Integrität von Shielded VM-Instanzen überwachen

In diesem Thema erfahren Sie, wie Sie die Startintegrität von Shielded VM-Instanzen mithilfe von Stackdriver überwachen, die Ursache einer fehlgeschlagenen Integritätsprüfung ermitteln und die Referenz der Integritätsrichtlinie aktualisieren.

Vorbereitung

• So können Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden:
  1. Installieren Sie das gcloud-Befehlszeilentool oder aktualisieren Sie es auf die neueste Version.
  2. Legen Sie eine Standardregion und -zone fest.
• Wenn Sie die API-Beispiele in dieser Anleitung verwenden möchten, richten Sie den API-Zugang ein.

VM-Startintegrität mithilfe von Stackdriver überwachen

Verwenden Sie Stackdriver Monitoring, um sich Ereignisse der Integritätsprüfung anzusehen und zugehörige Benachrichtigungen festzulegen. Mit Stackdriver Logging können Sie Details zu diesen Ereignissen aufrufen.

Ereignisse der Integritätsprüfung ansehen

1. Rufen Sie Stackdriver Monitoring auf.
2. Wählen Sie über das Drop-down-Menü rechts oben in der Stackdriver Monitoring-Konsole das Stackdriver-Konto mit dem GCP-Projekt aus, in dem sich Ihre VM-Instanz befindet.
3. Wählen Sie im linken Navigationsbereich die Option Resources (Ressourcen) und dann Metrics Explorer (Messwert-Explorer) aus.
4. Geben Sie im Feld Find resource type and metric (Ressourcentyp und Messwert suchen) den Begriff Instanz ein und wählen Sie den Ressourcentyp GCE VM Instance (GCE-VM-Instanz) aus.

5. Wählen Sie einen der folgenden Messwerte aus:

   • Early Boot Validation (Prüfung des frühen Starts): Zeigt an, ob der Teil für den frühen Start in der letzten Startsequenz die Prüfung bestanden hat. Der frühe Start bezieht sich auf die Startsequenz vom Start der UEFI-Firmware bis zur Übergabe der Kontrolle an den Bootloader.
   • Late Boot Validation (Prüfung des späten Starts) zeigt an, ob der Teil für den späten Start in der letzten Startsequenz die Prüfung bestanden hat. Der späte Start bezieht sich auf die Startsequenz vom Bootloader bis zum Abschluss. Dies schließt das Laden des Betriebssystemkernels mit ein.

6. Sie können optional mit einem Filter die angezeigten Messwertinformationen beschränken, die angezeigten Messwertinformationen gruppieren oder die Messwertdaten zusammenfassen. Weitere Informationen finden Sie unter Zusätzliche Konfiguration.

Benachrichtigungen für Ereignisse der Integritätsprüfung festlegen

Legen Sie Benachrichtigungen für die Messwerte Prüfung des frühen Starts und Prüfung des späten Starts fest, falls Sie informiert werden möchten, wenn bei Ihrer VM-Instanz die Startprüfung fehlschlägt. Weitere Informationen zum Konfigurieren von Benachrichtigungen finden Sie unter Einführung in Benachrichtigungen.

1. Rufen Sie Stackdriver Monitoring auf.
2. Wählen Sie über das Drop-down-Menü rechts oben in der Stackdriver Monitoring-Konsole das Stackdriver-Konto mit dem GCP-Projekt aus, in dem sich Ihre VM-Instanz befindet.
3. Wählen Sie im linken Navigationsbereich Alerting (Benachrichtigungen) und dann Create a Policy (Richtlinie erstellen) aus.
4. Klicken Sie auf Add Condition (Bedingung hinzufügen).
5. Wählen Sie in der Anzeige Try our new UI for creating alerting conditions (Neue UI zum Erstellen von Benachrichtigungsbedingungen verwenden) die Option Opt in (Aktivieren) aus, um die neue UI für Benachrichtigungsbedingungen zu nutzen (erforderlich).
6. Klicken Sie für Metric Threshold/Rate Change/Absence (Messwertschwelle/Ratenänderung/Fehlend) auf Select (Auswählen).
7. Geben Sie im Feld Find resource type and metric (Ressourcentyp und Messwert suchen) den Begriff Instanz ein und wählen Sie den Ressourcentyp GCE VM Instance (GCE-VM-Instanz) aus.

