Modifica delle opzioni delle Shielded VM su un'istanza VM

Questo documento descrive come abilitare e disabilitare le opzioni Shielded VM su un'istanza VM. Per sapere quali immagini supportano le funzionalità delle Shielded VM, consulta Funzionalità di sicurezza delle immagini del sistema operativo.

Panoramica

Su un'istanza Shielded VM, Compute Engine abilita le opzioni virtuale Trusted Platform Module (vTPM) e il monitoraggio dell'integrità per impostazione predefinita. Se disabiliti il vTPM, Compute Engine disabilita il monitoraggio dell'integrità perché il monitoraggio dell'integrità si basa sui dati raccolti dall'Avvio con misurazioni.

Compute Engine non abilita l'avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. L'avvio protetto aiuta a garantire che il sistema esegua solo software autentici verificando la firma di tutti i componenti di avvio e interrompendo il processo di avvio se la verifica della firma non va a buon fine. Ciò consente di evitare la persistenza di forme di malware del kernel, ad esempio rootkit o bootkit, tra i riavvii delle VM. Google consiglia di abilitare l'avvio protetto se puoi assicurarti che non impedisca l'avvio di una VM di test rappresentativa e se è appropriato per il tuo carico di lavoro.

Limitazioni

Anche se le istanze VM di Compute Engine supportano l'avvio protetto, un'immagine caricata su una VM di Compute Engine potrebbe non supportarla. In particolare, sebbene la maggior parte delle distribuzioni Linux supportino l'avvio protetto su immagini x86 recenti, non è sempre supportato per impostazione predefinita su ARM64. Molte immagini Linux sono configurate in modo da rifiutare di caricare build non firmate di moduli kernel out-of-tree quando è abilitato l'avvio protetto. Questo problema riguarda principalmente i driver GPU, ma a volte influisce anche sugli strumenti di monitoraggio della sicurezza che richiedono moduli del kernel.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:

  • compute.instances.updateShieldedInstanceConfig sull'istanza VM

Modifica delle opzioni delle Shielded VM su un'istanza VM

Utilizza la seguente procedura per modificare le opzioni della Shielded VM:

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul nome dell'istanza per aprire la pagina Dettagli istanza VM.

  3. Fai clic su Arresta.

  4. Dopo l'arresto dell'istanza, fai clic su Modifica.

  5. Nella sezione Shielded VM, modifica le opzioni della Shielded VM:

    • Attiva l'opzione Attiva avvio protetto per abilitare l'avvio protetto Compute Engine non abilita l'avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare l'avvio protetto.

    • Attiva l'opzione Attiva vTPM per disabilitare il Virtual Trusted Platform Module (vTPM). Per impostazione predefinita, Compute Engine abilita il Virtual Trusted Platform Module (vTPM).

    • Attiva Attiva il monitoraggio dell'integrità per disabilitare il monitoraggio dell'integrità. Per impostazione predefinita, Compute Engine abilita il monitoraggio dell'integrità.

  6. Fai clic su Salva.

  7. Fai clic su Avvia per avviare l'istanza.

gcloud

  1. Arresta l'istanza:

    gcloud compute instances stop VM_NAME

    Sostituisci VM_NAME con il nome della VM da arrestare.

  2. Aggiorna le opzioni della Shielded VM:

    gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]

    Sostituisci VM_NAME con il nome della VM su cui aggiornare le opzioni della Shielded VM.

    shielded-secure-boot: Compute Engine non abilita l'avvio protetto per impostazione predefinita, perché driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di attivare l'avvio protetto.

    • Abilita l'avvio protetto utilizzando il flag --shielded-secure-boot (consigliato).
    • Disattiva l'avvio protetto utilizzando --no-shielded-secure-boot.

    shielded-vtpm: il modulo della piattaforma attendibile virtuale (vTPM) è abilitato per impostazione predefinita. + Abilita tramite --shielded-vtpm (impostazione predefinita) + Disabilita tramite il flag --no-shielded-vtpm

    shielded-integrity-monitoring: il monitoraggio dell'integrità è abilitato per impostazione predefinita. + Abilita con --shielded-integrity-monitoring (impostazione predefinita) + Disabilita usando il flag --no-shielded-integrity-monitoring.

  3. Avvia l'istanza:

    gcloud compute instances start VM_NAME

    Sostituisci VM_NAME con il nome della VM per iniziare.

API

  1. Arresta l'istanza:

    POST http://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop

    Sostituisci quanto segue:

    • PROJECT_ID: progetto contenente la VM da arrestare
    • ZONE: zona contenente la VM da arrestare
    • VM_NAME: la VM da arrestare

  2. Utilizza instances.updateShieldedInstanceConfig per abilitare o disabilitare le opzioni delle Shielded VM sull'istanza:

    PATCH http://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto contenente la VM su cui abilitare o disabilitare le opzioni della Shielded VM.
    • ZONE: la zona contenente la VM su cui abilitare o disabilitare le opzioni della Shielded VM.
    • VM_NAME: la VM su cui abilitare o disabilitare le opzioni della Shielded VM.

    enableSecureBoot: Compute Engine non abilita l'avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di attivare l'avvio protetto.

    enableVtpm: Compute Engine abilita il Virtual Trusted Platform Module (vTPM) per impostazione predefinita.

    enableIntegrityMonitoring: Compute Engine abilita il monitoraggio dell'integrità per impostazione predefinita.

  3. Avvia l'istanza:

    POST http://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start

    Sostituisci quanto segue:

    • PROJECT_ID: progetto contenente la VM da avviare
    • ZONE: zona contenente la VM da avviare
    • VM_NAME: VM per l'avvio

Passaggi successivi