Questo documento descrive come attivare e disattivare le opzioni della VM protetta su un'istanza VM. Per sapere quali immagini supportano le funzionalità Shielded VM, consulta le funzionalità di sicurezza delle immagini del sistema operativo.
Panoramica
In un'istanza Shielded VM, Compute Engine attiva per impostazione predefinita le opzioni Virtual Trusted Platform Module (vTPM) e monitoraggio dell'integrità. Se disattivi il vTPM, Compute Engine disattiva il monitoraggio dell'integrità perché si basa sui dati raccolti dall'avvio con misurazioni.
Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. L'avvio protetto contribuisce ad assicurare che il sistema esegua solo software autentici verificando la firma di tutti i componenti di avvio e interrompendo il processo di avvio se la firma non supera la verifica. In questo modo, è possibile evitare che forme di malware del kernel, come rootkit o bootkit, rimangano attive dopo i riavvii della VM. Google consiglia di attivare l'Avvio protetto se puoi assicurarti che non impedisca l'avvio di una VM di test rappresentativa e se è appropriato per il tuo carico di lavoro.
Limitazioni
Anche se le istanze VM di Compute Engine supportano l'avvio protetto, un'immagine caricata su una VM Compute Engine potrebbe non supportarlo. In particolare, anche se la maggior parte delle distribuzioni Linux supporta il Secure Boot sulle immagini x86 recenti, non è sempre supportato per impostazione predefinita su ARM64. Molte immagini Linux sono configurate per rifiutare il caricamento di build non firmate di moduli del kernel out-of-tree quando l'avvio protetto è attivo. Questo problema riguarda più comunemente i driver della GPU, ma a volte anche gli strumenti di monitoraggio della sicurezza che richiedono moduli del kernel.
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:
compute.instances.updateShieldedInstanceConfig
nell'istanza VM
Modifica delle opzioni delle VM schermate su un'istanza VM
Per modificare le opzioni Shielded VM, segui questa procedura:
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sul nome dell'istanza per aprire la pagina Dettagli istanza VM.
Fai clic su Arresta.
Dopo l'arresto dell'istanza, fai clic su Modifica.
Nella sezione Shielded VM, modifica le opzioni delle Shielded VM:
Attiva/disattiva Attiva Avvio protetto per abilitare Avvio protetto. Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di attivare l'Avvio protetto.
Attiva/disattiva Attiva vTPM per disattivare il Virtual Trusted Platform Module (vTPM). Per impostazione predefinita, Compute Engine abilita il Virtual Trusted Platform Module (vTPM).
Attiva/disattiva Attiva il monitoraggio dell'integrità per disattivare il monitoraggio dell'integrità. Per impostazione predefinita, Compute Engine attiva il monitoraggio dell'integrità.
Fai clic su Salva.
Fai clic su Avvia per avviare l'istanza.
gcloud
Arresta l'istanza:
gcloud compute instances stop VM_NAME
Sostituisci
VM_NAME
con il nome della VM da arrestare.Aggiorna le opzioni Shielded VM:
gcloud compute instances update VM_NAME \ [--[no-]shielded-secure-boot] \ [--[no-]shielded-vtpm] \ [--[no-]shielded-integrity-monitoring]
Sostituisci
VM_NAME
con il nome della VM su cui eseguire l'aggiornamento delle opzioni delle Shielded VM.shielded-secure-boot
: Compute Engine non attiva l'Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare l'avvio protetto.- Abilita l'avvio protetto utilizzando il flag
--shielded-secure-boot
(opzione consigliata). - Disattiva l'avvio protetto utilizzando
--no-shielded-secure-boot
.
shielded-vtpm
: il Virtual Trusted Platform Module (vTPM) è abilitato per impostazione predefinita. + Attiva utilizzando--shielded-vtpm
(valore predefinito) + Disattiva utilizzando il flag--no-shielded-vtpm
shielded-integrity-monitoring
: il monitoraggio dell'integrità è abilitato per impostazione predefinita. + Attiva utilizzando--shielded-integrity-monitoring
(valore predefinito) + Disattiva utilizzando il flag--no-shielded-integrity-monitoring
.- Abilita l'avvio protetto utilizzando il flag
Avvia l'istanza:
gcloud compute instances start VM_NAME
Sostituisci
VM_NAME
con il nome della VM da avviare.
API
Arresta l'istanza:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
Sostituisci quanto segue:
PROJECT_ID
: progetto contenente la VM da arrestareZONE
: la zona contenente la VM da arrestareVM_NAME
: la VM da arrestare
Utilizza
instances.updateShieldedInstanceConfig
per attivare o disattivare le opzioni Shielded VM nell'istanza:PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig { "enableSecureBoot": {true|false}, "enableVtpm": {true|false}, "enableIntegrityMonitoring": {true|false} }
Sostituisci quanto segue:
PROJECT_ID
: il progetto contenente la VM su cui attivare o disattivare le opzioni Shielded VM.ZONE
: la zona contenente la VM su cui attivare o disattivare le opzioni Shielded VM.VM_NAME
: la VM su cui attivare o disattivare le opzioni Shielded VM.
enableSecureBoot
: Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare l'avvio protetto.enableVtpm
: Compute Engine attiva il Virtual Trusted Platform Module (vTPM) per impostazione predefinita.enableIntegrityMonitoring
: Compute Engine attiva il monitoraggio dell'integrità per impostazione predefinita.Avvia l'istanza:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
Sostituisci quanto segue:
PROJECT_ID
: progetto contenente la VM da avviareZONE
: la zona contenente la VM da avviareVM_NAME
: la VM da avviare
Passaggi successivi
- Scopri di più sulle funzionalità di sicurezza offerte dalle Shielded VM.
- Scopri di più sul monitoraggio dell'integrità su un'Shielded VM schermata.