Valida instancias mediante Cloud Monitoring

Cloud Monitoring y Cloud Logging te permiten supervisar y validar tus instancias de Confidential VM. En este tema, se detalla qué se puede supervisar, cómo ver los informes registrados y qué buscar en los informes.

Supervisión de integridad

La supervisión de integridad es una función de VM protegida y de Confidential VM que te ayuda a comprender y tomar decisiones sobre el estado de las instancias de VM.

En el resto de esta sección, se proporciona información sobre el uso de la supervisión de integridad con Confidential VMs.

Habilitar la supervisión de la integridad

La supervisión de integridad está habilitada de forma predeterminada en las nuevas instancias de Confidential VMs. Para obtener información sobre cómo cambiar la configuración de la supervisión de integridad, incluida la activación o desactivación del Inicio seguro, del vTPM y de la supervisión de integridad, consulta Modifica las opciones de VM protegida.

Visualiza informes de integridad

Puedes visualizar los informes de integridad en Cloud Monitoring y configurar alertas de fallas de integridad. Puedes revisar los detalles de los resultados de la supervisión de integridad en Cloud Logging. Para obtener información sobre cómo ver los eventos de validación de integridad y configurar alertas en ellos, consulta Supervisa la integridad de inicio de una VM mediante Monitoring.

Visualiza eventos de informes de certificación de inicio

Confidential VM genera un tipo único de evento de validación de integridad, denominado evento de informe de certificación de inicio. Cada vez que se inicia una Confidential VM basada en la virtualización segura encriptada (SEV) de AMD, se genera un evento de informe de certificación de inicio como parte de los eventos de validación de integridad de la VM.

Para ver el evento de informe de certificación de lanzamiento desde el informe de integridad, sigue estos pasos:

  1. En Google Cloud Console, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Haz clic en el nombre de la instancia de Confidential VM para abrir la página Detalles de instancia de VM.

  3. En Registros (Logs), haz clic en Stackdriver Logging (Stackdriver Logging).

  4. Se abre Logging, y el informe de integridad se propaga con eventos de validación de integridad.

    En la siguiente captura de pantalla, se muestra un informe de integridad típico:

    Informe de integridad (haz clic para ampliar)

    Busca la string sevLaunchAttestationReportEvent.

    Para ver los detalles de un evento específico, haz clic en la flecha de expansión . Para abrir todos los nodos del árbol a la vez, haz clic en Expandir todo.

Información sobre los eventos de informes de certificación de inicio

Los eventos de informes de certificación de inicio validan si una VM es una Confidential VM basada en SEV de AMD. Un evento de informe de certificación de inicio contiene información como la siguiente:

  • integrityEvaluationPassed: Es el resultado de una verificación de integridad que realiza el supervisor de la máquina virtual en la medida calculada por SEV de AMD.
  • sevPolicy: Son los bits de la política de SEV de AMD configurados para esta VM. Los bits de la política se establecen en el lanzamiento de Confidential VM a fin de aplicar restricciones, como si se habilita o no el modo de depuración.

En la siguiente captura de pantalla, se muestra un evento de informe de certificación de lanzamiento típico:

Evento de informe de certificación de inicio típico (haz clic para ampliar)

También puedes aprovechar el inicio seguro y el inicio medido, que usan VM protegidas.

Inicio seguro

El inicio seguro ayuda a garantizar que el sistema de la instancia de Confidential VM solo ejecute software auténtico mediante la verificación de la firma digital de todos los componentes de inicio y la interrupción del proceso de inicio si la verificación de la firma falla. El firmware firmado y verificado por la autoridad certificada de Google establece la raíz de confianza para el inicio seguro, que verifica la identidad de tu VM y controla que sea parte del proyecto y de la región que se especificaron.

El inicio seguro no está habilitado de forma predeterminada. Para obtener información sobre cómo habilitar esta función y otros detalles, consulta Inicio seguro.

Inicio medido

El inicio medido está habilitado por el módulo de plataforma segura virtual (vTPM) de una Confidential VM y ayuda a evitar modificaciones maliciosas en la VM. El inicio medido supervisa la integridad del bootloader, el kernel y los controladores de inicio de una instancia de Confidential VM.

Durante el inicio medido de una instancia de Confidential VM, PCR[0] (un registro de control de la plataforma) se actualiza con el valor SEV.

El inicio medido está habilitado de forma predeterminada en las nuevas instancias de Confidential VM. Obtén más información sobre el inicio medido.

¿Qué sigue?