Il monitoraggio dell'integrità è una funzionalità di VM schermate e Confidential VM che ti aiuta a comprendere e prendere decisioni sullo stato delle tue istanze VM. Utilizza sia Cloud Monitoring sia Cloud Logging.
Il monitoraggio dell'integrità è abilitato per impostazione predefinita sulle nuove istanze Confidential VM. Per scoprire come modificare le impostazioni di monitoraggio dell'integrità, inclusa l'attivazione/disattivazione dell'avvio protetto, di vTPM e del monitoraggio dell'integrità stesso, consulta Modifica delle opzioni di Shielded VM.
Visualizzare i report sull'integrità
Puoi utilizzare Cloud Monitoring per visualizzare gli eventi di convalida dell'integrità e impostare avvisi per questi eventi e Cloud Logging per esaminarne i dettagli.
Per scoprire come visualizzare gli eventi di convalida dell'integrità e impostare avvisi, consulta Monitoraggio dell'integrità di avvio della VM mediante Monitoring.
Visualizzare gli eventi del report di attestazione del lancio
Ogni volta che viene avviata un'istanza Confidential VM basata su AMD SEV, viene generato un evento di report di attestazione di avvio nell'ambito degli eventi di convalida dell'integrità per la VM.
L'evento report contiene le seguenti informazioni utili:
integrityEvaluationPassed: il risultato di un controllo dell'integrità eseguito dal monitor della macchina virtuale sulla misurazione calcolata da SEV.sevPolicy: I bit della policy SEV impostati per questa VM. I bit dei criteri vengono impostati all'avvio dell'istanza Confidential VM per applicare vincoli, ad esempio se la modalità di debug è abilitata.
Per visualizzare un evento del report di attestazione del lancio in un report sull'integrità, completa i seguenti passaggi:
Nella console Google Cloud , vai alla pagina Istanze VM.
Nella tabella delle istanze VM, trova l'istanza VM confidenziale e fai clic sul relativo nome.
Nella sezione Log, fai clic su Cloud Logging.
Si apre Cloud Logging e il report sull'integrità viene compilato con gli eventi di convalida dell'integrità per l'intervallo di tempo specificato. Potresti dover modificare l'intervallo di tempo del log (accanto alla casella Cerca in tutti i campi) per acquisire gli eventi di avvio.
Trova un report con tipo
cloud_integrity.IntegrityEventebootCounterdi0, quindi espandilo.Per visualizzare i dati di un campo specifico, fai clic sulla freccia di espansione . Per espandere tutti i campi, fai clic su Espandi campi nidificati.
All'interno della chiave
jsonPayload, cerca la chiavesevLaunchAttestationReportEventper visualizzare l'evento del report. Espandi il seguente widget per un esempio di report sull'integrità tipico.Esempio di report sull'integrità
{ insertId: "0" jsonPayload: { @type: "type.googleapis.com/cloud_integrity.IntegrityEvent" bootCounter: "0" sevLaunchAttestationReportEvent: { integrityEvaluationPassed: true sevPolicy: { debugEnabled: false domainOnly: false esRequired: false keySharingAllowed: false minApiMajor: 0 minApiMinor: 0 sendAllowed: true sevOnly: true } } } logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity" receiveTimestamp: "2023-08-06T23:43:09.422303036Z" resource: { labels: { instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME) project_id: "PROJECT_ID" zone: "VM_ZONE" } type: "gce_instance" } severity: "NOTICE" timestamp: "2023-08-06T23:43:07.407511786Z" }
Monitorare l'integrità in fase di avvio con Shielded VM
Puoi anche usufruire dell'avvio protetto e dell'avvio con misurazioni, funzionalità di Shielded VM, per monitorare l'integrità della tua istanza Confidential VM.
Avvio protetto
L'avvio protetto contribuisce ad assicurare che il sistema dell'istanza Confidential VM esegua solo software autentici verificando la firma digitale di tutti i componenti di avvio e terminando il processo di avvio se la verifica della firma non va a buon fine. Il firmware firmato e verificato dall'Autorità di certificazione di Google stabilisce la radice di attendibilità per l'avvio protetto, che verifica l'identità della VM e controlla che faccia parte del progetto e della regione specificati.
L'avvio protetto non è abilitato per impostazione predefinita. Per scoprire come attivare questa funzionalità e per ulteriori informazioni, consulta Avvio protetto.
avvio con misurazioni
L'avvio con misurazioni è abilitato da Virtual Trusted Platform Module (vTPM) di un'istanza di VM confidenziale e contribuisce a proteggere l'istanza da modifiche dannose. L'avvio con misurazioni monitora l'integrità del bootloader, del kernel e dei driver di avvio di un'istanza Confidential VM.
Durante l'avvio con misurazioni di un'istanza Confidential VM, PCR[0] (un registro di controllo della piattaforma) viene esteso con un evento specifico del fornitore, GceNonHostInfo, che codifica l'utilizzo di SEV.
L'avvio con misurazioni è abilitato per impostazione predefinita nelle nuove istanze Confidential VM. Scopri di più su Avvio verificato.
Passaggi successivi
Scopri come impostare avvisi sugli eventi di convalida dell'integrità e determinare la causa dell'errore di convalida dell'integrità di avvio.
Scopri un approccio per automatizzare le risposte agli eventi di monitoraggio dell'integrità.