为了强化云计算虚拟机的安全性,Google宣布在Compute Engine中,全部默认使用庇护式虚拟机(Shielded VM),以及统一可延伸固件接口(UEFI),Google提到,这些新做法将使虚拟机执行实例,具备纵深防御的能力,不受恶意访客系统固件、UEFI扩展以及驱动程序攻击,也能避免虚拟机的秘密泄露与重放攻击。
庇护式虚拟机是Google在去年4月,所发布的强化虚拟机执行实例,带有易于配置的安全功能,可以确保虚拟机在启动时,执行经验证的加载程序以及核心。这次的更新发布不只是Compute Engine默认使用庇护式虚拟机,一些基于虚拟机的云计算服务,像是Cloud SQL、GKE、Kaggle和微软Active Directory托管服务,也都会使用庇护式虚拟机作为底层基础设施。
从Compute Engine 4.5版本开始,Compute Engine的搬迁服务,将支持UEFI虚拟机从企业本地部署,搬迁至Compute Engine的庇护式虚拟机,另外,安全指挥中心现在可以侦测,没有激活安全开机的庇护式虚拟机,提醒用户在情况许可下尽量激活。