Topik ini menjelaskan cara menggunakan Cloud Monitoring untuk memantau integritas booting instance Shielded VM yang telah mengaktifkan pemantauan integritas{/, mengidentifikasi penyebab kegagalan validasi integritas, dan memperbarui dasar pengukuran kebijakan integritas.
Memantau integritas booting VM menggunakan Monitoring
Gunakan Cloud Monitoring untuk melihat peristiwa validasi integritas dan menetapkan pemberitahuan untuknya, serta Cloud Logging untuk meninjau detail peristiwa tersebut.
Melihat peristiwa validasi integritas
Untuk menampilkan metrik untuk resource yang dimonitor menggunakan Metrics Explorer, lakukan hal berikut:
-
Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih leaderboard Metrics Explorer:
- Pada elemen Metrik, luaskan menu Pilih metrik, masukkan
Boot Validation
di panel filter, lalu gunakan submenu untuk memilih jenis dan metrik resource tertentu:- Di menu Active resources, pilih VM instance.
- Di menu Active metric category, pilih Instance.
- Di menu Active metrics, pilih Early Boot Validation atau Late Boot Validation.
- Validasi Boot Awal: Menampilkan status lulus/gagal dari bagian booting awal dari urutan booting terakhir. Booting awal adalah urutan booting dari awal firmware UEFI hingga meneruskan kontrol ke bootloader.
- Validasi Boot Akhir: Menampilkan status lulus/gagal dari bagian booting terlambat dari urutan booting terakhir. Booti akhir adalah urutan booting dari bootloader hingga selesai. Ini termasuk pemuatan kernel sistem operasi.
- Klik Apply.
Untuk menghapus deret waktu dari tampilan, gunakan elemen Filter.
Untuk menggabungkan deret waktu, gunakan menu pada elemen Agregasi. Misalnya, untuk menampilkan pemakaian CPU bagi VM Anda, berdasarkan zonanya, tetapkan menu pertama ke Rataan dan menu kedua ke zona.
Semua deret waktu ditampilkan saat menu pertama elemen Agregasi ditetapkan ke Unaggregated. Setelan default untuk elemen Agregasi ditentukan oleh jenis metrik yang Anda pilih.
- Untuk kuota dan metrik lain yang melaporkan satu sampel per hari, lakukan tindakan berikut:
- Di panel Display, tetapkan Jenis widget ke Diagram batang bertumpuk.
- Tetapkan jangka waktu setidaknya satu minggu.
Menetapkan notifikasi pada peristiwa validasi integritas
Tetapkan pemberitahuan tentang nilai metrik Validasi Boot Awal dan Validasi Boot Akhir jika Anda ingin diberi tahu saat terjadi kegagalan validasi booting di VM GCE. Untuk informasi tentang pemberitahuan, lihat Pengantar Pemberitahuan:
Untuk setelan kebijakan pemberitahuan validasi boot awal, lihat Validasi boot awal Compute Engine.
Untuk setelan kebijakan pemberitahuan validasi boot akhir, lihat Validasi boot akhir Compute Engine.
Melihat detail peristiwa validasi integritas
- Buka halaman VM instances
- Klik ID instance untuk membuka halaman Detail instance VM.
- Pada bagian Logs, klik Cloud Logging.
- Cari entri log
earlyBootReportEvent
ataulateBootReportEvent
yang ingin Anda tinjau. - Luaskan entri log >
jsonPayload
>earlyBootReportEvent
ataulateBootReportEvent
, jika perlu. Dalam bagian tersebut, elemenpolicyEvaluationPassed
mengidentifikasi apakah bagian tertentu dari urutan booting lulus verifikasi terhadap dasar pengukuran kebijakan integritas. - Luaskan bagian
actualMeasurements
dan elemen bernomor di dalamnya untuk melihat nilai daftar konfigurasi platform (PCR) yang disimpan dari urutan booting terbaru. Nilai PCR disimpan di elemenvalue
dalam elemen yang diberi nomor. Nilai PCR mengidentifikasi komponen booting dan urutan pemuatan komponen yang digunakan oleh urutan booting terbaru, dan dibandingkan dengan dasar pengukuran kebijakan integritas untuk menentukan apakah ada perubahan dalam urutan booting instance VM. Untuk informasi selengkapnya tentang arti PCR, lihat Peristiwa pemantauan integritas. - Luaskan bagian
policyMeasurements
untuk melihat nilai PCR yang disimpan untuk dasar pengukuran kebijakan integritas.
