Memantau integritas di Shielded VM

Topik ini menjelaskan cara menggunakan Cloud Monitoring untuk memantau integritas booting instance Shielded VM yang telah mengaktifkan pemantauan integritas{/, mengidentifikasi penyebab kegagalan validasi integritas, dan memperbarui dasar pengukuran kebijakan integritas.

Memantau integritas booting VM menggunakan Monitoring

Gunakan Cloud Monitoring untuk melihat peristiwa validasi integritas dan menetapkan pemberitahuan untuknya, serta Cloud Logging untuk meninjau detail peristiwa tersebut.

Melihat peristiwa validasi integritas

Untuk menampilkan metrik untuk resource yang dimonitor menggunakan Metrics Explorer, lakukan hal berikut:

  1. Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih  Metrics Explorer:

    Buka Metrics Explorer

  2. Pada elemen Metrik, luaskan menu Pilih metrik, masukkan Boot Validation di panel filter, lalu gunakan submenu untuk memilih jenis dan metrik resource tertentu:
    1. Di menu Active resources, pilih VM instance.
    2. Di menu Active metric category, pilih Instance.
    3. Di menu Active metrics, pilih Early Boot Validation atau Late Boot Validation.
      • Validasi Boot Awal: Menampilkan status lulus/gagal dari bagian booting awal dari urutan booting terakhir. Booting awal adalah urutan booting dari awal firmware UEFI hingga meneruskan kontrol ke bootloader.
      • Validasi Boot Akhir: Menampilkan status lulus/gagal dari bagian booting terlambat dari urutan booting terakhir. Booti akhir adalah urutan booting dari bootloader hingga selesai. Ini termasuk pemuatan kernel sistem operasi.
    4. Klik Apply.
  3. Untuk menghapus deret waktu dari tampilan, gunakan elemen Filter.

  4. Untuk menggabungkan deret waktu, gunakan menu pada elemen Agregasi. Misalnya, untuk menampilkan pemakaian CPU bagi VM Anda, berdasarkan zonanya, tetapkan menu pertama ke Rataan dan menu kedua ke zona.

    Semua deret waktu ditampilkan saat menu pertama elemen Agregasi ditetapkan ke Unaggregated. Setelan default untuk elemen Agregasi ditentukan oleh jenis metrik yang Anda pilih.

  5. Untuk kuota dan metrik lain yang melaporkan satu sampel per hari, lakukan tindakan berikut:
    1. Di panel Display, tetapkan Jenis widget ke Diagram batang bertumpuk.
    2. Tetapkan jangka waktu setidaknya satu minggu.

Menetapkan notifikasi pada peristiwa validasi integritas

Tetapkan pemberitahuan tentang nilai metrik Validasi Boot Awal dan Validasi Boot Akhir jika Anda ingin diberi tahu saat terjadi kegagalan validasi booting di VM GCE. Untuk informasi tentang pemberitahuan, lihat Pengantar Pemberitahuan:

Melihat detail peristiwa validasi integritas

  1. Buka halaman VM instances
  2. Klik ID instance untuk membuka halaman Detail instance VM.
  3. Pada bagian Logs, klik Cloud Logging.
  4. Cari entri log earlyBootReportEvent atau lateBootReportEvent yang ingin Anda tinjau.
  5. Luaskan entri log > jsonPayload > earlyBootReportEvent atau lateBootReportEvent, jika perlu. Dalam bagian tersebut, elemen policyEvaluationPassed mengidentifikasi apakah bagian tertentu dari urutan booting lulus verifikasi terhadap dasar pengukuran kebijakan integritas.
  6. Luaskan bagian actualMeasurements dan elemen bernomor di dalamnya untuk melihat nilai daftar konfigurasi platform (PCR) yang disimpan dari urutan booting terbaru. Nilai PCR disimpan di elemen value dalam elemen yang diberi nomor. Nilai PCR mengidentifikasi komponen booting dan urutan pemuatan komponen yang digunakan oleh urutan booting terbaru, dan dibandingkan dengan dasar pengukuran kebijakan integritas untuk menentukan apakah ada perubahan dalam urutan booting instance VM. Untuk informasi selengkapnya tentang arti PCR, lihat Peristiwa pemantauan integritas.
  7. Luaskan bagian policyMeasurements untuk melihat nilai PCR yang disimpan untuk dasar pengukuran kebijakan integritas.

