Surveiller l'intégrité des Confidential VM

La surveillance de l'intégrité est une fonctionnalité des VM protégées et de Confidential VM qui vous aide à comprendre l'état de vos instances de VM et à prendre des décisions les concernant. Il utilise à la fois Cloud Monitoring et Cloud Logging.

La surveillance de l'intégrité est activée par défaut dans les nouvelles instances de Confidential VM. Pour savoir comment modifier les paramètres de surveillance de l'intégrité, y compris l'activation ou la désactivation du démarrage sécurisé, du module vTPM et de la surveillance de l'intégrité à proprement parler, consultez la page Modifier les options de VM protégée.

Afficher les rapports d'intégrité

Vous pouvez utiliser Cloud Monitoring pour afficher les événements de validation de l'intégrité et définir des alertes à leur sujet, ainsi que Cloud Logging pour consulter les informations sur ces événements.

Pour savoir comment afficher les événements de validation de l'intégrité et définir des alertes à leur sujet, consultez la section Surveiller l'intégrité du processus de démarrage de la VM à l'aide de Cloud Monitoring.

Afficher les événements du rapport d'attestation de lancement

À chaque démarrage d'une instance de Confidential VM basée sur AMD SEV, un événement de rapport d'attestation de lancement est généré parmi les événements de validation d'intégrité de la VM.

L'événement de rapport contient les informations utiles suivantes:

• integrityEvaluationPassed: résultat d'une vérification de l'intégrité effectuée par le moniteur de machine virtuelle sur la mesure calculée par SEV.

• sevPolicy: bits de règles SEV définis pour cette VM. Les bits de règles sont définis lors du lancement de l'instance de VM Confidential pour appliquer des contraintes, telles que l'activation ou la désactivation du mode de débogage.

Pour afficher un événement de rapport d'attestation de lancement dans un rapport d'intégrité, procédez comme suit:

1. Dans Google Cloud Console, accédez à la page Instances de VM.

   Accéder à la page Instances de VM

2. Dans le tableau des instances de VM, recherchez votre instance de VM Confidential, puis cliquez sur son nom.

3. Dans la section Journaux, cliquez sur Cloud Logging.

4. Cloud Logging s'ouvre et des événements de validation d'intégrité s'affichent dans le rapport d'intégrité pour la période donnée. Vous devrez peut-être modifier la période du journal (à côté de la zone Rechercher dans tous les champs) pour capturer les événements de démarrage.

5. Recherchez un rapport dont le type est cloud_integrity.IntegrityEvent et le bootCounter 0, puis développez-le.

   Pour afficher les données d'un champ spécifique, cliquez sur la flèche de développement arrow_right. Pour développer tous les champs, cliquez sur Développer les champs imbriqués.

6. Dans la clé jsonPayload, recherchez la clé sevLaunchAttestationReportEvent pour afficher l'événement de rapport. Développez le widget suivant pour voir un exemple de rapport d'intégrité typique.

   Exemple de rapport d'intégrité

   {
     insertId: "0"
     jsonPayload: {
       @type: "type.googleapis.com/cloud_integrity.IntegrityEvent"
       bootCounter: "0"
       sevLaunchAttestationReportEvent: {
         integrityEvaluationPassed: true
         sevPolicy: {
           debugEnabled: false
           domainOnly: false
           esRequired: false
           keySharingAllowed: false
           minApiMajor: 0
           minApiMinor: 0
           sendAllowed: true
           sevOnly: true
         }
       }
     }
     logName: "projects/PROJECT_ID/logs/compute.googleapis.com%2Fshielded_vm_integrity"
     receiveTimestamp: "2023-08-06T23:43:09.422303036Z"
     resource: {
       labels: {
         instance_id: "7638570949330964203" (instance_name: VM_INSTANCE_NAME)
         project_id: "PROJECT_ID"
         zone: "VM_ZONE"
       }
       type: "gce_instance"
     }
     severity: "NOTICE"
     timestamp: "2023-08-06T23:43:07.407511786Z"
   }

Surveiller l'intégrité du démarrage avec une VM protégée

Vous pouvez également exploiter le démarrage sécurisé et le démarrage mesuré, qui sont des fonctionnalités des VM protégées, pour surveiller l'intégrité de votre instance de VM Confidential.

Démarrage sécurisé

Le démarrage sécurisé vous permet de vous assurer que le système de l'instance de Confidential VM n'exécute que des logiciels authentiques. Il vérifie pour cela la signature numérique de tous les composants de démarrage et arrête le processus de démarrage si cette vérification échoue. Le micrologiciel signé et validé par l'autorité de certification de Google établit la racine de confiance pour le démarrage sécurisé, qui vérifie l'identité de votre VM, et s'assure qu'elle fait partie du projet et de la région spécifiés.

Le démarrage sécurisé n'est pas activé par défaut. Pour découvrir comment activer cette fonctionnalité et en savoir plus, consultez la section Démarrage sécurisé.

Démarrage mesuré

Le démarrage mesuré est activé par le module vTPM (Virtual Trusted Platform Module) d'une instance de VM confidentielle et permet d'éviter les modifications malveillantes de l'instance. Le démarrage mesuré surveille l'intégrité du bootloader, du noyau et des pilotes de démarrage d'une instance de Confidential VM.

Lors du démarrage mesuré d'une instance Confidential VM, PCR[0] (un registre de contrôle de plate-forme) est étendu avec un événement spécifique au fournisseur, GceNonHostInfo, qui encode que SEV est utilisé.

Le démarrage mesuré est activé par défaut dans les nouvelles instances de Confidential VM. En savoir plus sur le démarrage mesuré

Étape suivante

• Découvrez comment définir des alertes sur les événements de validation de l'intégrité et déterminer la cause de l'échec de la validation de l'intégrité du démarrage.

• Découvrez une approche permettant d'automatiser les réponses aux événements de surveillance de l'intégrité.