Como monitorar a integridade em instâncias de VM protegida

Use este tópico para aprender a monitorar a integridade da inicialização de instâncias de VM protegida usando o Stackdriver, identificar a causa de uma falha na validação de integridade e atualizar o valor de referência da política de integridade.

Antes de começar

Como monitorar a integridade da inicialização da VM usando o Stackdriver

Use o Stackdriver Monitoring para ver eventos de validação da integridade e definir alertas para eles, e o Stackdriver Logging para revisar detalhes desses eventos.

Como ver eventos de validação da integridade

  1. Acesse o Stackdriver Monitoring.
  2. Usando o menu suspenso no canto superior à direita do console do Stackdriver Monitoring, selecione a conta do Stackdriver que contém o projeto do GCP em que está a instância de VM.
  3. Na navegação à esquerda, escolha Recursos e Explorador de métricas.
  4. No campo Encontrar tipo de recurso e métrica, digite instância e selecione o tipo de recurso Instância da VM do GCE.
  5. Escolha uma das métricas a seguir:

    • A Validação de inicialização antecipada mostra o status de aprovação/reprovação da parte de inicialização antecipada da última sequência de inicialização. A inicialização antecipada é a sequência que vai desde quando o firmware UEFI inicia até o momento em que ele passa o controle para o carregador de inicialização.
    • A Validação de inicialização atrasada mostra o status de aprovação/reprovação da parte de inicialização atrasada da última sequência de inicialização. A inicialização atrasada é a sequência do carregador de inicialização até a conclusão. Isso inclui o carregamento do kernel do sistema operacional.
  6. Opcional: é possível aplicar um filtro para limitar as informações de métrica exibidas, além de agrupá-las ou agregar os dados de métricas. Para mais informações, consulte Configuração adicional.

Como configurar alertas para eventos de validação da integridade

Defina alertas para valores das métricas Validação de inicialização antecipada e Validação de inicialização atrasada, caso você queira receber uma notificação quando houver uma falha na validação de inicialização na instância de VM. Para mais informações sobre como configurar alertas, consulte Introdução a alertas.

  1. Acesse o Stackdriver Monitoring.
  2. Usando o menu suspenso no canto superior à direita do console do Stackdriver Monitoring, selecione a conta do Stackdriver que contém o projeto do GCP em que está a instância de VM.
  3. Na navegação à esquerda, escolha Alertas e Criar uma política.
  4. Clique em Adicionar condição.
  5. Na mensagem Testar a nova IU para criar condições de alerta, escolha Aceitar para usar a nova interface de condições de alertas (obrigatório).
  6. Clique em Selecionar para Limite de métrica/alteração de taxa/ausência.
  7. No campo Encontrar tipo de recurso e métrica, digite instância e selecione o tipo de recurso Instância da VM do GCE.
  8. Escolha uma das métricas a seguir:

    • A Validação de inicialização antecipada mostra o status de aprovação/reprovação da parte de inicialização antecipada da última sequência de inicialização. A inicialização antecipada é a sequência que vai desde quando o firmware UEFI inicia até o momento em que ele passa o controle para o carregador de inicialização.
    • A Validação de inicialização atrasada mostra o status de aprovação/reprovação da parte de inicialização atrasada da última sequência de inicialização. A inicialização atrasada é a sequência do carregador de inicialização até a conclusão. Isso inclui o carregamento do kernel do sistema operacional.
  9. Em Filtro, filtre por status=falha.