Mengotomatiskan respons untuk peristiwa validasi integritas

Anda dapat mengotomatiskan respons untuk peristiwa validasi boot dengan mengekspor log Cloud Logging dan memprosesnya di layanan lain seperti Cloud Functions. Untuk informasi selengkapnya, lihat Ringkasan pemilihan rute dan penyimpanan serta Mengotomatiskan respons terhadap kegagalan validasi integritas.

Menentukan penyebab kegagalan validasi integritas booting

  1. Buka halaman VM instances
  2. Klik ID instance untuk membuka halaman Detail instance VM.
  3. Pada bagian Logs, klik Cloud Logging.
  4. Temukan entri log earlyBootReportEvent dan lateBootReportEvent terbaru, lalu lihat mana yang memiliki nilai policyEvaluationPassed false.
  5. Luaskan entri log > jsonPayload > earlyBootReportEvent atau lateBootReportEvent, jika perlu.
  6. Luaskan bagian actualMeasurements dan policyMeasurements serta elemen bernomor di dalamnya untuk melihat nilai daftar konfigurasi platform (PCR) yang disimpan dari urutan booting terbaru dan dasar pengukuran kebijakan integritas. Nilai PCR mengidentifikasi komponen booting dan urutan pemuatan komponen yang digunakan oleh urutan booting terbaru dan dasar pengukuran kebijakan integritas.
  7. Bandingkan nilai PCR di bagian actualMeasurements dan policyMeasurements untuk menentukan lokasi variasi antara urutan booting terbaru dan dasar pengukuran kebijakan integritas. Perbandingan apa pun yang menghasilkan nilai yang berbeda adalah masalah yang menyebabkan kegagalan validasi. Perlu diketahui bahwa nomor elemen di bagian ini jarang sesuai dengan angka PCR, dan elemen dengan nomor serupa di actualMeasurements dan policyMeasurements mungkin mewakili PCR yang berbeda. Misalnya, dalam urutan booting awal untuk Windows dan Linux, elemen 3 di actualMeasurements dan elemen 2 di policyMeasurements keduanya mewakili PCR7.

  8. Periksa Peristiwa pemantauan integritas untuk menentukan apa yang diwakili oleh PCR yang diubah, dan selidiki apakah perubahan tersebut merupakan yang diharapkan.

Memperbarui baseline kebijakan integritas

Baseline kebijakan integritas awal berasal dari image boot yang secara implisit tepercaya saat instance dibuat. Memperbarui baseline akan memperbarui dasar pengukuran kebijakan integritas menggunakan konfigurasi instance saat ini. Instance VM harus berjalan saat Anda mengupdate baseline.

Anda harus mengupdate baseline setelah perubahan khusus booting yang direncanakan dalam konfigurasi instance, seperti update kernel atau penginstalan driver kernel, karena hal ini akan menyebabkan kegagalan validasi integritas. Jika terjadi kegagalan validasi integritas yang tidak terduga, Anda harus menyelidiki alasan kegagalan tersebut dan bersiap untuk menghentikan instance jika perlu.

Anda harus memiliki izin setShieldedInstanceIntegrityPolicy agar dapat memperbarui dasar pengukuran kebijakan integritas.

Gunakan prosedur berikut untuk memperbarui baseline kebijakan integritas.

gcloud

Update baseline kebijakan integritas instance VM menggunakan perintah compute instances update dengan flag --shielded-learn-integrity-policy.

Contoh berikut mereset dasar pengukuran kebijakan integritas untuk instance VM my-instance:

gcloud compute instances update my-instance \
    --shielded-learn-integrity-policy

API

Update baseline kebijakan integritas instance VM menggunakan item isi permintaan updateAutoLearnPolicy dengan metode setShieldedInstanceIntegrityPolicy.

Contoh berikut mereset dasar pengukuran kebijakan integritas untuk instance VM.

PATCH https://compute.googleapis.com/compute/alpha/projects/my-project/zones/us-central1-b/instances/my-instance/setShieldedInstanceIntegrityPolicy?key={YOUR_API_KEY}
{
  "updateAutoLearnPolicy": true
}

Langkah selanjutnya