Cloud Monitoring e Cloud Logging consentono di monitorare e convalidare le tue istanze Confidential VM. Questo argomento spiega cosa puoi monitorare, come visualizzare i report registrati e cosa cercare nei report.
Monitoraggio dell'integrità
Il monitoraggio dell'integrità è una funzionalità sia per le Shielded VM sia per Confidential VM, che ti aiuta a comprendere e prendere lo stato delle tue istanze VM.
La parte restante di questa sezione contiene informazioni sull'utilizzo del monitoraggio dell'integrità con Confidential VM.
Abilita monitoraggio dell'integrità
Il monitoraggio dell'integrità è abilitato per impostazione predefinita nelle nuove istanze Confidential VM. Per scoprire come modificare le impostazioni di monitoraggio dell'integrità, inclusa l'attivazione/disattivazione di Avvio protetto, vTPM e il monitoraggio dell'integrità stesso, consulta la sezione Modificare le opzioni delle Shielded VM.
Visualizza i report sull'integrità
Puoi visualizzare i report sull'integrità in Cloud Monitoring e impostare avvisi sugli errori di integrità. Puoi esaminare i dettagli dei risultati del monitoraggio dell'integrità in Cloud Logging. Per scoprire come visualizzare gli eventi di convalida dell'integrità e impostarne gli avvisi, consulta Monitoraggio dell'integrità di avvio delle VM utilizzando Monitoring.
Visualizza gli eventi del report di attestazione del lancio
Confidential VM genera un tipo univoco di evento di convalida dell'integrità, chiamato evento del report di attestazione di lancio. Ogni volta che viene avviata una VM riservata basata su AMD Secure Encrypted Virtualization (SEV), viene generato un evento del report di attestazione dell'avvio come parte degli eventi di convalida dell'integrità della VM.
Per visualizzare l'evento del report di attestazione del lancio dal report sull'integrità:
Nella console Google Cloud, vai alla pagina Istanze VM.
Seleziona il nome dell'istanza Confidential VM per aprire la pagina Dettagli istanza VM.
In Log, fai clic su Cloud Logging.
Viene aperto il logging e il report sull'integrità viene completato con gli eventi di convalida dell'integrità.
Il seguente screenshot mostra un tipico report sull'integrità:
Cerca la stringa
sevLaunchAttestationReportEvent.Per visualizzare i dettagli di un evento specifico, fai clic sulla freccia di espansione . Puoi aprire tutti i nodi nella struttura ad albero contemporaneamente facendo clic su Espandi tutto.
Informazioni sugli eventi del report di attestazione del lancio
Gli eventi del report di attestazione di avvio confermano se una VM è una VM riservata basata su SEV AMD. Un evento del report di attestazione del lancio contiene informazioni come le seguenti:
integrityEvaluationPassed: è il risultato di un controllo di integrità eseguito dal Virtual Machine Monitor sulla misurazione calcolata da AMD SEV.sevPolicy: i bit del criterio SEV AMD impostati per questa VM; i bit del criterio sono impostati al momento del lancio di Confidential VM per applicare vincoli, ad esempio se la modalità di debug è abilitata.
Il seguente screenshot mostra un tipico evento del report di attestazione del lancio:
Tecnologie di sicurezza correlate
Puoi anche sfruttare l'avvio protetto e l'avvio con misurazioni, utilizzando entrambi i tipi di Shielded VM.
Avvio protetto
L'avvio protetto contribuisce ad assicurare che il sistema dell'istanza Confidential VM esegua solo software autentici verificando la firma digitale di tutti i componenti di avvio e terminando il processo di avvio se la verifica della firma non va a buon fine. Il firmware firmato e verificato dall'autorità di certificazione di Google stabilisce la radice di attendibilità per Avvio protetto, che verifica l'identità della tua VM e verifica che faccia parte del progetto e della regione specificati.
L'avvio protetto non è abilitato per impostazione predefinita. Per scoprire come abilitare questa funzionalità e scoprire di più, consulta l'articolo sull'avvio protetto.
Avvio con misurazioni
L'avvio con misurazioni è abilitato tramite il Virtual Trusted Platform Module (vTPM) di una VM riservata e contribuisce a evitare modifiche dannose a Confidential VM. L'avvio con misurazioni monitora l'integrità del bootloader, del kernel e dei driver di avvio di un'istanza Confidential VM.
Durante l'avvio con misurazioni di un'istanza Confidential VM, PCR[0] (un
registratore per il controllo della piattaforma)
viene esteso con un evento specifico del fornitore, GceNonHostInfo,
che codifica che la SEV è in uso.
L'avvio con misurazioni è abilitato per impostazione predefinita nelle nuove istanze Confidential VM. Scopri di più sull'avvio con misurazioni.
Passaggi successivi
- Scopri come impostare avvisi sugli eventi di convalida dell'integrità e determinare la causa del fallimento della convalida dell'integrità di avvio.
- Scopri un approccio per automatizzare le risposte agli eventi di monitoraggio dell'integrità.