  10. Em Agrupar por, agrupe por status.

  11. Em Acionadores de condição, selecione Qualquer violação de série temporal.

  12. Em Condição, especifique está acima de zero por um minuto.

  13. Clique em Salvar condição.

  14. Adicione uma ou mais notificações.

  15. Opcional: adicione documentação para ajudar o destinatário da notificação a entender como processar o alerta.

  16. Nomeie a política.

  17. Escolha Salvar política.

Como ver detalhes do evento de validação da integridade

  1. Acesse a página "Instâncias de VM".
  2. Clique no código da instância para abrir a página Detalhes da instância de VM.
  3. Em Registros, clique em Stackdriver Logging.
  4. Localize a entrada de registro earlyBootReportEvent ou lateBootReportEvent que você quer revisar.
  5. Expanda a entrada de registro > jsonPayload > earlyBootReportEvent ou lateBootReportEvent, conforme apropriado. Nessa seção, o elemento policyEvaluationPassed identifica se a seção indicada da sequência de inicialização passou pela verificação do valor de referência da política de integridade.
  6. Expanda a seção actualMeasurements e os elementos numerados dentro dela para ver os valores de registro de configuração de plataforma (PCR, na sigla em inglês) (em inglês) salvos da sequência de inicialização mais recente. Os valores de PCR são salvos em elementos pcrNum nos elementos numerados. Eles identificam os componentes de inicialização e a ordem de carregamento dos componentes usados pela sequência de inicialização mais recente. Além disso, eles são comparados com o valor de referência da política de integridade para determinar se houve alguma alteração na sequência de inicialização da instância de VM. Para mais informações sobre o que os PCRs representam, consulte Eventos de monitoramento da integridade.
  7. Expanda a seção policyMeasurements para ver os valores de PCR salvos do valor de referência da política de integridade.

Como automatizar respostas para eventos de validação da integridade

Automatize respostas para eventos de validação da inicialização exportando os registros do Stackdriver e os processando em outro serviço, como o Cloud Functions. Para mais informações, consulte Visão geral da exportação de registros e Como automatizar respostas a falhas de validação da integridade.

Como determinar a causa da falha na validação da integridade da inicialização

  1. Acesse a página "Instâncias de VM".
  2. Clique no código da instância para abrir a página Detalhes da instância de VM.
  3. Em Registros, clique em Stackdriver Logging.
  4. Localize as entradas de registro earlyBootReportEvent e lateBootReportEvent mais recentes e veja qual delas tem um valor policyEvaluationPassed como falso.
  5. Expanda a entrada de registro > jsonPayload > earlyBootReportEvent ou lateBootReportEvent, conforme apropriado.
  6. Expanda as seções actualMeasurements e policyMeasurements e os elementos numerados dentro delas para ver os valores de registro de configuração de plataforma (PCR, na sigla em inglês) (em inglês) salvos da sequência de inicialização mais recente e o valor de referência da política de integridade, respectivamente. Os valores de PCR identificam os componentes de inicialização e a ordem de carregamento dos componentes usados pela última sequência de inicialização e pelo valor de referência da política de integridade.
  7. Compare os valores de PCR nas seções actualMeasurements e policyMeasurements para determinar onde ocorreu a variação entre a última sequência de inicialização e o valor de referência da política de integridade. Qualquer comparação que produza valores diferentes é o problema que causou a falha na validação. Saiba que os números de elemento nestas seções raramente correspondem aos números de PCR, e elementos numerados de maneira semelhante em actualMeasurements e policyMeasurements podem representar PCRs diferentes. Por exemplo, na sequência de inicialização antecipada para Windows e Linux, o elemento 3 em actualMeasurements e o elemento 2 em policyMeasurements representam PCR7.

  8. Verifique Eventos de monitoramento da integridade para determinar o que o PCR alterado representa e investigue se essa é uma alteração esperada.

Como atualizar o valor de referência da política de integridade

O valor de referência da política de integridade inicial deriva da imagem de inicialização implicitamente confiável quando a instância é criada. A atualização do valor de referência atualiza o valor de referência da política de integridade usando a configuração da instância atual. A instância de VM precisa estar em execução quando você atualiza o valor de referência.

Você precisará atualizar o valor de referência depois de qualquer alteração específica da inicialização planejada na configuração da instância, como atualizações do kernel ou instalação do driver do kernel, porque elas causarão falhas na validação de integridade. Se ocorrer uma falha inesperada na validação da integridade, interrompa a instância de VM e investigue o motivo.

É preciso ter a permissão setShieldedInstanceIntegrityPolicy para poder atualizar o valor de referência da política de integridade.

Use o procedimento a seguir para atualizar o valor de referência da política de integridade.

gcloud

Atualize o valor de referência da política de integridade da instância de VM usando o comando compute instances update com a sinalização --shielded-learn-integrity-policy.

O exemplo a seguir redefine o valor de referência da política de integridade da instância de VM my-instance:

gcloud compute instances update my-instance \
    --shielded-learn-integrity-policy

API

Atualize o valor de referência da política de integridade da instância de VM usando o item do corpo da solicitação updateAutoLearnPolicy com o método setShieldedInstanceIntegrityPolicy.

O exemplo a seguir redefine o valor de referência da política de integridade de uma instância de VM.

PATCH https://www.googleapis.com/compute/alpha/projects/my-project/zones/us-central1-b/instances/my-instance/setShieldedInstanceIntegrityPolicy?key={YOUR_API_KEY}
{
  "updateAutoLearnPolicy": true
}

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine