Questo documento descrive come attivare e disattivare gli Opzioni di VM schermata su una di un'istanza VM. Per vedere quali immagini supportano le funzionalità delle Shielded VM, consulta l'articolo sulle funzionalità di sicurezza di OS Image.
Panoramica
Su un'istanza Shielded VM, Compute Engine abilita Trusted Platform Module (vTPM) e monitoraggio dell'integrità per impostazione predefinita. Se disattivi il vTPM, Compute Engine disattiva il monitoraggio dell'integrità perché si basa sui dati raccolti dall'avvio con misurazioni.
Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altro software di basso livello potrebbero non essere compatibili. L'avvio protetto contribuisce ad assicurare che il sistema esegua solo software autentici verificando la firma di tutti i componenti di avvio e interrompendo il processo di avvio se la firma non supera la verifica. Ciò aiuta a prevenire forme di malware kernel, come rootkit o bootkit, non persistenti tra i riavvii delle VM. Google consiglia di attivare l'Avvio protetto se puoi assicurarti che non impedisca di una VM di test rappresentativa dall'avvio e se è appropriata per il tuo carico di lavoro.
Limitazioni
Anche se le istanze VM di Compute Engine supportano l'avvio protetto, su una VM di Compute Engine. In particolare, anche se la maggior parte delle distribuzioni Linux supporta il Secure Boot sulle immagini x86 recenti, non è sempre supportato per impostazione predefinita su ARM64. Molte immagini Linux sono configurate in modo da rifiutare il caricamento di build non firmate di moduli kernel out-of-tree quando l'Avvio protetto è abilitato. Questo problema riguarda più comunemente i driver della GPU, ma a volte anche gli strumenti di monitoraggio della sicurezza che richiedono moduli del kernel.
Autorizzazioni richieste per questa attività
Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:
compute.instances.updateShieldedInstanceConfig
sull'istanza VM
Modifica delle opzioni Shielded VM su un'istanza VM
Utilizza la seguente procedura per modificare le opzioni della Shielded VM:
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sul nome dell'istanza per aprire la pagina Dettagli istanza VM.
Fai clic su Arresta.
Una volta interrotta l'istanza, fai clic su Modifica.
Nella sezione Shielded VM, modifica le opzioni della Shielded VM:
Attiva l'opzione Attiva Avvio protetto per abilitare Avvio protetto Compute Engine non abilita Avvio protetto perché driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di attivare Avvio protetto.
Attiva/disattiva Attiva vTPM per disattivare il Virtual Trusted Platform Module (vTPM). Per impostazione predefinita, Compute Engine abilita il Platform Module (vTPM).
Attiva/disattiva Attiva il monitoraggio dell'integrità per disattivare il monitoraggio dell'integrità. Per impostazione predefinita, Compute Engine abilita l'integrità e il monitoraggio.
Fai clic su Salva.
Fai clic su Avvia per avviare l'istanza.
gcloud
Arresta l'istanza:
gcloud compute instances stop VM_NAME
Sostituisci
VM_NAME
con il nome della VM da arrestare.Aggiorna le opzioni della Shielded VM:
gcloud compute instances update VM_NAME \ [--[no-]shielded-secure-boot] \ [--[no-]shielded-vtpm] \ [--[no-]shielded-integrity-monitoring]
Sostituisci
VM_NAME
con il nome della VM su cui per aggiornare le opzioni della Shielded VM.shielded-secure-boot
: Compute Engine non attiva Avvio protetto perché i driver non firmati e altri software di basso livello non sarà compatibile. Se possibile, Google consiglia di abilitare Avvio protetto.- Abilita Avvio protetto utilizzando il flag
--shielded-secure-boot
(consigliato). - Disattiva l'Avvio protetto utilizzando
--no-shielded-secure-boot
.
shielded-vtpm
: il valore Virtual Trusted Platform Module (vTPM) è abilitata per impostazione predefinita. + Attiva utilizzando--shielded-vtpm
(impostazione predefinita) + Disabilita utilizzando il flag--no-shielded-vtpm
shielded-integrity-monitoring
: il monitoraggio dell'integrità è abilitato per impostazione predefinita. + Attiva utilizzando--shielded-integrity-monitoring
(valore predefinito) + Disattiva utilizzando il flag--no-shielded-integrity-monitoring
.- Abilita Avvio protetto utilizzando il flag
Avvia l'istanza:
gcloud compute instances start VM_NAME
Sostituisci
VM_NAME
con il nome della VM per avviare.
API
Arresta l'istanza:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
Sostituisci quanto segue:
PROJECT_ID
: progetto contenente la VM da arrestareZONE
: zona contenente la VM da arrestareVM_NAME
: la VM da arrestare
Utilizza
instances.updateShieldedInstanceConfig
per attivare o disattivare le opzioni delle VM schermate nell'istanza:PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig { "enableSecureBoot": {true|false}, "enableVtpm": {true|false}, "enableIntegrityMonitoring": {true|false} }
Sostituisci quanto segue:
PROJECT_ID
: il progetto contenente la VM da attivare o disattivare le opzioni Shielded VM.ZONE
: la zona contenente la VM da abilitare o disattiva le opzioni Shielded VM.VM_NAME
: la VM da abilitare o disabilitare Opzioni Shielded VM attive.
enableSecureBoot
: Compute Engine non abilita Avvio protetto di è l'impostazione predefinita perché i driver non firmati e altri software di basso non sarà compatibile. Se possibile, Google consiglia di abilitare Avvio protetto.enableVtpm
: Compute Engine consente Virtual Trusted Platform Module (vTPM) per impostazione predefinita.enableIntegrityMonitoring
: Compute Engine abilita monitoraggio dell'integrità per impostazione predefinita.Avvia l'istanza:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
Sostituisci quanto segue:
PROJECT_ID
: progetto contenente la VM da avviareZONE
: zona contenente la VM da avviareVM_NAME
: la VM da avviare
Passaggi successivi
- Scopri di più sulle funzionalità di sicurezza offerto dalla Shielded VM.
- Scopri di più sul monitoraggio dell'integrità su una Shielded VM in esecuzione.