8. Wählen Sie einen der folgenden Messwerte aus:

   • Early Boot Validation (Prüfung des frühen Starts): Zeigt an, ob der Teil für den frühen Start in der letzten Startsequenz die Prüfung bestanden hat. Der frühe Start bezieht sich auf die Startsequenz vom Start der UEFI-Firmware bis zur Übergabe der Kontrolle an den Bootloader.
   • Late Boot Validation (Prüfung des späten Starts) zeigt an, ob der Teil für den späten Start in der letzten Startsequenz die Prüfung bestanden hat. Der späte Start bezieht sich auf die Startsequenz vom Bootloader bis zum Abschluss. Dies schließt das Laden des Betriebssystemkernels mit ein.

9. Wählen Sie unter Filter die Option status=failed (Status=fehlgeschlagen) aus.

10. Wählen Sie unter Gruppieren nach die Option Status aus.

11. Wählen Sie unter Bedingung erfüllt, wenn die Option Verstoß einer beliebigen Zeitachse aus.

12. Geben Sie unter Bedingung Folgendes an: liegt 1 Minute lang über 0.

13. Klicken Sie auf Bedingung speichern.

14. Fügen Sie eine oder mehrere Benachrichtigungen hinzu.

15. Sie können optional eine Dokumentation hinzufügen, die dem Empfänger der Benachrichtigung erläutert, wie mit der Benachrichtigung verfahren werden kann.

16. Geben Sie der Richtlinie einen Namen.

17. Wählen Sie Richtlinie speichern aus.

Details zu Ereignissen der Integritätsprüfung ansehen

1. Öffnen Sie die Seite "VM-Instanzen".
2. Klicken Sie auf die Instanz-ID, um die Seite VM-Instanzdetails zu öffnen.
3. Klicken Sie unter Logs auf Stackdriver Logging.
4. Suchen Sie den Logeintrag earlyBootReportEvent oder lateBootReportEvent, den Sie aufrufen möchten.
5. Maximieren Sie den Logeintrag > jsonPayload > earlyBootReportEvent bzw. lateBootReportEvent nach Bedarf. In diesem Abschnitt gibt das Element policyEvaluationPassed an, ob der entsprechende Teil der Startsequenz die Prüfung gemäß der Referenz der Integritätsrichtlinie bestanden hat.
6. Maximieren Sie den Abschnitt actualMeasurements und die darin enthaltenen nummerierten Elemente, damit die PCR-Werte (Platform Configuration Register) angezeigt werden, die aus der letzten Startsequenz gespeichert wurden. Die PCR-Werte werden in den pcrNum-Elementen der nummerierten Elemente gespeichert. Die PCR-Werte geben die Startkomponenten und ihre Ladereihenfolge in der letzten Startsequenz an. Sie werden mit der Referenz der Integritätsrichtlinie verglichen, um festzustellen, ob sich die Startsequenz der VM-Instanz geändert hat. Weitere Informationen zur Bedeutung von PCR-Werten finden Sie unter Integritätsüberwachungsereignisse.
7. Maximieren Sie den Abschnitt policyMeasurements, um die PCR-Werte einzublenden, die für die Referenz der Integritätsrichtlinie gespeichert wurden.

Antworten auf Ereignisse der Integritätsprüfung automatisieren

Sie können Antworten auf Ereignisse der Startprüfung automatisieren, indem Sie die Stackdriver-Logs exportieren und in einem anderen Dienst wie Cloud Functions verarbeiten. Weitere Informationen finden Sie unter Übersicht über den Log-Export.

