Como modificar opções de VM protegida em uma instância de VM

Neste documento, você verá como ativar e desativar as opções de VM protegida em uma instância de VM. Para ver quais imagens são compatíveis com os recursos de VM protegida, consulte os recursos de segurança da imagem do SO.

Informações gerais

Em uma instância de VM protegida, o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM, na sigla em inglês) e as opções de monitoramento de integridade por padrão. Se você desativar o vTPM, o Compute Engine desativará o monitoramento de integridade porque ele depende de dados coletados pela Inicialização medida.

O Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. A Inicialização segura ajuda a garantir que o sistema execute apenas um software autêntico. Para isso, ela verifica a assinatura de todos os componentes de inicialização e interrompe o processo de inicialização se a verificação da assinatura falhar. Isso ajuda a evitar que formas de malware kernel, como rootkits ou bootkits, persistam nas reinicializações da VM. O Google recomenda que você ative a Inicialização segura se ela não impedir que uma VM de teste representativa seja inicializada e que seja apropriada para sua carga de trabalho.

Limitações

Ainda que as instâncias de VM do Compute Engine sejam compatíveis com a inicialização segura, é possível que uma imagem carregada em uma VM do Compute Engine não seja. Embora a maioria das distribuições do Linux seja compatível com a Inicialização segura em imagens x86 recentes, ela nem sempre é compatível por padrão em ARM64. Muitas imagens do Linux são configuradas para se recusar a carregar builds não assinados de módulos de kernel fora da árvore quando a Inicialização segura está ativada. Geralmente isso afeta os drivers de GPU, mas às vezes também afeta as ferramentas de monitoramento de segurança que exigem módulos do kernel.

Permissões exigidas para a tarefa

Para executar esta tarefa, é preciso ter a permissão a seguir:

  • compute.instances.updateShieldedInstanceConfig na instância de VM

Como modificar opções de VM protegida em uma instância de VM

Use o procedimento a seguir para modificar as opções de VM protegida:

Console

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Clique no nome da instância para abrir a página Detalhes da instância de VM.

  3. Clique em Interromper.

  4. Depois que a instância parar, clique em Editar.

  5. Na seção VM protegida, modifique as opções de VM protegida:

    • Alterne a opção Ativar Inicialização segura para ativar a Inicialização segura. O Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.

    • Alterne para Ativar vTPM para desativar o módulo de plataforma confiável virtual (vTPM). Por padrão, o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM).

    • Ative a opção Ativar monitoramento de integridade para desativar o monitoramento de integridade. Por padrão, o Compute Engine ativa o monitoramento de integridade.

  6. Clique em Salvar.

  7. Clique em Iniciar para iniciar a instância.

gcloud

  1. Interrompa a instância:

    gcloud compute instances stop VM_NAME
    

    Substitua VM_NAME pelo nome da VM a ser interrompida.

  2. Atualize as opções de VM protegida:

    gcloud compute instances update VM_NAME \
        [--[no-]shielded-secure-boot] \
        [--[no-]shielded-vtpm] \
        [--[no-]shielded-integrity-monitoring]

    Substitua VM_NAME pelo nome da VM na qual as opções de VM protegida serão atualizadas.

    shielded-secure-boot: o Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.

    • Ative a Inicialização segura usando a sinalização --shielded-secure-boot (recomendado).
    • Desative a Inicialização segura usando --no-shielded-secure-boot.

    shielded-vtpm: o módulo de plataforma confiável virtual (vTPM, na sigla em inglês) é ativado por padrão. + Ativar usando --shielded-vtpm (padrão) + Desativar usando a sinalização --no-shielded-vtpm

    shielded-integrity-monitoring: o monitoramento de integridade é ativado por padrão. + Ativar usando --shielded-integrity-monitoring (padrão) + Desativar usando a sinalização --no-shielded-integrity-monitoring.

  3. Inicie a instância:

    gcloud compute instances start VM_NAME
    

    Substitua VM_NAME pelo nome da VM a ser iniciada.

API

  1. Interrompa a instância:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
    

    Substitua:

    • PROJECT_ID: projeto que contém a VM a ser interrompida
    • ZONE: zona que contém a VM a ser interrompida
    • VM_NAME: a VM a ser interrompida
  2. Use instances.updateShieldedInstanceConfig para ativar ou desativar as opções de VM protegida na instância:

    PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig
    
    {
     "enableSecureBoot": {true|false},
     "enableVtpm": {true|false},
     "enableIntegrityMonitoring": {true|false}
    }
    

    Substitua:

    • PROJECT_ID: projeto com a VM que terá as opções de VM protegida ativadas ou desativadas.
    • ZONE: zona com a VM que terá as opções de VM protegida ativadas ou desativadas.
    • VM_NAME: VM que terá as opções de VM protegida ativadas ou desativadas.

    enableSecureBoot: o Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.

    enableVtpm: o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM) por padrão.

    enableIntegrityMonitoring: o Compute Engine ativa o monitoramento de integridade por padrão.

  3. Inicie a instância:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
    

    Substitua:

    • PROJECT_ID: projeto que contém a VM a ser iniciada
    • ZONE: zona que contém a VM a ser iniciada
    • VM_NAME: VM a ser iniciada

A seguir