Instanzen mit Cloud Monitoring validieren

Mit Cloud Monitoring und Cloud Logging können Sie Ihre Confidential VM-Instanzen überwachen und validieren. In diesem Thema wird beschrieben, was Sie überwachen können, wie Sie protokollierte Berichte aufrufen und worauf Sie in Berichten achten müssen.

Integritätsmonitoring

Das Integritätsmonitoring ist ein Feature von Shielded VM und Confidential VM, mit dem Sie den Status Ihrer VM-Instanzen verstehen und entsprechende Entscheidungen treffen können.

Der Rest dieses Abschnitts enthält Informationen zur Verwendung des Integritätsmonitorings mit Confidential VMs.

Integritätsmonitoring aktivieren

Das Integritätsmonitoring ist in neuen Confidential VM-Instanzen standardmäßig aktiviert. Informationen zum Ändern der Einstellungen für das Integritätsmonitoring, u. a. zum Umschalten von Secure Boot, zu vTPM und zum Integritätsmonitoring selbst, finden Sie unter Shielded VM-Optionen ändern.

Integritätsberichte ansehen

Sie können Integritätsberichte in Cloud Monitoring aufrufen und Benachrichtigungen zu Integritätsfehlern festlegen. Die Details der Ergebnisse im Rahmen des Integritätsmonitorings können Sie in Cloud Logging prüfen. Informationen zum Aufrufen der Integritätsprüfungsereignisse und zum Festlegen von Benachrichtigungen dafür finden Sie unter VM-Bootintegrität mithilfe von Monitoring überwachen.

Ereignisse für Startbestätigungsberichte ansehen

Confidential VM erzeugt einen eindeutigen Ereignistyp für die Integritätsprüfung, der als Ereignis für Startbestätigungsberichte bezeichnet wird. Jedes Mal, wenn eine auf AMD Secure Encrypted Virtualization (SEV) basierende Confidential VM gebootet wird, wird ein Ereignis für Startbestätigungsberichte als Teil der Ereignisse der Integritätsprüfung für die VM erzeugt.

So rufen Sie das Ereignis für Startbestätigungsberichte aus dem Integritätsbericht auf:

  1. Öffnen Sie in der Google Cloud Console die Seite VM-Instanzen.

    Zu „VM-Instanzen“

  2. Wählen Sie den Namen der Confidential VM-Instanz, um die Seite VM-Instanzdetails zu öffnen.

  3. Klicken Sie unter Logs auf Stackdriver Logging.

  4. Logging wird geöffnet und der Integritätsbericht wird mit Ereignissen zur Integritätsprüfung gefüllt.

    Der folgende Screenshot zeigt einen typischen Integritätsbericht:

    Integritätsbericht (zum Vergrößern klicken)

    Suchen Sie nach dem String sevLaunchAttestationReportEvent.

    Klicken Sie auf den Erweiterungspfeil , um Details zu einem bestimmten Ereignis aufzurufen. Sie können alle Knoten in der Baumstruktur gleichzeitig öffnen. Klicken Sie dafür auf Alle einblenden.

Informationen zu Ereignissen für Startbestätigungsberichte

Ereignisse für Startbestätigungsberichte prüfen, ob eine VM eine AMD SSE-basierte Confidential VM ist. Ein Ereignis für Startbestätigungsberichte enthält Informationen wie die folgenden:

  • integrityEvaluationPassed: das Ergebnis einer Integritätsprüfung, die der Virtual Machine Monitor für die von AMD SEV berechnete Messung ausführt.
  • sevPolicy: die für diese VM festgelegten AMV-SEV-Richtlinienbits. Richtlinienbits werden beim Start der Confidential VM festgelegt, um Einschränkungen zu erzwingen. Ein Beispiel dafür ist die Einstellung, ob der Fehlerbehebungsmodus aktiviert ist.

Der folgende Screenshot zeigt ein typisches Ereignis für Startbestätigungsberichte:

Typisches Ereignis für Startbestätigungsberichte (zum Vergrößern klicken)

Sie können außerdem auf die Features "Secure Boot" und "Measured Boot" zurückgreifen, die beide Shielded VM nutzen.

Secure Boot

Secure Boot sorgt dafür, dass das System der Confidential VM-Instanz nur authentische Software ausführt, indem die digitale Signatur aller Bootkomponenten geprüft und der Bootvorgang beendet wird, wenn die Signaturprüfung fehlschlägt. Die Firmware, die von der Zertifizierungsstelle von Google signiert und verifiziert wurde, bildet eine Root of Trust für Secure Boot. Damit wird die Identität Ihrer VM verifiziert und es wird geprüft, ob sie Teil des angegebenen Projekts und der festgelegten Region ist.

Secure Boot ist standardmäßig nicht aktiviert. Informationen zum Aktivieren dieses Features und weitere Informationen finden Sie unter Secure Boot.

Measured Boot

Measured Boot wird über das Virtual Trusted Platform Module (vTPM) einer Confidential VM aktiviert und schützt vor böswilligen Änderungen an der Confidential VM. Measured Boot überwacht die Integrität des Bootloaders, Kernels und der Boottreiber einer Confidential VM-Instanz.

Beim Measured Boot einer vertraulichen VM-Instanz wird PCR[0] (ein Plattform-Kontroll-Register) mit dem Wert SEV aktualisiert.

Measured Boot ist in neuen Confidential VM-Instanzen standardmäßig aktiviert. Weitere Informationen zu Measured Boot

Nächste Schritte