Ursache für das Fehlschlagen der Startintegritätsprüfung ermitteln

1. Öffnen Sie die Seite "VM-Instanzen".
2. Klicken Sie auf die Instanz-ID, um die Seite VM-Instanzdetails zu öffnen.
3. Klicken Sie unter Logs auf Stackdriver Logging.
4. Suchen Sie die neuesten Logeinträge des Typs earlyBootReportEvent und lateBootReportEvent und prüfen Sie, bei welchem Eintrag für policyEvaluationPassed der Wert false (falsch) angezeigt wird.
5. Maximieren Sie den Logeintrag > jsonPayload > earlyBootReportEvent bzw. lateBootReportEvent nach Bedarf.
6. Maximieren Sie die Abschnitte actualMeasurements und policyMeasurements sowie die darin enthaltenen nummerierten Elemente, um die PCR-Werte (Platform Configuration Register) einzublenden, die aus der letzten Startsequenz bzw. der Referenz der Integritätsrichtlinie gespeichert wurden. Die PCR-Werte geben die Startkomponenten und ihre Ladereihenfolge in der letzten Startsequenz und der Referenz der Integritätsrichtlinie an.

7. Vergleichen Sie die PCR-Werte in den Abschnitten actualMeasurements und policyMeasurements, um festzustellen, wo die aktuelle Startsequenz und die Referenz der Integritätsrichtlinie voneinander abweichen. Unterschiedliche Werte führen zum Fehlschlagen der Prüfung. Beachten Sie, dass die Elementnummern in diesen Abschnitten nur selten den PCR-Nummern entsprechen. Elemente mit ähnlichen Nummern in actualMeasurements und policyMeasurements können für verschiedene PCRs stehen. Bei der frühen Startsequenz für Windows und Linux sind z. B. das Element 3 in actualMeasurements und das Element 2 in policyMeasurements beide PCR7-Werte.

8. Prüfen Sie die Ereignisse der Integritätsüberwachung, um festzustellen, wofür der geänderte PCR-Wert steht, und untersuchen Sie, ob diese Änderung vorgesehen war.

Referenz der Integritätsrichtlinie aktualisieren

Die anfängliche Referenz der Integritätsrichtlinie wird bei der Erstellung der Instanz vom Start-Image abgeleitet, dem implizit vertraut wird. Das Aktualisieren der Referenz der Integritätsrichtlinie erfolgt mithilfe der aktuellen Instanzkonfiguration. Die VM-Instanz muss ausgeführt werden, während Sie die Referenz aktualisieren.

Sie sollten die Referenz nach allen geplanten startspezifischen Änderungen in der Instanzkonfiguration aktualisieren, z. B. nach Kernelaktualisierungen oder der Kerneltreiberinstallation, da diese zum Fehlschlagen der Integritätsprüfung führen. Bei einem unerwarteten Fehlschlagen der Integritätsprüfung sollten Sie die VM-Instanz beenden und die Ursache für den Fehler untersuchen.

Sie benötigen die Berechtigung setShieldedVmIntegrityPolicy, um die Referenz der Integritätsrichtlinie aktualisieren zu können.

Nutzen Sie dabei das folgende Verfahren.

gcloud beta compute instances update my-instance \
    --shielded-vm-learn-integrity-policy

PATCH https://www.googleapis.com/compute/alpha/projects/my-project/zones/us-central1-b/instances/my-instance/setShieldedVmIntegrityPolicy?key={YOUR_API_KEY}
{
  "updateAutoLearnPolicy": true
}

Weitere Informationen

• Mehr über die Sicherheitsfunktionen von Shielded VM erfahren
• Optionen für eine Shielded VM-Instanz ändern
• Mehr über ein Konzept zur Automatisierung von Antworten auf Ereignisse der Integritätsüberwachung erfahren