Mengotomatiskan respons untuk peristiwa validasi integritas
Anda dapat mengotomatiskan respons untuk peristiwa validasi boot dengan mengekspor log Cloud Logging dan memprosesnya di layanan lain seperti Cloud Functions. Untuk informasi selengkapnya, lihat Ringkasan pemilihan rute dan penyimpanan serta Mengotomatiskan respons terhadap kegagalan validasi integritas.
Menentukan penyebab kegagalan validasi integritas booting
- Buka halaman VM instances
- Klik ID instance untuk membuka halaman Detail instance VM.
- Pada bagian Logs, klik Cloud Logging.
- Temukan entri log
earlyBootReportEvent
danlateBootReportEvent
terbaru, lalu lihat mana yang memiliki nilaipolicyEvaluationPassed
false. - Luaskan entri log >
jsonPayload
>earlyBootReportEvent
ataulateBootReportEvent
, jika perlu. - Luaskan bagian
actualMeasurements
danpolicyMeasurements
serta elemen bernomor di dalamnya untuk melihat nilai daftar konfigurasi platform (PCR) yang disimpan dari urutan booting terbaru dan dasar pengukuran kebijakan integritas. Nilai PCR mengidentifikasi komponen booting dan urutan pemuatan komponen yang digunakan oleh urutan booting terbaru dan dasar pengukuran kebijakan integritas. Bandingkan nilai PCR di bagian
actualMeasurements
danpolicyMeasurements
untuk menentukan lokasi variasi antara urutan booting terbaru dan dasar pengukuran kebijakan integritas. Perbandingan apa pun yang menghasilkan nilai yang berbeda adalah masalah yang menyebabkan kegagalan validasi. Perlu diketahui bahwa nomor elemen di bagian ini jarang sesuai dengan angka PCR, dan elemen dengan nomor serupa diactualMeasurements
danpolicyMeasurements
mungkin mewakili PCR yang berbeda. Misalnya, dalam urutan booting awal untuk Windows dan Linux, elemen3
diactualMeasurements
dan elemen2
dipolicyMeasurements
keduanya mewakili PCR7.Periksa Peristiwa pemantauan integritas untuk menentukan apa yang diwakili oleh PCR yang diubah, dan selidiki apakah perubahan tersebut merupakan yang diharapkan.
Memperbarui baseline kebijakan integritas
Baseline kebijakan integritas awal berasal dari image boot yang secara implisit tepercaya saat instance dibuat. Memperbarui baseline akan memperbarui dasar pengukuran kebijakan integritas menggunakan konfigurasi instance saat ini. Instance VM harus berjalan saat Anda mengupdate baseline.
Anda harus mengupdate baseline setelah perubahan khusus booting yang direncanakan dalam konfigurasi instance, seperti update kernel atau penginstalan driver kernel, karena hal ini akan menyebabkan kegagalan validasi integritas. Jika terjadi kegagalan validasi integritas yang tidak terduga, Anda harus menyelidiki alasan kegagalan tersebut dan bersiap untuk menghentikan instance jika perlu.
Anda harus memiliki izin setShieldedInstanceIntegrityPolicy
agar dapat
memperbarui dasar pengukuran kebijakan integritas.
Gunakan prosedur berikut untuk memperbarui baseline kebijakan integritas.
gcloud
Update baseline kebijakan integritas instance VM menggunakan
perintah compute instances update
dengan
flag --shielded-learn-integrity-policy
.
Contoh berikut mereset dasar pengukuran kebijakan integritas untuk instance VM my-instance:
gcloud compute instances update my-instance \ --shielded-learn-integrity-policy
API
Update baseline kebijakan integritas instance VM menggunakan
item isi permintaan updateAutoLearnPolicy
dengan
metode setShieldedInstanceIntegrityPolicy
.
Contoh berikut mereset dasar pengukuran kebijakan integritas untuk instance VM.
PATCH https://compute.googleapis.com/compute/alpha/projects/my-project/zones/us-central1-b/instances/my-instance/setShieldedInstanceIntegrityPolicy?key={YOUR_API_KEY} { "updateAutoLearnPolicy": true }
Langkah selanjutnya
- Baca selengkapnya tentang fitur keamanan yang ditawarkan oleh Sheelded VM.
- Pelajari lebih lanjut cara mengubah opsi pada instance Shielded VM.
- Pelajari satu pendekatan untuk mengotomatiskan respons terhadap peristiwa pemantauan integritas.