktifkan Booting Aman secara default karena driver yang tidak ditandatangani dan software level rendah lainnya mungkin tidak kompatibel. Jika memungkinkan, Google merekomendasikan agar Anda mengaktifkan Booting Aman.- Aktifkan Booting Aman menggunakan flag
--shielded-secure-boot
(direkomendasikan). - Nonaktifkan Booting Aman menggunakan
--no-shielded-secure-boot
.
shielded-vtpm
: virtual trusted platform module (vTPM) diaktifkan secara default. + Aktifkan menggunakan--shielded-vtpm
(default) + Nonaktifkan menggunakan flag--no-shielded-vtpm
shielded-integrity-monitoring
: pemantauan integritas diaktifkan secara default. + Aktifkan menggunakan--shielded-integrity-monitoring
(default) + Nonaktifkan menggunakan flag--no-shielded-integrity-monitoring
.- Aktifkan Booting Aman menggunakan flag
Mulai instance:
gcloud compute instances start VM_NAME
Ganti
VM_NAME
dengan nama VM untuk memulai.
API
Hentikan instance:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
Ganti kode berikut:
PROJECT_ID
: project yang berisi VM yang akan dihentikanZONE
: zona yang berisi VM yang akan dihentikanVM_NAME
: VM yang akan dihentikan
Gunakan
instances.updateShieldedInstanceConfig
untuk mengaktifkan atau menonaktifkan opsi Shielded VM pada instance:PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig { "enableSecureBoot": {true|false}, "enableVtpm": {true|false}, "enableIntegrityMonitoring": {true|false} }
Ganti kode berikut:
PROJECT_ID
: project yang berisi VM untuk mengaktifkan atau menonaktifkan opsi Shielded VM.ZONE
: zona yang berisi VM untuk mengaktifkan atau menonaktifkan opsi Shielded VM.VM_NAME
: VM untuk mengaktifkan atau menonaktifkan opsi Shielded VM.
enableSecureBoot
: Compute Engine tidak mengaktifkan Booting Aman secara default karena driver yang tidak ditandatangani dan software level rendah lainnya mungkin tidak kompatibel. Jika memungkinkan, Google merekomendasikan agar Anda mengaktifkan Booting Aman.enableVtpm
: Compute Engine mengaktifkan Virtual Trusted Platform Module (vTPM) secara default.enableIntegrityMonitoring
: Compute Engine mengaktifkan pemantauan integritas secara default.Mulai instance:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
Ganti kode berikut:
PROJECT_ID
: project yang berisi VM yang akan dimulaiZONE
: zona yang berisi VM yang akan dimulaiVM_NAME
: VM yang akan dimulai
Langkah berikutnya
- Baca selengkapnya tentang fitur keamanan yang ditawarkan oleh Shielded VM.
- Pelajari lebih lanjut cara memantau integritas pada instance shielded VM.