このドキュメントでは、VM インスタンスで Shielded VM オプションを有効または無効にする方法について説明します。Shielded VM の機能をサポートするイメージを確認するには、OS イメージのセキュリティ機能をご覧ください。
概要
Compute Engine は Shielded VM インスタンスに対し、仮想トラステッド プラットフォーム モジュール(vTPM)と整合性モニタリングのオプションをデフォルトで有効にします。vTPM を無効にすると、Compute Engine は整合性モニタリングも無効にします。これは、整合性モニタリングはメジャード ブートによって収集されたデータを使用するためです。
Compute Engine は、デフォルトではセキュアブートを有効にしません。これは、署名されていないドライバやその他の低レベルのソフトウェアには互換性がない場合があるためです。セキュアブートでは、システムが正規のソフトウェアのみを実行するよう、すべてのブート コンポーネントのデジタル署名を検証し、署名検証が失敗した場合はブートプロセスを停止します。これにより、ルートキットやブートキットなどの形式のカーネル マルウェアが VM の再起動後にも維持されることを防ぎます。Google では、代表的なテスト VM の起動に支障がなく、特定のワークロードに適している場合に、セキュアブートを有効にすることをおすすめします。
制限事項
Compute Engine VM インスタンスはセキュアブートをサポートしていますが、Compute Engine VM に読み込まれたイメージはサポートしていない場合があります。たとえば、ほとんどの Linux ディストリビューションは最新の x86 イメージでセキュアブートをサポートしていますが、ARM64 では必ずしもデフォルトでサポートされるわけではありません。セキュアブートが有効になっている場合、多くの Linux イメージは、ツリー外のカーネル モジュールの未署名ビルドの読み込みを拒否するよう構成されています。これは一般的に GPU ドライバに影響しますが、カーネル モジュールを必要とするセキュリティ モニタリング ツールにも影響することがあります。
このタスクに必要な権限
このタスクを行うには、次の権限が必要です。
- VM インスタンスの
compute.instances.updateShieldedInstanceConfig
権限
VM インスタンス上の Shielded VM オプションの変更
Shielded VM オプションを変更するには、次の手順に従います。
コンソール
Google Cloud コンソールの [VM インスタンス] ページに移動します。
インスタンス名をクリックして、[VM インスタンスの詳細] ページを開きます。
[停止] をクリックします。
インスタンスが停止したら、[編集] をクリックします。
[Shielded VM] セクションで、Shielded VM オプションを変更します。
セキュアブートを有効にする場合は、[セキュアブートをオンにする] を切り替えます。Compute Engine は、デフォルトではセキュアブートを有効にしません。これは、署名されていないドライバやその他の低レベルのソフトウェアには互換性がない場合があるためです。可能であれば、セキュアブートを有効にすることをおすすめします。
仮想トラステッド プラットフォーム モジュール(vTPM)無効にする場合は、[vTPM をオンにする] を切り替えます。デフォルトでは、Compute Engine は仮想トラステッド プラットフォーム モジュール(vTPM)を有効にします。
整合性モニタリングを無効にする場合は、[整合性のモニタリングを有効にする] を切り替えます。デフォルトでは、Compute Engine は整合性モニタリングを有効にします。
[保存] をクリックします。
[開始] をクリックしてインスタンスを起動します。
gcloud
インスタンスを停止します。
gcloud compute instances stop VM_NAME
VM_NAME
は、停止する VM の名前に置き換えます。Shielded VM オプションを更新します。
gcloud compute instances update VM_NAME \ [--[no-]shielded-secure-boot] \ [--[no-]shielded-vtpm] \ [--[no-]shielded-integrity-monitoring]
VM_NAME
は、Shielded VM オプションを更新する VM の名前に置き換えます。shielded-secure-boot
: Compute Engine は、デフォルトではセキュアブートを有効にしません。これは、署名されていないドライバやその他の低レベルのソフトウェアには互換性がない場合があるためです。可能であれば、セキュアブートを有効にすることをおすすめします。--shielded-secure-boot
フラグを使用してセキュアブートを有効にします(推奨)。--no-shielded-secure-boot
を使用してセキュアブートを無効にします。
shielded-vtpm
: 仮想トラステッド プラットフォーム モジュール(vTPM)は、デフォルトで有効になっています。+--shielded-vtpm
を使用して有効にします(デフォルト) +--no-shielded-vtpm
フラグを使用して無効にしますshielded-integrity-monitoring
: 整合性モニタリングはデフォルトで有効になっています。+--shielded-integrity-monitoring
を使用して有効にします(デフォルト) +--no-shielded-integrity-monitoring
フラグを使用して無効にしますインスタンスを起動するには、以下を実行します。
gcloud compute instances start VM_NAME
VM_NAME
は、起動する VM の名前に置き換えます。
API
インスタンスを停止します。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
次のように置き換えます。
PROJECT_ID
: 停止する VM が属しているプロジェクトZONE
: 停止する VM があるゾーンVM_NAME
: 停止する VM
instances.updateShieldedInstanceConfig
を使用して、インスタンスの Shielded VM オプションを有効または無効にします。PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig { "enableSecureBoot": {true|false}, "enableVtpm": {true|false}, "enableIntegrityMonitoring": {true|false} }
次のように置き換えます。
PROJECT_ID
: Shielded VM オプションを有効または無効にする対象の VM が属しているプロジェクト。ZONE
: Shielded VM オプションを有効または無効にする対象の VM があるゾーン。VM_NAME
: Shielded VM オプションを有効または無効にする対象の VM。
enableSecureBoot
: Compute Engine は、デフォルトではセキュアブートを有効にしません。これは、署名されていないドライバやその他の低レベルのソフトウェアには互換性がない場合があるためです。可能であれば、セキュアブートを有効にすることをおすすめします。enableVtpm
: Compute Engine はデフォルトで仮想トラステッド プラットフォーム モジュール(vTPM)を有効にします。enableIntegrityMonitoring
: Compute Engine はデフォルトで整合性モニタリングを有効にします。インスタンスを起動するには、以下を実行します。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
次のように置き換えます。
PROJECT_ID
: 起動する VM が属しているプロジェクトZONE
: 起動する VM があるゾーンVM_NAME
: 起動する VM
次のステップ
- Shielded VM が提供するセキュリティ機能の詳細を確認する。
- Shielded VM インスタンスの整合性をモニタリングする方法について学習する。