Como validar VMs confidenciais usando o Cloud Monitoring

O Cloud Monitoring e o Cloud Logging permitem que você monitore e valide instâncias de VMs confidenciais. Este tópico detalha o que é possível monitorar, como visualizar relatórios registrados e o que procurar nos relatórios.

Monitoramento de integridade

O monitoramento de integridade é um recurso da VM protegida e da VM confidencial que ajuda a entender e tomar decisões sobre o estado das instâncias de VM.

O restante desta seção contém informações sobre como usar o monitoramento de integridade com VMs confidenciais.

Ativar monitoramento de integridade

O monitoramento de integridade é ativado por padrão em novas instâncias de VM confidenciais. Para saber como alterar as configurações de monitoramento de integridade, incluindo a alternância entre a Inicialização segura, o vTPM e o próprio monitoramento de integridade, consulte Como modificar as opções de VM protegida.

Visualizar relatórios de integridade

É possível visualizar os relatórios de integridade no Cloud Monitoring e definir alertas sobre falhas de integridade. Também é possível analisar os detalhes dos resultados de monitoramento de integridade no Cloud Logging. Para saber como visualizar eventos de validação de integridade e definir alertas neles, consulte Como monitorar a integridade da inicialização da VM usando o Monitoring.

Visualizar eventos do relatório de atestado de inicialização

A VM confidencial gera um tipo exclusivo de evento de validação de integridade, chamado de evento do relatório de atestado de inicialização. Sempre que uma VM confidencial baseada em virtualização criptografada segura (SEV, na sigla em inglês) AMD é inicializada, um evento do relatório de atestado de inicialização é gerado como parte dos eventos de validação de integridade da VM.

Para visualizar o evento do relatório de atestado de inicialização no relatório de integridade:

  1. No Console do Google Cloud, acesse a página Instâncias de VM.

    Acesse a página Instâncias de VM

  2. Clique no nome da instância da VM confidencial para abrir a página Detalhes da instância da VM.

  3. Em Registros, clique em Stackdriver Logging.

  4. O Logging é aberto, e o relatório de integridade é preenchido com eventos de validação de integridade.

    A captura de tela a seguir mostra um relatório de integridade típico:

    Relatório de integridade (clique para ampliar).

    Procure a string sevLaunchAttestationReportEvent.

    Para ver detalhes sobre um evento específico, clique na seta de expansão . É possível abrir todos os nós da árvore de uma só vez clicando em Expandir tudo.

Sobre os eventos do relatório de atestado de inicialização

Os eventos do relatório de atestado de inicialização validam se uma VM é uma VM confidencial baseada em SEV AMD. Um evento do relatório de atestado de inicialização contém informações como:

  • integrityEvaluationPassed: o resultado de uma verificação de integridade realizada pelo monitor de máquina virtual na medição calculada pela SEV AMD;
  • sevPolicy: os bits de política da SEV AMD definidos para esta VM. Os bits de política são definidos na inicialização da VM confidencial para impor restrições, por exemplo, se o modo de depuração está ativado

A captura de tela a seguir mostra um evento típico do relatório de atestado de inicialização:

Evento típico do relatório de atestado de inicialização (clique para ampliar).

Também é possível aproveitar a Inicialização segura e a Inicialização medida, que usam a VM protegida.

Inicialização segura

A inicialização segura ajuda a garantir que o sistema da instância de VM confidencial execute somente um software autêntico. Para isso, ela verifica a assinatura digital de todos os componentes de inicialização e encerra o processo de inicialização se a verificação da assinatura falhar. O firmware assinado e verificado pela autoridade de certificação do Google estabelece a raiz de confiança da Inicialização segura, que verifica a identidade da sua VM e confere se ela faz parte da região e do projeto especificados.

A Inicialização segura não está ativada por padrão. Para saber como ativar esse recurso e ver mais informações, consulte Inicialização segura.

Inicialização medida

A Inicialização medida é ativada pelo módulo de plataforma confiável virtual (vTPM, na sigla em inglês) de uma VM confidencial e ajuda a proteger contra modificações mal-intencionadas na VM confidencial. A Inicialização medida monitora a integridade do carregador de inicialização, do kernel e dos drivers de inicialização de uma instância de VM confidencial.

A Inicialização medida é ativada por padrão em novas instâncias de VMs confidenciais. Saiba mais sobre a Inicialização medida.

A seguir