Modifica delle opzioni delle VM schermate su un'istanza VM

Questo documento descrive come attivare e disattivare le opzioni della VM protetta su un'istanza VM. Per sapere quali immagini supportano le funzionalità Shielded VM, consulta le funzionalità di sicurezza delle immagini del sistema operativo.

Panoramica

In un'istanza Shielded VM, Compute Engine attiva per impostazione predefinita le opzioni Virtual Trusted Platform Module (vTPM) e monitoraggio dell'integrità. Se disattivi il vTPM, Compute Engine disattiva il monitoraggio dell'integrità perché si basa sui dati raccolti dall'avvio con misurazioni.

Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. L'avvio protetto contribuisce ad assicurare che il sistema esegua solo software autentici verificando la firma di tutti i componenti di avvio e interrompendo il processo di avvio se la firma non supera la verifica. In questo modo, è possibile evitare che forme di malware del kernel, come rootkit o bootkit, rimangano attive dopo i riavvii della VM. Google consiglia di attivare l'Avvio protetto se puoi assicurarti che non impedisca l'avvio di una VM di test rappresentativa e se è appropriato per il tuo carico di lavoro.

Limitazioni

Anche se le istanze VM di Compute Engine supportano l'avvio protetto, un'immagine caricata su una VM Compute Engine potrebbe non supportarlo. In particolare, anche se la maggior parte delle distribuzioni Linux supporta il Secure Boot sulle immagini x86 recenti, non è sempre supportato per impostazione predefinita su ARM64. Molte immagini Linux sono configurate per rifiutare il caricamento di build non firmate di moduli del kernel out-of-tree quando l'avvio protetto è attivo. Questo problema riguarda più comunemente i driver della GPU, ma a volte anche gli strumenti di monitoraggio della sicurezza che richiedono moduli del kernel.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:

  • compute.instances.updateShieldedInstanceConfig nell'istanza VM

Modifica delle opzioni delle VM schermate su un'istanza VM

Per modificare le opzioni Shielded VM, segui questa procedura:

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul nome dell'istanza per aprire la pagina Dettagli istanza VM.

  3. Fai clic su Arresta.

  4. Dopo l'arresto dell'istanza, fai clic su Modifica.

  5. Nella sezione Shielded VM, modifica le opzioni delle Shielded VM:

    • Attiva/disattiva Attiva Avvio protetto per abilitare Avvio protetto. Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di attivare l'Avvio protetto.

    • Attiva/disattiva Attiva vTPM per disattivare il Virtual Trusted Platform Module (vTPM). Per impostazione predefinita, Compute Engine abilita il Virtual Trusted Platform Module (vTPM).

    • Attiva/disattiva Attiva il monitoraggio dell'integrità per disattivare il monitoraggio dell'integrità. Per impostazione predefinita, Compute Engine attiva il monitoraggio dell'integrità.

  6. Fai clic su Salva.

  7. Fai clic su Avvia per avviare l'istanza.

gcloud

  1. Arresta l'istanza:

    gcloud compute instances stop VM_NAME
    

    Sostituisci VM_NAME con il nome della VM da arrestare.

  2. Aggiorna le opzioni Shielded VM:

    gcloud compute instances update VM_NAME \
        [--[no-]shielded-secure-boot] \
        [--[no-]shielded-vtpm] \
        [--[no-]shielded-integrity-monitoring]

    Sostituisci VM_NAME con il nome della VM su cui eseguire l'aggiornamento delle opzioni delle Shielded VM.

    shielded-secure-boot: Compute Engine non attiva l'Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare l'avvio protetto.

    • Abilita l'avvio protetto utilizzando il flag --shielded-secure-boot (opzione consigliata).
    • Disattiva l'avvio protetto utilizzando --no-shielded-secure-boot.

    shielded-vtpm: il Virtual Trusted Platform Module (vTPM) è abilitato per impostazione predefinita. + Attiva utilizzando --shielded-vtpm (valore predefinito) + Disattiva utilizzando il flag --no-shielded-vtpm

    shielded-integrity-monitoring: il monitoraggio dell'integrità è abilitato per impostazione predefinita. + Attiva utilizzando --shielded-integrity-monitoring (valore predefinito) + Disattiva utilizzando il flag --no-shielded-integrity-monitoring.

  3. Avvia l'istanza:

    gcloud compute instances start VM_NAME
    

    Sostituisci VM_NAME con il nome della VM da avviare.

API

  1. Arresta l'istanza:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
    

    Sostituisci quanto segue:

    • PROJECT_ID: progetto contenente la VM da arrestare
    • ZONE: la zona contenente la VM da arrestare
    • VM_NAME: la VM da arrestare
  2. Utilizza instances.updateShieldedInstanceConfig per attivare o disattivare le opzioni Shielded VM nell'istanza:

    PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig
    
    {
     "enableSecureBoot": {true|false},
     "enableVtpm": {true|false},
     "enableIntegrityMonitoring": {true|false}
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto contenente la VM su cui attivare o disattivare le opzioni Shielded VM.
    • ZONE: la zona contenente la VM su cui attivare o disattivare le opzioni Shielded VM.
    • VM_NAME: la VM su cui attivare o disattivare le opzioni Shielded VM.

    enableSecureBoot: Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare l'avvio protetto.

    enableVtpm: Compute Engine attiva il Virtual Trusted Platform Module (vTPM) per impostazione predefinita.

    enableIntegrityMonitoring: Compute Engine attiva il monitoraggio dell'integrità per impostazione predefinita.

  3. Avvia l'istanza:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
    

    Sostituisci quanto segue:

    • PROJECT_ID: progetto contenente la VM da avviare
    • ZONE: la zona contenente la VM da avviare
    • VM_NAME: la VM da avviare

Passaggi successivi